Exchangeメール組織は、ADフォレスト内にのみ存在します。 ユーザーに表示されるアドレス一覧も、Exchangeがインストールされているフォレスト内でのみ構築されます。 会社の買収、または逆に、分割の場合、かつては異なる組織やフォレストの人々が、アドレスリストでお互いを見たいが、スクリプトを介して接続されず、LDAPによって要求されない場合があります。
Habrには、Forefront Identity Management(FIM 2010)に関するものが何もないことに驚いています。
FIM 2010を使用して2つの異なるADフォレストのユーザーで構成される単一のアドレス一覧を作成する方法は次のとおりです。
マルチホイールアーキテクチャのWindows環境の多くのシステム管理者は、一般的で簡単なアドレス帳を取得するのは容易ではないと知っていると思います。
同じ問題を解決する自己記述スクリプトがあります。 サードパーティ製品があります。 もちろん、MSから無料のツールがあります。 場合によっては、LDAP経由で外部アドレス帳に接続できますが、このソリューションはサポートが困難です。なぜなら、 カスタマイズはユーザー側で行われ、他にも多くの欠点があります。
フォレスト間の連絡先を同期するだけでなく、ユーザーデータのさまざまなソースを1か所で組み合わせ、ユーザーに権限を与え、グループメンバーシップを管理するなど、多くのことができるエンタープライズレベルのソリューションについてお話したいと思います。 今日は、連絡先の同期に焦点を当てます。
まず、製品自体について少し説明します-Forefront Identity Management 2010 。
この製品の名前はすでに数回変更されています。 2003年頃、Microsoft Identity Integration Server(MIIS)製品がありました。 その後、2007年にIdentity Lifecycle Manager(ILM)に名前が変更されたようですが、現在はすべてForefront Identity Managementに縮退しています。 製品の機能が向上し改善されました。
前述のとおり、この場合、2つのADフォレストがあり、それぞれに独自のExchange 2010メール組織があります。
私は普通で、私の会社をfabrikam.comおよびみんなのお気に入りのcontoso.comと呼びます。
製品自体は、fabricam.comフォレスト内の別のサーバーに配置されます。 インストールするには、同じマシンまたは別のサーバーにインストールされているMS SQL Server 2008以降の公式サイトからのディストリビューションが必要です。 同じマシンにSQL 2008 R2をインストールしました。 標準要件は、.NET Framework 3.5をインストールすることです。
両方のフォレストのDNSサーバーの設定で条件付き転送レコードを作成します。 そして、FIMがインストールされているサーバーから両方のフォレストのアドレスが解決されることをすぐに確認します。 もちろん、これを使用せずに、FIMに必要なエントリがインストールされているサーバーのホストファイルに登録するだけでかまいません。
図のように、両方のfimaccフォレストにサービスアカウントを作成します。
既存の権利に加えて、コマンド
dsacls dc=contoso,dc=com" /G contoso\fimacc:CA;"Replicating Directory Changes"
して、ディレクトリ変更のレプリケート権を付与します。
両方のドメインのActive DirectoryにOU階層を作成します。 各ドメインのルートの下にOU-GALがあり、その下にContactsがあります。
これについては、準備措置を最小限に抑え、FIMインターフェイスで管理エージェントを構成します。
これがメインウィンドウです。ここで作業します。
Synchronization Service Managerスナップインを開き、[管理エージェント]セクションで管理エージェントの作成に進みます。
名前を指定する-Contoso GALおよび同期の種類を選択する-Active Directoryグローバルアドレス一覧(GAL)
次のステップでは、接続するドメインのユーザー資格情報、つまり contoso.comのfimacc。
最後のステップで接続が発生しなかった場合は、ドメインアドレスが正しく解決され、アカウントが作成され、必要なすべての権限が委任されていることを確認する必要があります。
次に、ウィンドウの上部でドメインを選択し、ウィンドウの下部でコンテナボタンを使用して、目的のGALコンテナを選択するためのダイアログを呼び出します。 ドメインのルートから選択を削除し、子OUから選択を削除せずにGALを選択する必要があります。
次のステップは、将来の連絡先を配置するコンテナを選択することです(ターゲットOU)。 contoso.com \ GAL \ AnotherOrgを選択しました
同じ手順で、接続先のドメインのSMTPアドレス、つまり contoso.com
そして今、最も簡単な部分-「拡張機能の構成」ステップの「次へ」、「次へ」、「次へ」をクリックします。 ここで、CASの役割を持つExchangeサーバーの名前を指定する必要があります。 W2012T3.contoso.com/PowerShellがあります。
管理エージェントを作成したら、すぐにテストして、Run-Full Import(ステージのみ)を実行する必要があります。
サーバーへの接続の結果は成功するはずです。 Adds行のオブジェクトの数はゼロではありません。
2番目の組織fabrikam.comについても同じことを行います
今回は、fabrikam.comドメイン、fabrikam.comドメインからfimaccアカウントを指定します。 別のドメインでのみ同じOUをすべて選択します。 以前の組織とはさらに2つの違いがあります。PowerShellが利用できるサーバーの名前と、電子メールアドレスは@ fabrikam.comです。
Run-Full Import(ステージのみ)を実行し、ゼロ以外の結果を取得します。
前の手順を正常に完了した後、各管理エージェントはRun-Full Synchronizationを実行する必要があります。
そして再び、ゼロ以外の結果を取得します
さて、最後のステップは、ターゲットフォレストへの連絡先のエクスポートです。 実行エクスポート。
さて、最良の部分は結果を確認することです。
このメモは、この製品のシンプルさと機能を示しています。
PS私の最初の投稿、フォーマットエラーがあるかもしれません。