• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD Domain und AD LDS via MIM 2016 synchronisieren

Mrz 22, 2016 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow |

 

AD Domain und AD LDS via MIM 2016 synchronisieren

Wie bereits im Artikel zu AD LDS Proxy Authentication beschrieben, lässt sich selbige hervorragend für die zentrale Weiterleitung von Anmeldeanforderungen nutzen. Damit die AD LDS Instanz eine Weiterleitung auslösen kann, müssen die Benutzerobjekte aus der Active Directory Domain als sogenannte userProxy Objekte im AD LDS vorhanden sein. Wie diese Objekte mit Unterstützung der MIM 2016 Sync Engine erzeugt und verwaltet werden können, werde ich in diesem Artikel beschreiben:

Inhaltsverzeichnis

  • 1 MIM 2016 Sync Engine
  • 2 AD Domain und AD LDS synchronisieren
    • 2.1 Active Directory Management Agent (AD MA)
    • 2.2 Active Directory Lightweight Directory Services Management Agent (AD LDS MA)
  • 3 AD LDS Object-Provisioning
  • 4 Zusammenfassung

MIM 2016 Sync Engine

Seit April 2015 ist die Sync Engine des MIM 2016 / FIM 2010R2 lizenzkostfrei einsetzbar. Es bietet sich daher an, die userProxy Objekte mittels MIM 2016 anzulegen. Eine komplette Anleitung zur Installation und Konfiguration von MIM 2016 zu beschreiben, würde hier den Rahmen des Artikels sprengen. Der Beitrag wird sich aus diesem Grund auf die speziellen Einstellungen zur Erzeugung von userProxy Objekten beziehen.

AD Domain und AD LDS synchronisieren

In unserem Beispiel sollen eine Active Directory Domain mit einer AD LDS Instanz synchronisiert werden. Die AD Domain wird mittels Active Directory Management Agent (AD MA) angebunden. Für die AD LDS Instanz wählen wir den AD LDS Management Agent (AD LDS MA).

MIM-Sync1

Ziel der Konfiguration ist es, in AD LDS ein userProxy Objekt anzulegen, welches als ObjectSID die ObjectSID des Active Directory Benutzers hat. Kurz: Die Synchronisation von Objekten zwischen AD Domain und AD LDS. Der AD MA wird die Benutzerobjekte aus der AD Domain einlesen und sogenannte Hologramme in der MIM 2016 Metaverse anlegen.

Active Directory Management Agent (AD MA)

Damit die ObjectSID der AD Konten in der MIM Metaverse verfügbar werden, müssen wir einen Attribute Flow dafür konfigurieren. ObjectSID (AD) → ObjectSID (MV). Um das AD LDS Objekt mit weiteren Attributen anreichern zu können, empfiehlt es sich hier weitere Eigenschaften hinzuzufügen, z.B. SamAccountName, Displayname, Vorname, Nachname usw.

Attribute-Flow-AD-MV

Active Directory Lightweight Directory Services Management Agent (AD LDS MA)

Wichtig bei der Konfiguration des AD LDS MA ist, dass wir den Object-Type “userProxyFull” auswählen, da dieser sonst bei der Konfiguration des Attribute-Flow nicht zur Verfügung stehen wird. Erst durch das Setzen des Häkchens „show all“ wird der Object-Type auswählbar.

ObjectType_userproxyFull

AD LDS Object-Provisioning

Die FIM 2010R2 / MIM 2016 Sync Engine ist „out-of-the-box“ leider nicht fähig Objekte in einer AD Domain oder AD LDS Instanz anzulegen.
Um dies zu bewerkstelligen muss eine sogenannte „Metaverse Rules Extension“ eingebunden werden.

Metaverse Rules Extension

„Metaverse Rules Extensions“ sind DLLs, welche als C# Code z.B. in Visual Studio erstellt werden können. Die Entwickler der Firstattribute AG haben uns hier tatkräftig unterstützt und eine Extension für die Provisionierung von AD LDS Objekten erzeugt. Kontaktieren Sie uns, wenn Sie Unterstützung benötigen.

Bei der Konfiguration des AD LDS MA Attribute-Flow (MV → AD LDS) stell man fest, dass MIM 2016 es nicht zulässt die ObjectSID des AD LDS Objekts direkt zu beschreiben.

objectSID-read-only

Auch hier kann die „Metaverse Rules Extension“ unterstützen und die ObjectSID des AD LDS Objektes beschreiben. Ein Auszug aus einem Beispiel Code für eine einfache Metaverse Rules Extension könnte so aussehen:

 Extension-Code

csentry =          ConnectorSpace Object des AD LDS MA
mventry =        Metaverse Obiect

Es wird ein AD LDS Objekt angelegt, bei welchem lediglich der CN und die ObjectSID gefüllt sind. Die weiteren Eigenschaften des Objekts können per Attribute Flow hinzugefügt werden. Das Bild des Attribute Flow der MIM Sync Engine zeigt nochmals den speziellen Object-Type „userProxyFull“ der AD LDS Instanz.

Attribute-Flow-MV-ADLDS

Zusammenfassung

Die Management Agents (AD MA / AD LDS MA) der MIM 2016 Sync Engine synchronisieren die Eigenschaften der Objekte von der AD Domain in die AD LDS Instanz. Für die Anlage neuer Objekte in der AD LDS Instanz muss eine Metaverse Rules Extension eingesetzt werden.

MIM-Sync2

Haben Sie Interesse an einer AD LDS Proxy Authentication mit MIM 2016 Synchronization – dann sprechen Sie uns an. Die Consultants und Entwickler der Firstattribute AG unterstützen Sie gerne.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 22.03.2016
Tags: AD LDSIDMMicrosoft Identity ManagerMIMSynchronisation
0

You also might be interested in

Active Directory Lightweight Services

AD LDS Proxy Authentication

Mrz 2, 2016

Das AD LDS – Active Directory Lightweight Directory Services (ehemals[...]

QMM EX: Postfach synchronisieren – die häufigsten Probleme

QMM EX: Postfach synchronisieren – die häufigsten Probleme

Jul 11, 2014

Der Dell / Quest Migration Manger for Exchange QMMEX ist[...]

AD DS versus AD LDS

AD DS und AD LDS im Direktvergleich

Apr 9, 2019

In diesem Artikel werden die Unterschiede zwischen den Verzeichnisdiensten Active[...]

1 Comment

Leave your reply.
  • Schovanez Gerald
    · Antworten

    2. Juni 2016 at 5:52 AM

    Wir verwenden seit Jahren die Applikation „One Identity Quick Connect“ von Dell (ehemals Quest), ist auch free. Ist meiner Meinung nach einfacher zu konfigurieren. Wir hatten bisher keine Probleme und syncen damit über 60.000 User Accounts aus 7 Domains in ein ADLDS.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next