Microsoft Identity Manager 2016 Synchronization Service installieren

    Installation des MIM Synchronization ServiceZu den Kern­funk­tionen von Microsoft Identity Manager (MIM) 2016 gehört das Synchro­nisieren von Objek­ten zwischen ver­schiedenen Ver­zeichnis­diensten. Dieser Beitrag be­schreibt das Setup für den Synchro­nization Service, welcher später Benutzer zwischen den Do­mänen von zwei AD-Forests über­tragen soll.

    Microsoft Identity Manager 2016 ist ein relativ komplexes Produkt, für dessen Instal­lation man erst einige Voraus­setzungen schaffen muss (zu den wichtigsten Features von MIM siehe diese Übersicht). Sein Betrieb erfordert unter anderem einen SQL Server und Visual Studio.

    Erforderliche Komponenten

    Im Detail installiere ich folgende Software in meinem Lab:

    • Microsoft Identity Manager 2016
    • Microsoft SQL Server 2012 SP1
    • Microsoft Visual Studio 2012

    Meine Umgebung schaut wie folgt aus:

    Lab-Umgebung, bestehend aus zwei Forests, deren Domänen über eine Vertrauensbeziehung verknüpft sind.

    Meine beiden Domänen heißen contoso.local und roland.local. Sie sind über einen bidirek­tionalen Trust mit­einander verbunden (siehe dazu: Ver­trauens­stellung zwischen Forests im Active Directory ein­richten). Sie enthalten jeweils einen Exchange- und einen SharePoint-Server.

    Der MIM-Server ist Mitglied der contoso-Domäne und wird auf Windows Server 2016 installiert, für Server 2019 ist er aktuell noch nicht freigegeben. Alle Dienste sowie die Datenbank richte ich direkt auf dem MIM-Server ein.

    MIM verwendet einen Service-User, um mit dem Active Directory der jeweiligen Domäne zu kommunizieren. In produktiven Umgebungen wird man dafür Service Accounts einsetzen, im Lab nehme ich dafür einfach den Administrator.

    SQL Server installieren

    Im ersten Schritt installiere ich Microsoft SQL Server auf dem MIM-Server. Bevor man damit loslegt, sollte man sicher­stellen, dass auf dem Rechner das .NET Framework 3.5. vorhanden ist. Dieses kann man bei Bedarf über den Server Manager hinzufügen.

    Folgende Funktionen werden für SQL Server mitinstalliert:

    • Database Engine Services
    • Volltext- und semantische Extraktion für die Suche
    • Konnektivität der Clienttools
    • Verwaltungstools - Einfach
    • Verwaltungstools - Vollständig

    Auswahl der Funktionen von SQL Server, die installiert werden sollen

    Unter Serverkonfiguration sollte der Starttyp für SQL Server Agent auf Automatisch gestellt werden.

    Starttyp für SQL Server Agent auf automatisch setzen

    Visual Studio 2012 hinzufügen

    Visual Studio ist, wie schon oben erwähnt, eine weitere Voraussetzung für den Microsoft Identity Manager. Hier lasse ich eine Standard­installation durchlaufen, bei der ich alle optionalen Features auswähle.

    Installation von Visual Studio

    Setup von MIM starten

    Jetzt kann ich mit der eigentlichen Installation von MIM beginnen. Für den MIM Synchronisation Service muss auf dem Installations-Image unter Synchro­nization Service die Setup.exe ausgeführt werden.

    Setup für den Synchronization Service starten

    In meiner Laborumgebung nutze ich die Default-Einstellungen.

    Installation des Synchronization Service mit den Standardwerten

    Nachdem der SQL Server auf der gleichen Maschine läuft wie MIM, belassen wir im nächsten Dialog den Vorgabewert This computer.

    Konfiguration des SQL-Servers für den Synchronization Service

    Der Server ist bis dato kein Mitglied einer Domäne, daher muss ein lokaler User eingetragen werden. Es empfiehlt sich auch hier, in einer produktiven Umgebung über einen lokalen Service-User nachzu­denken.

    Konto festlegen, unter dem der MIM Synchronization Service laufen soll

    Danach werden einige lokale Gruppen angelegt, welche für die Rollen im MIM zuständig sind.

    Namen der Gruppen für die Rollen im MIM eingeben bzw. bestätigen

    Die Firewall-Regeln können durch das Setup automatisch angepasst werden.

    Das Setup kann die von MIM benötigten Ports in der Firewall öffnen

    Nach dem Bestätigen des nächsten Dialogs beginnt die Installation. Nach ihrem Abschluss kommt die Meldung hoch, wonach das Setup ein Backup der Verschlüsselungs-Keys erstellen wird.

    Das Setup bietet an, die Keys für die Verschlüssung herunterzuladen.

    Diese Datei sollte gut aufbewahrt werden, daher lege ich sie im meinem Lab in ein eigenes Verzeichnis ab.

    Abschluss der Installation des MIM Synchronization Service

    Nach der Fertigstellung kommt eine Aufforderung zum Ab- und Anmelden am Server. Dies ist notwendig, weil unser Installations­konto während der Installation Mitglied in der Gruppe FIMSyncAdmins geworden ist. Erst durch die erneute Anmeldung wird diese Änderung wirksam und der Account erhält die Rechte dieser Gruppe.

    Keine Kommentare