Tags: Active Directory, Identity-Management, Synchronisierung
Microsoft Identity Manager überträgt nicht nur Objekte zwischen verschiedenen Verzeichnisdiensten. Zusätzlich enthält er den Password Change Notification Service, der Kennwörter bei Änderung zwischen Domänen synchronisiert. Dies vereinfacht die Anmeldung für Benutzer, wenn sie nur ein Passwort benötigen.
Microsoft Identity Manager (MIM) bietet für die Kennwort-Synchronisation zwei Optionen an:
- Verwendung des Benachrichtigungsdienstes für Kennwortänderungen (Password Change Notification Service, kurz PCNS).
- Web-basiertes Self-Service-Portal (Service and Portal) für die Kennwortzurücksetzung, das auch eine Synchronisierung veranlassen kann.
In diesem Artikel schauen wir uns anhand einer Laborumgebung an, wie der PCNS installiert und konfiguriert wird. Ziel ist es, Benutzerkennwörter von einem Domain-Forest zu einem anderen zu synchronisieren.
Meine Umgebung sieht folgendermaßen aus:
- 1 Domain Controller für contoso.local
- 1 Domain Controller für roland.local
- 1 MIM-Server, auf dem der Synchronisationsdienst läuft, und der Mitglied der contoso-Domäne ist.
Installation
Der PCNS Agent muss auf allen Domain Controllern der Quelldomäne installiert werden. Für den PCNS ist ein SharePoint-Server nicht erforderlich, dieser wird erst für Service and Portal benötigt.
Ich starte die Installation mit dem Aufruf der setup.exe im Ordner Password Change Notification Service, der sich auf der ISO für die MIM-Installation befindet:
msiexec /i <path of Password Change Notification Service.msi package> SCHEMAONLY = TRUE
Gleich beim Start weist das Setup darauf hin, dass für PCNS eine Erweiterung des AD-Schemas erforderlich ist und man daher die Installation mit den Berechtigungen eines Schema-Administrators ausführen sollte.
Für den weiteren Installationsverlauf kann dann einfach auf Weiter und dann auf Fertigstellen klicken.
Nach der Schemaanpassung sollte der eigentliche Installationsdialog von PCNS auftauchen. Ist das nicht der Fall, dann startet man die Setup.exe einfach nochmal. Auch hier ist die Installation relativ unspektakulär und kann mit Weiter und Fertigstellen durchlaufen werden.
Der Domänen Controller muss dann neu gestartet werden, um die Installation abzuschließen.
Konfiguration des PCNS
Im nächsten Schritt muss man einen Service Principal Name (SPN) erstellen. Er dient der Kommunikation des Domain Controllers mit dem zu synchronisierenden Server. Es wird dabei eine Kerberos-Authentifizierung verwendet. Der SPN wird im Active Directory unter dem registrierten Benutzerkonto als Attribut geführt.
Die Syntax für diesen Befehl schaut wie folgt aus:
Setspn.exe -a <user defined friendly name for MIM server>/<FQDN of MIM server> <domain>\<MIM Sync account>
Über
Setspn.exe -l domain\username kann der SPN-Eintrag geprüft werden.
Als nächstes muss der PCNS-Agent mit Hilfe von pcnscfg.exe konfiguriert werden. Die Datei befindet sich im Verzeichnis %ProgramFiles%\Microsoft Password Change Notification.
pcnscfg.exe addtarget /N:DC01 /A:DC01.contoso.local /S:PCNSCLNT/mim2.contoso.local /FI:"Domänen-Benutzer" /FE:"Domänen-Admins" /I:600 /F:1 /WL:30 /WI:60
Das Tool akzeptiert diese Parameter, sie haben folgende Bedeutung:
| /N | Eindeutiger Name des Ziels |
| /A | FQDN des Ziels |
| /S | SPN des Ziels (das Sie oben hinzugefügt haben) |
| /FI | Die Filtereinschlussgruppe. Beachten Sie, dass dies eine Gruppe und keine Organisationseinheit ist. |
| /FE | Filtert Gruppen, deren Kennwort nicht synchronisiert werden muss (z. B. "Domänen-Admins") |
| /F | An das Ziel übermitteltes Benutzername-Format (1 = FQDN) |
| /I | Keep-Alive-Intervall in Sekunden |
| /WL | Protokolliert eine Warnung, wenn die Warteschlange diese Länge erreicht oder überschreitet |
| /W | Intervall zum Protokollieren der Warteschlangenlänge in Minuten |
Damit wäre die Konfiguration am Domain Controller abgeschlossen. Weiter geht es auf dem MIM-Server, hier müssen die jeweiligen MetaAgents abgepasst werden. Zuerst kümmere ich mich um jenen für die contoso-Domäne.
Hier muss unter Password Synchronisation der Haken bei Enable this partition as a password synchronization source gesetzt werden. Zudem gebe ich unter Target das Ziel bzw. die Zieldomäne an.
Hinweis: Bei der Erstkonfiguration steht hier die Spalte Password Management auf Disabled. Erst beim Anklicken der Domain und durch das Bestätigen von OK wird der Status auf Enabled geändert.
Beim Agent für die andere Domäne muss man Folgendes machen:
Unter Configure Extensions setzt man den Haken bei Enable password management und passt unter Settings die Optionen im folgenden Dialog so an, wie aus dem Screenshot ersichtlich.
Zum Abschluss muss unter Tools => Options noch Enable password synchronization aktiviert werden.
Die Konfiguration wäre damit abgeschlossen.
Als Test kann man einem Benutzer in der contoso-Domäne ein neues Kennwort geben und dann eine Anmeldung in der roland-Domäne versuchen. Falls das nicht klappt, sollte das Eventlog des Domain Controllers von contoso.local und des MIM-Servers auf Fehler überprüft werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Identitäten für Microsoft 365: nur Cloud, synchronisiert oder föderiert
- Benutzerkonten zwischen AD-Forests synchronisieren mit dem Microsoft Identity Manager
- Microsoft Identity Manager 2016 Synchronization Service installieren
- Microsoft Identity Manager 2016: Überblick über die Funktionen
- Verknüpfte Microsoft-Konten in Windows 8 mit GPOs verwalten
Weitere Links