部署FIM 2010 R2—配置Synchronization Service
配置多有域环境账户密码同步
在各个域创建ADMA账户,并赋予对域的复制目录更改和复制目录更改所有项权限;和对用户的密码重置和解锁密码权限;
在fim01所使用的DNS服务器上,建立同步密码目标域的DNS条件转发;并测试能正常解析目标域;
确保fim01到目标域的域控制器的TCP和UDP端口389、88、464能双向正常通信;
1、打开Synchronization Service窗口,
![image_thumb2111[1]](http://s3.51cto.com/wyfs02/M00/82/4B/wKiom1dQHeChms5wAAGK7IEpuyg250.png "image_thumb2111[1]")
2、选择Management Agent ,点击“Create”,
3、在Mangement Agent for中选择“Active Directory Domain Service”,在Name中输入对应域MA的名称“ContosoMA”
选择“下一步”,
4、这里使用我们之前创建好的fimma账号连接林,
5、如果上面的信息输入无误的话会转到下面这个界面,让我们选择要同步的目录分区,
6、在“Configuration Provisioning Hierarachy”中保持默认,选择“下一步”,
这里默认没有选择“User”,要勾选上“User”,然后选择“下一步”,
7、SelectAttributes中选择“sAMAccountName”,
8、Configure Connector Filter 中保持默认,选择“下一步”,
下图需要选中”User”然后选择“New Join Rule”,
9、Mapping Type 选择“Direct”,
Metaverse Object Type 选择“Person”,
Metaverse attrubute 选择“uid”,
最后选择“Add Condition”,如下图,
10、在弹出的小窗口中选择“OK”,再选择“OK”。
然后在选择“New Projection Rule”,如下图,
11、Metaverse objuect type 选择“Person”,
然后选择“下一步”,
Configure Attribute Flow配置:
在Data source object type中选择user,Data source
attribute选择samAccountName,Metaverse object type选择person,metaverse attribute选择uid,mapping type选择Direct,Flow Direction选择Import,
然后选择“NEW”,选择“下一步”,如下图,
12、Configure Deprovisioning中保持默认,
在Configure Extensions中,勾选Enable Password Management,点击setting,勾选Unlock locked accounts when resetting passwords
13、最后选择“Finish”,ADMA创建完成,如下图,
14、接下来按照同样的方法创建 zyliday域的MA。这里一定要保证contoso域控能够解析zyliday域,否则在创建zyliday域的MA时会报错,如下图,
15、后来我找到一个方法,这里需要单独搞一台DNS服务器,让这台FIM分别能够解析contoso.com和zyliday.com俩个域。
16、安装DNS就不给大家详细介绍了,勾选完DNS Server选项后,全部下一步。
17、同时需要将FIM服务器的DNS指向自己,如下图,
18、在FIM01这台DNS上不做任何配置,只是做俩个转发器,分别转到contoso域和zyliday域,如下图,
19、下面我们再次填写MA信息,可以正常验证通过,如下图,
20、接下来的步骤和创建ContosoMA是一样的,这里不依次截图了。
创建完成以后,我们可以看到俩个域的MA,如下图,
21、为我们刚刚的MA创建Run Profile, Run Profiles是为了将fim数据库与MA连接的域用户或组的信息,进行导出或者导入操作,
打开Synchronization Service, 选择Management Agent, 选中其中一个ZylidayMA,再选择右侧的“Configure run Profiles”,
22、选择“New Profile”,填写Run Profiles的名称, 如下图
23、选择“Full import(Stage only)”,
24、最后选择“Finish”, 如下图,
25、按照同样的步骤为ZylidayMA再创建3个Run Profiles,在Configrue Step页面中 Type处分别选择,
Full Synchronization
Delta Import and Synchronization
Export
26、按照同样的方法为ContosoMA也做同样的Run Profiles,如下图,
27、为每个ADMA按顺序运行Full Import (Stage Only)和Full Synchronization,完全同步后之后,以后只需要运行增量同步Delta Import and Synchronization,如下图,
28、同步结果如下,
欢迎关注我的博客http://zyliday.blog.51cto.com/ ,致力于为大家提供更多优质的IT博文.谢谢!
本文转自 zyliday 51CTO博客,原文链接:http://blog.51cto.com/zyliday/1785608
