• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

AD Domain und AD LDS via MIM 2016 synchronisieren

Mrz 22, 2016 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow |

 

AD Domain und AD LDS via MIM 2016 synchronisieren

Wie bereits im Artikel zu AD LDS Proxy Authentication beschrieben, lässt sich selbige hervorragend für die zentrale Weiterleitung von Anmeldeanforderungen nutzen. Damit die AD LDS Instanz eine Weiterleitung auslösen kann, müssen die Benutzerobjekte aus der Active Directory Domain als sogenannte userProxy Objekte im AD LDS vorhanden sein. Wie diese Objekte mit Unterstützung der MIM 2016 Sync Engine erzeugt und verwaltet werden können, werde ich in diesem Artikel beschreiben:

Inhaltsverzeichnis

  • 1 MIM 2016 Sync Engine
  • 2 AD Domain und AD LDS synchronisieren
    • 2.1 Active Directory Management Agent (AD MA)
    • 2.2 Active Directory Lightweight Directory Services Management Agent (AD LDS MA)
  • 3 AD LDS Object-Provisioning
  • 4 Zusammenfassung

MIM 2016 Sync Engine

Seit April 2015 ist die Sync Engine des MIM 2016 / FIM 2010R2 lizenzkostfrei einsetzbar. Es bietet sich daher an, die userProxy Objekte mittels MIM 2016 anzulegen. Eine komplette Anleitung zur Installation und Konfiguration von MIM 2016 zu beschreiben, würde hier den Rahmen des Artikels sprengen. Der Beitrag wird sich aus diesem Grund auf die speziellen Einstellungen zur Erzeugung von userProxy Objekten beziehen.

AD Domain und AD LDS synchronisieren

In unserem Beispiel sollen eine Active Directory Domain mit einer AD LDS Instanz synchronisiert werden. Die AD Domain wird mittels Active Directory Management Agent (AD MA) angebunden. Für die AD LDS Instanz wählen wir den AD LDS Management Agent (AD LDS MA).

MIM-Sync1

Ziel der Konfiguration ist es, in AD LDS ein userProxy Objekt anzulegen, welches als ObjectSID die ObjectSID des Active Directory Benutzers hat. Kurz: Die Synchronisation von Objekten zwischen AD Domain und AD LDS. Der AD MA wird die Benutzerobjekte aus der AD Domain einlesen und sogenannte Hologramme in der MIM 2016 Metaverse anlegen.

Active Directory Management Agent (AD MA)

Damit die ObjectSID der AD Konten in der MIM Metaverse verfügbar werden, müssen wir einen Attribute Flow dafür konfigurieren. ObjectSID (AD) → ObjectSID (MV). Um das AD LDS Objekt mit weiteren Attributen anreichern zu können, empfiehlt es sich hier weitere Eigenschaften hinzuzufügen, z.B. SamAccountName, Displayname, Vorname, Nachname usw.

Attribute-Flow-AD-MV

Active Directory Lightweight Directory Services Management Agent (AD LDS MA)

Wichtig bei der Konfiguration des AD LDS MA ist, dass wir den Object-Type “userProxyFull” auswählen, da dieser sonst bei der Konfiguration des Attribute-Flow nicht zur Verfügung stehen wird. Erst durch das Setzen des Häkchens „show all“ wird der Object-Type auswählbar.

ObjectType_userproxyFull

AD LDS Object-Provisioning

Die FIM 2010R2 / MIM 2016 Sync Engine ist „out-of-the-box“ leider nicht fähig Objekte in einer AD Domain oder AD LDS Instanz anzulegen.
Um dies zu bewerkstelligen muss eine sogenannte „Metaverse Rules Extension“ eingebunden werden.

Metaverse Rules Extension

„Metaverse Rules Extensions“ sind DLLs, welche als C# Code z.B. in Visual Studio erstellt werden können. Die Entwickler der Firstattribute AG haben uns hier tatkräftig unterstützt und eine Extension für die Provisionierung von AD LDS Objekten erzeugt. Kontaktieren Sie uns, wenn Sie Unterstützung benötigen.

Bei der Konfiguration des AD LDS MA Attribute-Flow (MV → AD LDS) stell man fest, dass MIM 2016 es nicht zulässt die ObjectSID des AD LDS Objekts direkt zu beschreiben.

objectSID-read-only

Auch hier kann die „Metaverse Rules Extension“ unterstützen und die ObjectSID des AD LDS Objektes beschreiben. Ein Auszug aus einem Beispiel Code für eine einfache Metaverse Rules Extension könnte so aussehen:

 Extension-Code

csentry =          ConnectorSpace Object des AD LDS MA
mventry =        Metaverse Obiect

Es wird ein AD LDS Objekt angelegt, bei welchem lediglich der CN und die ObjectSID gefüllt sind. Die weiteren Eigenschaften des Objekts können per Attribute Flow hinzugefügt werden. Das Bild des Attribute Flow der MIM Sync Engine zeigt nochmals den speziellen Object-Type „userProxyFull“ der AD LDS Instanz.

Attribute-Flow-MV-ADLDS

Zusammenfassung

Die Management Agents (AD MA / AD LDS MA) der MIM 2016 Sync Engine synchronisieren die Eigenschaften der Objekte von der AD Domain in die AD LDS Instanz. Für die Anlage neuer Objekte in der AD LDS Instanz muss eine Metaverse Rules Extension eingesetzt werden.

MIM-Sync2

Haben Sie Interesse an einer AD LDS Proxy Authentication mit MIM 2016 Synchronization – dann sprechen Sie uns an. Die Consultants und Entwickler der Firstattribute AG unterstützen Sie gerne.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 22.03.2016
Tags: AD LDSIDMMicrosoft Identity ManagerMIMSynchronisation
0

You also might be interested in

AD LDS Proxy Authentication

AD LDS Proxy Authentication

Mrz 2, 2016

Das AD LDS - Active Directory Lightweight Directory Services (ehemals[...]

QMM EX: Postfach synchronisieren – die häufigsten Probleme

QMM EX: Postfach synchronisieren – die häufigsten Probleme

Jul 11, 2014

Der Dell / Quest Migration Manger for Exchange QMMEX ist[...]

AD LDS Installation und Backup mit Powershell

AD LDS Installation und Backup mit Powershell

Okt 16, 2019

Wer häufiger zu Testzwecken oder auch für produktive Installationen Windows[...]

1 Comment

Leave your reply.
  • Schovanez Gerald
    · Antworten

    2. Juni 2016 at 5:52 AM

    Wir verwenden seit Jahren die Applikation “One Identity Quick Connect” von Dell (ehemals Quest), ist auch free. Ist meiner Meinung nach einfacher zu konfigurieren. Wir hatten bisher keine Probleme und syncen damit über 60.000 User Accounts aus 7 Domains in ein ADLDS.

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren
  • AD LDS Installation und Backup mit Powershell
  • E-Mail-Adresse mit PowerShell prüfen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Sebastian Goras bei IsMember – Gruppenmitgliedschaft des Benutzers prüfen
  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
Login
Impressum
Datenschutzerklärung

© 2020 · Active-Directory-FAQ by firstattribute.com

Prev Next