FIM2010R2 同步GAL实验手册
ForeFront IdentityManager2010R2(FIM2010R2)组件介绍:
作为微软新一代的企业信息管理解决方案,ForeFront Identity Manager 2010R2无论是在功能上还是平台支持上都有很大的提升,本文档将针对ForeFront Identity Manager 2010R2的软件架构以及常用简单模式的FIM2010R2部署做介绍。
在ForeFront Identity Manager 2010R2中共包含一下几个组件,如下图所示:
如上图所示,FIM2010R2的所有组件中,大致可归类为客户端、IDM平台以及信息存储平台三类。其中客户端用于最终用户;IDM平台用于FIM后台工作过程实现;而信息存储则指企业环境中各个业务平台数数据库及应用服务器。
FIM客户端:在ForeFrontIdentity Manager 2010中,客户端大致分为以下几种类型:基于IE浏览器的访问站点、基于操作系统及其应用程序的扩展以及自定义客户端。通常情况下企业可使用前两种类型的客户端完成企业的大部分需求,通过这两种客户端,用户可选择通过浏览器的方式或在Windows系统未登录状态下来完成某些功能的实现,但是对于具备特殊需要的企业,可通过ForeFrontIdentity Manager 2010R2提供的API接口进行客户的自定义。
常见FIM客户端包括有已安装FIM扩展的Windows操作系统、已安装FIM扩展的Outlook2010、FIM Portal以及FIM自助服务站点。
IDM平台:当用户将自身的需求通过各种FIM客户端提交给FIM服务时,或当FIM组件监测到相关用户信息变更时,FIM服务可通过其自身各组件以及额外的数据路由配置等信息对客户端请求进行处理,并对信息存储区域的相关应用进行调用以完成整个工作流程,该部分为FIM运行过程中的核心组件所在。
IDM平台通常包括以下FIM组件:
FIM服务:用来响应来自FIM客户端的请求信息。
FIM同步服务:在多个信息存储之间进行数据同步,例如用户在Oracle数据库中对某个用户的职称信息进行了修改,此时FIM同步服务可根据配置将修改同步到其他数据库中,比如活动目录数据库。
FIM证书管理:对存在于网络中的证书办法机构进行管理。
FIM密码修改通知服务:部署在活动目录服务器上的密码修改通知服务。
信息存储:在FIM运行过程中,当FIM组件监到信息存储部分数据库中某用数据信息变动时,FIM组件会将该信息进行获取并对其进行转换,同时传送到不同平台的其他信息存储数据库中。而信息存储部分在此过程中起到信息导入导出功能。如下图所示:
而本次实验中主要是跨林实现Exchange 2010 全局地址列表的同步,所以在这个实验中我们只用到FIM2010R2的同步服务器组件,对于其他组件这里均不做演示。
简单环境部署
一、环境介绍(五台服务器,一台客户端)
a)域控制器:VIA-DC01.contoso.com,VIA-DC02.Fabrikam.com
b)邮件服务器:VIA-EX01.contoso.com,VIA-EX02.Fabrikam.com
c)FIM2010R2 Sync 服务器:VIA-FIM01.contoso.com
d)测试客户端:VIA-CLT01.contoso,VIA-CLT02.Fabrikam.com
二、拓扑简图
三、安装软件清单
服务器名称 |
操作系统版本 |
基础软件安装清单 |
VIA-DC01 |
Windows server 2008R2 |
IIS 7.5所有组件 企业根证书服务器 活动目录服务 |
VIA-DC02 |
Windows server 2008R2 |
IIS 7.5所有组件 企业根证书服务器 活动目录服务 |
VIA-EX01 |
Windows server 2008R2 |
IIS 7.5 Exchange Server 2010 |
VIA-EX02 |
Windows server 2008R2 |
IIS 7.5 Exchange Server 2010 |
VIA-FIM01 |
Windows server 2008R2 |
SQL Server 2008R2 EMC FIM 2010R2 Sync |
VIA-CLT01 |
Windows 7 |
Outlook 2010 |
VIA-CLT02 |
Windows 7 |
Outlook 2010 |
四、安装步骤和说明
1、在VIA-DC01上部署域控制器,首先修改计算机名称为”VIA-DC01”;
2、修改其IP地址为”10.0.0.2”,如下图所示;
3、创建该机器为林中的第一台域控制器,打开cmdàDcpromo;
4、默认下一步;
5、默认下一步;
6、选择”Create a new domain in a forest”,点击下一步;
7、输入”FQDN ofthe forest root domain”为contoso.com,点击下一步;
8、林的功能级别选择为”Windowsserver 2008R2”,点击下一步;
9、默认下一步;
10、输入目录服务还原模式密码,点击下一步;
11、正在安装,勾选安装完成后自动重启系统;
12、重启系统后打开ADUC,创建一个OU名为”GalSync”;
13、输入OU名称为”GalSync”,点击”OK”;
14、然后在”GalSync”这个OU下新建如图所示两个子OU;
15、在Contoso_Users OU下新建如图所示四个User,用来测试;
16、创建ServicesAccount OU;
17、在ServiceAccount OU下新建一个User为”FIMGalSync”的账户,主要是用来做FIM2010R2的用户身份验证;
18、创建完成;
19、添加安全权限给FIMGalSync用户,右键contoso.com,点击属性;
20、选择”Security”,点击”Add”;
21、选择FIMGalSync账户,点击OK;
22、赋予FIMGalSync账户的权限为 Allow ”Replicating Directory”,点击OK;
23、选择GalSync OU右键属性;
24、选择”Security”,点击”Advanced”;
25、选择”Add”;
26、添加FIMGalSync账户,点击OK;
27、赋予FIMGalSync账户具有”Full control” 权限,点击”OK”;
28、在VIA-DC01上打开DNS服务器,右键点击”Conditional Forwarders”,点击New ConditionalForwarders;
29、在DNS Domain处输入”Fabrikam.com”,IP Address 处输入10.0.0.12,勾选如图所示选项匡,点击”OK”;
30、创建完成;
31、打开cmd,Ping Fabrikam.com能正常Ping通;
32、在VIA-EX01上部署Exchange Server 2010,修改其计算机名称为”VIA-EX01”;
33、修改其IP地址为”10.0.0.3”;
34、将其加入到Contoso.com域中;
35、加入成功,重启计算机;
36、重启计算机后,登陆计算机,安装Exchange 2010所需组件,打开Windows Powershell,输入如图命令;
37、输入安装Exchange2010所有角色需要的组件命令;
38、安装Microsoft Filter Pack 2.0;
39、点击接受协议,点击下一步;
40、安装完成;
41、设置Net.TCP Port Sharing为自动、启动;
42、安装Exchange 2010,点击下一步;
43、默认下一步;
44、输入Exchange Organization为”Contoso”,点击下一步;
45、输入CAS访问地址为”Mail.contoso.com”;
46、默认下一步;
47、检查无误,点击Install;
48、安装完成,创建User,点击下一步;
49、选择现有用户,找到相应用户,如Alice,点击OK;
50、选择默认的MBX,点击下一步;
51、创建User完成
52、用上述方式依次创建其他账号,创建完成后如图所示;
53、打开EMC,找到Toolbox,双击”RBAC”;
54、在弹出的Web中输入administrator和相应密码登录;
55、选择”Administrator Roles”à双击”RecipientManagement”;
56、选择”Add”,添加User”FIMGalSync”,点击”OK”;
57、点击”Save”;
58、在VIA-DC02上部署新林中的新域控制器(Fabrikam.com),修改计算机名称为”VIA-DC02”
59、配置IP地址为下图所示,安装域控制器过程请参考部署VIA-DC01;
60、创建完成后登陆到VIA-DC02,在ADUC上创建OU名为”GalSync”,并创建两个子OU,且在Fabrikam_Users上创建如图四个User,用于做Sync测试;
61、创建ServicesAccount OU,并创建User为测试管理员账户;
62、打开ADUC,右键点击”Fabrikam.com”à点击”属性”;
63、选择”安全”,添加”FIMGalSync”账户,点击”OK”;
64、在权限处勾选”Replicating Directory Changes”为Allow,点击OK;
65、右键点击OU ”GalSync”à点击”属性”;
66、在”Security”à点击”Advanced”;
67、在”Pemissions”à点击”Add”;
68、选择User “FIMGalSync”,权限”This object and all descendant objects” 为Allow;
69、在VIA-DC02上打开DNS服务器,右键点击”New Conditional Forwarder”;
70、在”DNS Domain”处输入”contoso.com”,IP Address 输入”10.0.0.2”.点击”OK”;
71、打开Cmd,ping contoso.com,能正常ping通;
72、在VIA-EX02上安装Exchange2010,修改计算机为VIA-EX02;
73、配置IP为”10.0.0.13”;
74、部署Exchange 2010的方式跟VIA-EX01相同,在这不在重复,创建User邮箱账户,在这里创建了四个邮箱账户,分别如图所示;
75、在EMC上点击Toolbox,打开RBAC,将FIMGalSync账户添加到”Recipient Management”中;
76、在VIA-FIM01上部署FIM2010R2,配置IP为”10.0.0.4”;
77、修改计算机名称,并将这台计算机加入到contoso.com域中,如图所示;
78、添加成功,重启计算机;
79、打开服务器管理器,找到”Features”,安装.net 3.5;
80、安装完成;
81、安装SQL Server 2008R2,点击”Installation”;
82、点击安装;
84、检查完成,点击”Next”;
85、选择”SQL Server Feature Installation”,点击”Next”;
86、勾选所需的选项,点击”Next”;
87、添加管理账户和密码,点击”Next”;
88、选择”Install the native mode default configuration”,点击”Next”;
89、点击”Install”;
90、安装完成;
91、在VIA-FIM01上安装Windows Powershell,打开服务器管理器,点击”Features”;
92、安装完成;
93、在VIA-FIM01上安装EMC;
94、选择自定义安装,点击下一步;
95、点击”Management Tools”,点击”Next”;
96、安装前检查完成,点击”Install”;
97、安装完成;
98、在VIA-FIM01服务器上安装FIM2010R2,点击”Install Synchronization Service”;
99、在弹出的对话框中点击”Run”;
100、再次点击”Run”;
101、在弹出的安装向导中点击”Next”;
102、勾选”I accept the terms in the license Agreement”,点击”Next”;
103、默认点击”Next”;
104、默认点击”Next”;
105、安装完成,点击”Finish”;
106、在弹出的对话框中点击”Yes”,提示注销重新登录;
107、重新登录后在开始菜单中找到”Synchronization Service”,并点击它;
108、在弹出的”Synchronization Service”中选择”Management Agents”—>点击”Create”;
109、在Create management Agent中选择”Active Directory globaladdress list(GAL)”,在Name处输入”Contoso”,点击”Next”;
110、在Connect to Active Directory Forest处输入Forest Name为”Contoso.com”,以及之前在ADUC上创建的Sync账户FIMGalSync和密码,Domain处输入”contoso”,点击”next”;
111、在”Configure Directory Partitions”处勾选”DC=contoso,DC=com”,找到”Containers”并点击,在弹出的对话框中仅选择”GalSync” OU;
112、在”Configure GAL”处,点击”Target”à再点击”Container”,仅勾选”Contacts”,目的是将Fabrikam.com中的User Sync到这个OU中;
113、然后点击”Edit”à在”Add”处输入”@contoso.com”并点击Add,然后点击”OK”;
114、默认下一步;
115、默认下一步;
116、默认下一步;
117、默认下一步;
118、默认下一步;
119、默认下一步;
120、默认下一步;
121、在Exchange 2010 PRS RRI处输入Http://VIA-EX01.contoso.com/Powershell,点击”Finish”;
122、同样的方式创建Fabrikam.com
123、在选项卡”Tools”à点击”Options”;
124、勾选”Enable Provisioning Rules Extension”,点击”OK”;
125、接下来就是来同步两个林中的账户,先选择”contoso”,点击”Run”;
126、选择”FullImport(Stage Only)”,点击”OK”;
127、Run完成后,可以点击”Adds”和”Updates”来查看当前的object;
128、同样的方式在Fabrikam上也运行一遍;
129、选择”FullImport(Stage Only)”,点击”OK”;
130、Run完成后,可以点击”Adds”和”Updates”来查看当前的object;
131、接下来再点击”Contoso”,à点击”Run”,选择”FullSynchronization”,点击”OK”;
132、运行完成,查看当前User;
133、点击”Fabrikam”,à点击”Run”,选择”FullSynchronization”,点击”OK”;
134、查看User,已看到Fabrikam域中的User,也能看到Contoso域中的User;
135、再点击”Contoso”à”Run”,选择”Export”,点击”OK”;
136、如图所示,已更新Fabrikam域中的User;
137、再点击”Fabrikam”à”Run”,选择”Export”,点击”OK”;
138、如图所示,已更新Contoso域中的User;
139、在回到VIA-DC01上,打开ADUC,查看OU”GalSync”à”Contacts”,出现Fabrikam域的域用户,则证明成功将Fabrikam域的用户导入到Contoso域中;
140、在回到VIA-DC02上,打开ADUC,查看OU ”GalSync”à”Contacts”,出现Contoso域的域用户,则证明成功将Contoso域的用户导入到Fabrikam域中;
141、打开VIA-CLT01 ,查看Outlook2010全局地址列表,已成功更新Fabrikam域中的User到Contoso域中;
142、打开VIA-CLT02 ,查看Outlook2010全局地址列表,已成功更新Contoso域中的User到Fabrikam域中。
到此,该实验已成功操作完成。
五、参考资料
http://technet.microsoft.com/zh-CN/forefront/cc470030
http://support.microsoft.com/kb/303972
http://technet.microsoft.com/en-us/video/configuring-global-address-list-gal-synchronization-with-forefront-identity-manager-fim-2010.aspx