部署FIM 2010 R2—配置Synchronization Service

配置多有域环境账户密码同步

  • 在各个域创建ADMA账户,并赋予对域的复制目录更改和复制目录更改所有项权限;和对用户的密码重置和解锁密码权限;

  • 在fim01所使用的DNS服务器上,建立同步密码目标域的DNS条件转发;并测试能正常解析目标域;

  • 确保fim01到目标域的域控制器的TCP和UDP端口389、88、464能双向正常通信;

1、打开Synchronization Service窗口,

部署FIM 2010 R2—5配置Synchronization Service_第1张图片

2、选择Management Agent ,点击“Create”,

部署FIM 2010 R2—5配置Synchronization Service_第2张图片

3、在Mangement Agent for中选择“Active Directory Domain Service”,在Name中输入对应域MA的名称“ContosoMA”

选择“下一步”,

部署FIM 2010 R2—5配置Synchronization Service_第3张图片

4、这里使用我们之前创建好的fimma账号连接林,

部署FIM 2010 R2—5配置Synchronization Service_第4张图片

5、如果上面的信息输入无误的话会转到下面这个界面,让我们选择要同步的目录分区,

部署FIM 2010 R2—5配置Synchronization Service_第5张图片

6、在“Configuration Provisioning Hierarachy”中保持默认,选择“下一步”,

这里默认没有选择“User”,要勾选上“User”,然后选择“下一步”,

部署FIM 2010 R2—5配置Synchronization Service_第6张图片

7、SelectAttributes中选择“sAMAccountName”,

部署FIM 2010 R2—5配置Synchronization Service_第7张图片

8、Configure Connector Filter 中保持默认,选择“下一步”,

下图需要选中”User”然后选择“New Join Rule”,

部署FIM 2010 R2—5配置Synchronization Service_第8张图片

9、Mapping Type 选择“Direct”,

Metaverse Object Type 选择“Person”,

Metaverse attrubute 选择“uid”,

最后选择“Add Condition”,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第9张图片

10、在弹出的小窗口中选择“OK”,再选择“OK”。

然后在选择“New Projection Rule”,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第10张图片

11、Metaverse objuect type 选择“Person”,

部署FIM 2010 R2—5配置Synchronization Service_第11张图片

然后选择“下一步”,

Configure Attribute Flow配置:

在Data source object type中选择user,Data source

attribute选择samAccountName,Metaverse object type选择person,metaverse attribute选择uid,mapping type选择Direct,Flow Direction选择Import,

然后选择“NEW”,选择“下一步”,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第12张图片

12、Configure Deprovisioning中保持默认,

在Configure Extensions中,勾选Enable Password Management,点击setting,勾选Unlock locked accounts when resetting passwords

部署FIM 2010 R2—5配置Synchronization Service_第13张图片

13、最后选择“Finish”,ADMA创建完成,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第14张图片

部署FIM 2010 R2—5配置Synchronization Service_第15张图片

14、接下来按照同样的方法创建 zyliday域的MA。这里一定要保证contoso域控能够解析zyliday域,否则在创建zyliday域的MA时会报错,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第16张图片

15、后来我找到一个方法,这里需要单独搞一台DNS服务器,让这台FIM分别能够解析contoso.com和zyliday.com俩个域。

部署FIM 2010 R2—5配置Synchronization Service_第17张图片

16、安装DNS就不给大家详细介绍了,勾选完DNS Server选项后,全部下一步。

部署FIM 2010 R2—5配置Synchronization Service_第18张图片

17、同时需要将FIM服务器的DNS指向自己,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第19张图片

18、在FIM01这台DNS上不做任何配置,只是做俩个转发器,分别转到contoso域和zyliday域,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第20张图片

部署FIM 2010 R2—5配置Synchronization Service_第21张图片

19、下面我们再次填写MA信息,可以正常验证通过,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第22张图片

部署FIM 2010 R2—5配置Synchronization Service_第23张图片

20、接下来的步骤和创建ContosoMA是一样的,这里不依次截图了。

创建完成以后,我们可以看到俩个域的MA,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第24张图片

 

21、为我们刚刚的MA创建Run Profile, Run Profiles是为了将fim数据库与MA连接的域用户或组的信息,进行导出或者导入操作,

打开Synchronization Service, 选择Management Agent, 选中其中一个ZylidayMA,再选择右侧的“Configure run Profiles”,

部署FIM 2010 R2—5配置Synchronization Service_第25张图片

22、选择“New Profile”,填写Run Profiles的名称, 如下图

部署FIM 2010 R2—5配置Synchronization Service_第26张图片

23、选择“Full import(Stage only)”,

部署FIM 2010 R2—5配置Synchronization Service_第27张图片

24、最后选择“Finish”, 如下图,

部署FIM 2010 R2—5配置Synchronization Service_第28张图片

25、按照同样的步骤为ZylidayMA再创建3个Run Profiles,在Configrue Step页面中 Type处分别选择,

  • Full Synchronization

  • Delta Import and Synchronization

  • Export

部署FIM 2010 R2—5配置Synchronization Service_第29张图片

26、按照同样的方法为ContosoMA也做同样的Run Profiles,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第30张图片

27、为每个ADMA按顺序运行Full Import (Stage Only)和Full Synchronization,完全同步后之后,以后只需要运行增量同步Delta Import and Synchronization,如下图,

部署FIM 2010 R2—5配置Synchronization Service_第31张图片

部署FIM 2010 R2—5配置Synchronization Service_第32张图片

28、同步结果如下,

部署FIM 2010 R2—5配置Synchronization Service_第33张图片

欢迎关注我的博客http://zyliday.blog.51cto.com/  ,致力于为大家提供更多优质的IT博文.谢谢!