Nachdem der Forefront Identity Manager (FIM) in SharePoint 2016 nicht mehr verfügbar ist, wurde dieser durch den Microsoft Identity Manager (MIM 2016) ersetzt.
Die einfache Synchronisation vom Active Directory nach SharePoint erledigt nun der SharePoint Active Directory Import.
Jeder der schon einmal Probleme beim FIM debuggen durfte, ist wohl über diesen Entschluss von Microsoft nicht traurig. Allerdings ist die Funktionalität vom SharePoint Active Directory Import beschränkt und ein Export vom SharePoint ins Active Directory überhaupt nicht möglich. Deshalb muss man doch ab und zu auf den MIM 2016 zurückgreifen. Wenn man den FIM kennt, wird sich auch sehr schnell in den Oberflächen vom MIM 2016 zu Recht finden. 🙂
Dieser Artikel zeigt euch, wie die Synchronisierungskomponente vom MIM 2016 grundsätzlich installiert wird und die Verbindung zu SharePoint funktioniert. Zur Installation nutze ich ein Image mit integriertem SP1. Zum Start der Installation führen wir die setup.exe im Ordner Synchronization Service aus.
Der standardmäßige Installationspfad kann natürlich angepasst werden, ist in diesem Beispiel aber erst einmal nicht weiter relevant. Außer das der standardmäßige Pfad schon Einiges über die Historie aussagt. Der erste wichtige Punkt ist die Konfiguration einer Datenbankverbindung, wo die notwendige Datenbank gespeichert werden kann. In diesem Beispiel liegt die Datenbank auf einer bereits vorhandenen SQL-Instanz auf einem anderen Server. Auch hier sollte man wie bei SharePoint auch, mit einen SQL-Alias arbeiten. Das vereinfacht das Handling später doch um einiges. Nachdem wir einen SQL-Alias nutzen, müssen wir auch eine keinen Namen für die Instanz angeben, diese steht ja bereits im SQL-Alias.
Im nächsten Schritt muss ein entsprechendes Dienstkonto angegeben werden, unter diesem der Dienst laufen soll. Alle notwendigen Berechtigungen werden automatisch vergeben, hier muss also keine manuelle Nacharbeit erfolgen.
In der nächsten Abfrage werden die lokalen Sicherheitsgruppen definiert, die vom MIM 2016 benötigt werden. Normalerweise können die Default-Einstellungen einfach übernommen werden.
Danach wird noch eine Abfrage durchgeführt, ob die notwendigen Ports in der Windows Firewall freigeschaltet werden sollen (Macht natürlich nur Sinn, wenn diese überhaupt aktiviert ist).
Die Warnung mit der Nummer 25051 könnt Ihr getrost überspringen, weil wir hier ein Testsystem installieren.
Danach muss zwangsweise der Verschlüsselungsschlüssel noch gespeichert werden. Dieser ist ebenfalls noch aus der FIM Welt bekannt und wird nicht tiefer behandelt. Nur soviel, hebt ihn sorgfältig auf.
Danach ist die Installation vom MIM 2016 fertig und Ihr könnt die Verwaltungsoberfläche öffnen. Diese dürfte momentan allerdings noch ziemlich leer sein.
Bevor Ihr mit der Konfiguration der Synchronisierung beginnen könnt, müsst Ihr noch den SharePoint Connector installieren. Diesen findet Ihr hier zum Download. Danach können wir mit der Konfiguration beginnen. Hier sollte zwingend die PnP-Tools Lösung zum Einsatz kommen. Dieses beinhaltet bereits alle notwendigen Konfigurationsdateien und kann per PowerShell ausgeführt werden. Die PnP-Tools mit dem Namen UserProfile.MIMSync findet Ihr bei GitHub. Dann solltet Ihr folgende Dateien zur Verfügung haben:
Zu beachten ist, dass bei jedem Ausführen des Skripts eine MA-ADMA.XML.bak Datei erstellt wird, weil die ursprüngliche Datei MA-ADMA.XML vom Skript verändert wird und nicht noch einmal genutzt werden kann. Also vor jedem Ausführen von Install-SharePointSyncConfiguration immer die vorhandene MA-ADMA.XML Datei durch die MA-ADMA.XML.bak Datei ersetzten. Sonst treten Fehler bei der Ausführung auf. Und solltest Ihr eine ältere Version der PnP-Tools nutzen, müsst Ihr darauf aufpassen, dass die Prüfung der Versionsnummer mit SP1 kompatibel ist. Die SharePointSync.psm1 muss folgendermaßen aussehen, dass es auch mit SP1 funktioniert:
Danach kann mit der Konfiguration der Verbindungen begonnen werden. Dies geschieht mit folgenden Befehlen:
Import-Module E:\_install\UserProfile.MIMSync\SharePointSync.psm1 Install-SharePointSyncConfiguration ` -Path E:\_install\UserProfile.MIMSync ` -ForestDnsName lansco.de ` -ForestCredential (Get-Credential ls\svc-usersync-test) ` -OrganizationalUnit 'OU=Internal Users,OU=Lansco,DC=lansco,DC=de' ` -SharePointUrl http://sp-test02:2016 ` -SharePointCredential (Get-Credential ls\svc-spadmin-test) ` -Verbose
Die Parameter müssen natürlich entsprechend Eurer Umgebung angepasst werden. Diese sind folgendermaßen definiert:
| Parameter | Beschreibung |
|---|---|
| Path | Pfad zu den heruntergeladenen PnP-Tools. |
| ForestDnsName | Name des Forest. |
| ForestCredential | Konto zum Zugriff auf die Domäne. Benutzer benötigt mindestens "Replicate Directory Changes" Berechtigung beim lesenden Zugriff. |
| OrganizationalUnit | Zu synchronisierende OU. In diesem Beispiel nur die internen Benutzer. |
| SharePointUrl | Adresse der SharePoint Zentraladministration. |
| SharePointCredential | Benutzer mit Administrationsrechten auf der User Profile Dienstanwendung. |
Danach sollten zwei Management Agents im Synchronization Service Manager vorhanden sein: ADMA und SPMA. ADMA ist der Agent für die Active Directory Verbindung und SPMA der Agent für die SharePoint Verbindung.
Je nach Version der PnP-Tools muss evtl. beim ADMA das Passwort des Benutzers zur Synchronisierung noch einmal über die Oberfläche eingetragen werden. Ist man sich nicht sicher, schadet dieser Schritt auf keinen Fall.
Damit ist die Grundlegende Installation des MIM 2016 fertig. Die Konfiguration findet Ihr in meinem nächsten Beitrag.
In diesem Sinne, Happy SharePointing…
[…] vorherigen Artikel wurde die Installation vom MIM 2016 beschrieben. In diesem Artikel wird die Konfiguration […]
[…] Installation und Konfiguration vom MIM 2016 wurde bereits in vorherigen Beiträgen behandelt. Ich gehe also davon aus, dass wir einen funktionsfähigen MIM 2016 zur Verfügung […]