注释
本演练使用来自名为 Contoso 的公司的示例名称和值。 将它们替换为你自己的。 例如:
- 域控制器名称 - mimservername
- 域名 - contoso
- 密码 - Pass@word1
默认情况下,MIM 同步服务(同步)未配置任何连接器。 典型的第一步是使用 MIM 同步工具将现有的 Active Directory 帐户导入 MIM 服务数据库。 为此,你将使用 MIM 同步服务应用程序。
创建 MIM 管理代理
MIM 管理代理(MA)是 MIM 同步到 MIM 服务的连接器。 若要创建此连接器,请使用“创建管理代理”向导。
配置 MIM 管理代理时,需要指定用户帐户。 本文档使用 MIMMA 作为此帐户的名称。
注释
用于 MIM 管理代理的帐户必须与在安装 MIM 服务期间指定的帐户相同。 如果计划启用“使用 MIMSync 帐户”功能,则必须使用组托管服务帐户安装 MIM 同步服务。
创建 MIM MA
打开 Synchronization Service Manager。
若要打开“创建管理代理”向导,请更改到“管理代理” 页,然后在“操作”菜单上单击“创建”。
在 创建管理代理 页上,提供以下设置,然后单击 “下一步”。
管理代理: FIM 服务管理代理
名称:MIMMA
在“连接到数据库”页面上,提供以下设置,然后单击“下一步”
服务器:localhost
数据库:FIMService
MIM 服务基址:http://localhost:5725
身份验证模式:Windows 集成身份验证
用户名:mimma
密码:Pass@word
域:contoso
在“所选对象类型 页上,验证是否选择了下面列出的对象类型,然后单击 下一步
DetectedRuleEntry
ExpectedRuleEntry
组
人员
同步规则
在 所选属性 页上,选中 显示所有 并验证是否选择了所有列出的属性,然后单击 下一步。
在“配置连接器筛选器”页面上,单击“下一步”。
在 配置对象类型映射 页上,添加以下映射,然后单击 下一步
- 在 数据源对象类型 列表中选择 人员。
- 单击“添加映射”以打开“映射对话框”。
- 在“Metaverse 对象类型”列表中选择“人员”。
- 单击“确定”关闭“映射”对话框。
- 在 数据源对象类型 列表中选择 组。
- 单击“添加映射”以打开“映射对话框”。
- 在 Metaverse 对象类型 列表中选择 组。
- 单击“确定”关闭“映射”对话框。
在 配置属性流 页上,按如下所示创建属性流映射,然后单击 下一步
选择 Person 作为数据源和 Metaverse 对象类型。
选择“直接”作为“映射类型”。
对于下表中的每个行,请完成以下步骤:
选择表格中该行所示的“流方向”。
选择表中为该行显示的 数据源属性。
选择表中为该行显示的 Metaverse 属性。
若要应用流映射,请单击 “新建”。
数据源属性 流方向 Metaverse 属性 账户名称 出口 账户名称 DisplayName 出口 displayName 域名 出口 域 电子邮件 出口 mail 员工编号 出口 员工编号 员工类型 出口 员工类型 FirstName 出口 firstName LastName 出口 lastName ObjectSID 出口 objectSid 选择 组 作为数据源类型和 Metaverse 对象类型。
选择“直接”作为“映射类型”。
对于下表中的每个行,请完成以下步骤:
选择表格中该行所示的“流方向”。
选择表中为该行显示的 数据源属性。
选择表中为该行显示的 Metaverse 属性。
若要应用流映射,请单击 “新建”。
数据源属性 流方向 Metaverse 属性 账户名称 出口 账户名称 DisplayName 出口 displayName 域名 出口 域 电子邮件 出口 mail 邮件昵称 出口 mailNickName 成员 出口 member ObjectSID 出口 objectSid 范围 出口 范围 类型 出口 类型 MembershipAddWorkflow 出口 membershipAddWorkflow 会员账户已锁定 出口 membershipLocked 账户名称 进口 账户名称 DisplayedOwner 进口 displayedOwner DisplayName 进口 displayName 邮件昵称 进口 mailNickName 成员 进口 member 范围 进口 范围 类型 进口 类型 在“配置取消预配”页面上,单击“下一步”
若要创建管理代理,请在 配置扩展 页上,单击 完成。
创建 AD 管理代理
Active Directory 管理代理是 AD 域服务的连接器。 若要创建此连接器,请使用“创建管理代理”向导。
若要打开“创建管理代理”向导,请在 操作 菜单上,单击 创建。
在 创建管理代理 页上,提供以下设置,然后单击 下一步:
- 管理代理: Active Directory 域服务
- 名称:ADMA
在“连接到 Active Directory 林”页面上,提供以下设置,然后单击“下一步”:
- 林名称:contoso.local
- 用户名:管理员
- 密码:<帐户的密码>
- 域:contoso
在 配置目录分区 页上,提供以下设置,然后单击 “下一步”:
在“选择目录分区”列表中,选择“DC=CONTOSO, DC=local”。
若要打开“选择容器”对话框,请单击 容器。
如果要将容器更改为仅让 MIM 管理特定容器中的对象,请单击 DC=CONTOSO,DC=本地 节点,然后单击感兴趣的容器的节点。
若要关闭“选择容器”对话框,请单击“确定”。
在“配置预配层次结构”页面上,单击“下一步”。
在 “选择对象类型” 页上,提供以下设置,然后单击 “下一步”:
- 在 对象类型 列表中,选择 用户 和 组。
在“选择属性”页面上,选中“显示所有”,选择以下属性,然后单击“下一步”:
- company
- displayName
- 员工编号
- 员工类型
- givenName
- groupType
- managedBy
- 经理
- member
- objectSid
- sAMAccountName
- sAMAccountType
- sn
- unicodePwd
- userAccountControl
在“配置连接器筛选器”页面上,单击“下一步”。
在“配置联接和投影规则”页面上,单击“下一步”。
在 配置属性流 页面上,单击 “下一步”。
在“配置取消预配”页面上,单击“下一步”。
在 配置扩展 页上,单击 完成。
创建运行配置文件
为 ADMA 和 MIMMA 连接器创建运行配置文件。
为 ADMA 连接器创建运行配置文件
下表显示了将为 ADMA 连接器创建的五个运行配置文件:
| 名字 | 类型 |
|---|---|
| 个人资料1 | 完全导入(仅阶段) |
| 简介2 | 完全同步 |
| Profile3 | 增量导入(仅阶段) |
| Profile4 | 增量同步 |
| Profile5 | 出口 |
若要为 ADMA 连接器创建运行配置文件,请执行以下作:
打开同步服务管理器,在 工具 菜单上,单击 管理代理。
在 管理代理 列表中,选择 ADMA。
若要打开“配置运行配置文件”对话框,请在操作菜单上,单击“配置运行配置文件”。
对于表中的每个运行配置文件,请完成以下步骤:
若要打开“配置运行配置文件”向导,请单击 “新建配置文件”。
在“名称”框中,键入表中的配置文件名称,然后单击“下一步”。
在 类型 列表中,从表中选择步骤类型,然后单击“下一步”。
单击 完成 以创建运行配置文件。
若要关闭“配置运行配置文件”对话框,请单击“确定”。
为 MIMMA 连接器创建运行配置文件
下表显示了 MIMMA 连接器的五个匹配的运行配置文件:
| 名字 | 类型 |
|---|---|
| 简介1 | 完全导入(仅阶段) |
| 简介2 | 完全同步 |
| Profile3 | 增量导入(仅阶段) |
| Profile4 | 增量同步 |
| Profile5 | 出口 |
若要为 MIMMA 连接器创建运行配置文件,请执行以下步骤:
打开同步服务管理器,在 工具 菜单上,单击 管理代理。
在 管理代理 列表中,选择 MIMMA。
若要打开“配置运行配置文件”对话框,请在操作菜单上,单击“配置运行配置文件”。
对于表中的每个运行配置文件,请完成以下步骤:
若要打开“配置运行配置文件”向导,请单击 “新建配置文件”。
在“名称”框中,键入表中的配置文件名称,然后单击“下一步”。
在 类型 列表中,从表中选择步骤类型,然后单击“下一步”。
单击 完成 以创建运行配置文件。
若要关闭“配置运行配置文件”对话框,请单击“确定”。
配置 MIM 服务
使用 MIM 门户,将为 MIM 服务创建 AD 用户入站同步规则。
若要创建 AD 用户入站同步规则,请按照以下步骤操作:
在 MIM 门户主页上的导航栏中,单击“管理”。
若要打开“同步规则”页,请单击 同步规则。
若要打开“创建同步规则”向导,请在工具栏中单击 “新建”。
在 “常规”选项卡上,提供以下信息,然后单击 “下一步”:
- 显示名称:AD 用户入站同步规则
- 数据流方向:入站
在“作用域”选项卡上,提供以下信息,然后单击 “下一步”:
- Metaverse 资源类型:人员
- 外部系统:ADMA
- 外部系统资源类型:用户
在“关系”选项卡上,提供以下信息,然后单击 “下一步”:
若要配置关系条件,请从 MetaverseObject:person(Attribute) 列表和 ConnectedSystemObject:person(Attribute)列表中选择 ObjectSID。
在 FIM 中选择创建资源。
在“入站属性流”页面上,提供以下信息,然后单击“下一步”:
流规则 来源 目的地 规则 1 samAccountName 账户名称 规则 2 displayName displayName 规则 3 员工类型 员工类型 规则 4 givenName firstName 规则 5 sn lastName 规则 6 经理 经理 规则 7 objectSID ObjectSID 规则 8 “Contoso” 域 对于此表中的每一行,请执行以下步骤:
若要打开“流定义”对话框,请单击 “新建属性流”。
在“源”选项卡上,选择表中该行显示的属性。
在“目标”选项卡上,选择表中该行显示的属性。
若要应用属性流配置,请单击“确定”。
在 摘要 选项卡上,单击 提交。
初始化测试环境
在测试你的 MIM 配置与 AD 数据之前,需要执行四个步骤:
启用预配
打开 Synchronization Service Manager。
若要打开“选项”对话框,请在“工具” 菜单上,单击“选项”
选择“启用同步规则预配”。
若要关闭“选项”对话框,请单击“确定”。
初始化 MIMMA
在此连接器上运行完整的同步周期。 完整周期由以下运行轮廓组成:
- 完全导入
- 完全同步
- 出口
- 增量导入
按照以下步骤运行四个运行配置文件中的每一个。
打开同步服务管理器,然后在 工具 菜单上,单击 管理代理。
在 管理代理 列表中,选择 MIMMA。
若要打开“运行管理代理”对话框,请在 动作 菜单上,单击 “运行”。
对于上面列出的每个运行配置文件,请完成以下步骤:
若要打开“运行管理代理”对话框,请在 动作 菜单上,单击 “运行”。
在 运行配置文件 列表中,选择要运行的运行配置文件。
若要启动运行配置文件,请单击“确定”。
配置属性流优先级
在 MIM 连接器初始化期间,配置的同步规则将引入 Metaverse 中。
调整此连接器提供的属性的属性流优先级,以确保 AD 中已有的属性可以流入 Metaverse,稍后也会流入 MIM 服务数据库。
初始化 ADMA
若要初始化 Active Directory 连接器,需要对其运行完整导入和完全同步。 完全导入会将现有对象从 AD 引入连接器空间。 完全同步将更新同步规则以匹配 MIM 连接器的同步规则。
打开同步服务管理器,在 工具 菜单中,单击 管理代理。
在 管理代理 列表中,选择 ADMA。
若要打开“运行管理代理”对话框,请在 动作 菜单上,单击 “运行”。
对于上面列出的每个运行配置文件,请完成以下步骤:
若要打开“运行管理代理”对话框,请在 动作 菜单上,单击 “运行”。
在 运行配置文件 列表中,选择要运行的运行配置文件。
若要启动运行配置文件,请单击“确定”。
填充 MIM 服务数据库
若要使用对象填充 MIM 服务数据库,需要在 MIMMA 连接器上运行同步周期。 该周期包括:
- 出口
- 完全导入
- 完全同步
按照以下步骤运行三个运行配置文件中的每一个。
打开同步服务管理器,然后单击 工具 菜单上的 管理代理。
在“管理代理”列表中选择“MIMMA”。
单击 运行,在 操作 菜单上,打开“运行管理代理”对话框。
对于上面列出的每个运行配置文件,请完成以下步骤:
- 单击 运行,在 操作 菜单上,打开“运行管理代理”对话框。
- 从 运行配置文件 列表中选择要运行的运行配置文件。
- 单击“确定”启动运行配置文件。