ADSync Funktionsweise

Diese Seite war ursprünglich mal im Bereich Tools:Produkte, als es noch als ILM, MIIS, IIFP und FIM beschrieben hat. Es gibt mittlerweile zwar den FIM Nachfolger Namens "Microsoft Identity Manager" aber die meisten Leser werden auch dieses Produkt nicht einsetzen. Allerdings ist der Office 365 DirSync nicht anderes als ein reduzierter MIM.

Geschichte

Auch wenn Sie für Office 365 nur den aktuellen ADSync kennen müssen, sollten Sie die Vergangenheit des Produkte kennen. Sie werden viele Blog-Artikel und KB-Artikel finden, die bei der Suche nach einer Lösung eines Fehlers gefunden werden. Diese müssen Sie einordnen können. Microsoft hat schon eine sehr lange Geschichte mit dem Produkt zum Management von Identitäten in verschiedenen Systemen. Bislang gab es immer zwei mögliche Szenarien:

  • Abgleich zwischen Firmen
    Der klassische Einsatzzweck ist hier der Abgleich von Postfachempfängern, z.B. dass alle oder ausgewählte Empfänger einer Exchange Organisation in der anderen Organisation als Kontakte im Adressbuch erscheinen.
  • Abgleich innerhalb einer Firma
    Aber auch innerhalb einer Firma gibt es meist mehrere Datenquellen, die ähnliche Daten über Benutzer enthalten und oft mehrfach gepflegt werden müssen. Neben dem Active Directory gibt es oft noch Finanzanwendungen, Zeiterfassungssysteme, Zutrittskontrollsysteme, Firmentelefonbuch und sogar die der Telefonanlage werden oft Telefonnummer mit Anzeigename verknüpft. Hier kann ein Abgleich nicht nur richtig viel Kosten einsparen sondern auch die Datenqualität und Sicherheit verbessern. Wenn ein Anwender z.B. aus der Firma ausscheidet, dann werden zuverlässig alle Konten deaktiviert oder gelöscht.

Genau das sind die Einsatzfälle von Programmen zum Verzeichnisabgleich. Ursprünglich hatte Microsoft dafür ihren Microsoft Identity Integration Server (MIIS), der dann um den IIFP ergänzt wurde nun nun als ILM 2007 aktiv ist. Die Unterschiede:

Produkt Replikationspartner Ziel Kosten

IIFP - Identity Integration Feature Pack

Active Directory
AD mit Ex2000/2003
ADAM

Kontakte

Kostenfrei aber...
+ Windows Enterprise Server (2.250 EUR )
+ SQL Standard Server

MIIS 2003 -Microsoft Identity Integration Server

Netzwerkdienste:
Mailsysteme
Applikationen
Datenbanken
Dateien

Benutzer
Kontakte
Kennworte

25.000 US-$/Prozessor
+ Windows Enterprise Server
+ SQL Standard Server

ILM 2007 - Identity Lifecycle Manager 2007

Netzwerkdienste:
Mailsysteme
Applikationen
Datenbanken
Dateien

Benutzer
Kontakte
Kennworte

ca. 15.000€
+ Windows Enterprise Server
+ SQL Standard Server
+ UserCALs wenn Zertifikate erforderlich

FIM - Forefront Identity Manager

Netzwerkdienste:
Mailsysteme
Applikationen
Datenbanken
Dateien

Benutzer
Kontakte
Kennworte

SQL-Lizenz

FIM CALs

Für die Leser der MSXFAQ ist sicher der IIFP das Produkt, was sie als erstes neugierig machen kann, da damit z.B. die Empfänger zwischen zwei Exchange Organisationen replizieren kann. Die großen Brüder sind natürlich um einiges teurer aber auch leistungsfähiger.

Generell sollten Sie den Preis aber nicht überbewerten, denn die Installation und Anpassung kann ein zeit- und arbeitsintensiver Prozess sein, bei der fast immer auch Entwicklungsleistung gefragt ist. Entsprechend sind die realen Kosten noch höher anzusetzen. All dies ist auch ein Grund, warum für kleine Replikationsaufgaben einige Dritthersteller (Links auf Verzeichnisabgleich und Verbinden von Organisationen) entsprechende Produkte vertreiben bzw. ich selbst einige VB-Skripte (Siehe MiniSync) entwickelt habe bzw. bei Kundeneinsätzen weiter entwickeln. 

MIIS2003 bzw. der Nachfolger ILM2007 können von Hause aus schon viel mehr Datenquellen anzapfen und die Inhalte abgleichen.

Typ Beispiele

Betriebssysteme und Verzeichnisdienste (LDAP)

  • Microsoft Windows NT
  • Active Directory
  • Active Directory Application Mode
  • IBM Directory Server
  • Novell eDirectory
  • Resource Access Control Facility (RACF)
  • SunONE/iPlanet Directory
  • Und nahezu jeder andere LDAP-Server

Mailsysteme

  • Exchange 5.5 Verzeichnisdienst
  • Lotus Notes und Domino Verzeichnisdienst
  • Microsoft Exchange 2000, 2003, 2007 (über AD)

Anwendungen und Datenbanken

  • SAP
  • Telefonanlagen (z.B. für die Definition von Namen in Displays)
  • DSML
  • Microsoft SQL Server
  • Oracle, IBM DB2

Dateien

  • XML- Dateien
  • DSMLv2
  • LDIF-Dateien
  • CSV (mit Trennzeichen oder feste Abstände)
  • Dateien mit Wertpaaren

Leider fehlt in der Liste natürlich CDO/MAPI um z.B.: auf Kontakte in Postfächern oder öffentlichen Ordnern zugreifen zu können.

Biztalk?
Verwechseln Sie diese Lösungen nicht mit dem Microsoft Biztalk Server. Dessen Schwerpunkt sind nicht die Personen sondern die Daten, z.B. Lieferscheine, Rechnungen, Prozessdaten etc.

Ich hoffe Sie haben mitgenommen, dass das Produkt eine lange Geschichte hat und als ziemlich ausgereift gelten darf. Für den Einsatz mit Office 365 ist das Produkt sehr stark vereinfacht worden.

Der Abgleich

Der große Dreh und Angelpunkt ist eine SQL-Datenbank. Der Abgleich mehrerer Verzeichnisdienste ist nicht so einfach mit einem "Export aus A" und "Import nach B" zu beantworten. Bei der Übertragung von Daten sind fast immer Anpassungen erforderlich, da jedes Verzeichnis seine spezifischen Eigenarten hat. Zudem gibt es auch Bedarf an Filtern, d.h. dass nicht alle Informationen aus einem Verzeichnis in dem anderen Verzeichnis auftauchen.

Aus diesem Grund brauchen wir einen eigenen Datenspeicher, um die Änderungen aus verschiedenen Verzeichnissen letztlich zusammen zu führen und nur die Änderungen an die anderen Verzeichnisdienste zu übertragen.

Das volle Produkt "Microsoft Identity Manager" ist nicht beschränkt. Der frühere FIM konnte nur die beiden gelben und die rote Verbindungen bedienen. ADSync kann hingegen nur die rote Verbindung zum Active Directory und die blaue Verbindung zur Cloud betreiben.

Metaverse und Connectorspace

Ein Verzeichnisabgleich ist nun nicht einfach ein Export und Import, sondern die Software muss ja schon wissen, welche Felder geschrieben werden und ob diese vielleicht im Ziel in der Zwischenzeit überschrieben wurden. Daher nutzen MIIS, FIM, MIM und ADSYNC alle das Prinzip, für jede Verbindung einen Zwischenspeicher (Connectorspace CS) vorzuhalten. Zwischen dem Server und den anderen Diensten werden Connectoren konfiguriert, welche bestimmen, welche Daten wie abgeglichen werden.

Die Synchronisation besteht dann aus mehreren Schritten.

  • Import aus der Quelle zum ConnectorSpace
    Das kann zweistufig erfolgen, aber meist ist der Weg einen "Full import" statt eines "Full Import (Stage only) die sinnvollere Option. Den Zwischenschritt können Sie am Anfang tun, um erst mal den Import in den Connectorspace zu testen und die Daten dort zu kontrollieren, ehe Sie mit Daten im Metaverse zusammengeführt werden. Später wird man sicher einen "Differenz-Import" durchführen.
  • Sync = Abgleich mit dem Metaverse
    Die Synchronisation sorgt dafür, dass die Daten nun in das Metaverse kommen bzw. Änderungen zu allen anderen Connectoren in deren Connectorspace ausgehend geschrieben werden. Das ist im Bild nicht ganz ersichtlich.
  • Export
    Dieser Schritt holt letztlich die geänderten Daten aus dem Connectorspace und verwaltet die Objekte im Ziel.

Zwar lassen sich viele Einstellungen hierbei der grafischer Oberfläche umsetzen, aber nicht umsonst erlaubt der Server die Einbindung einer eigenen DLLs beim Metabase Agent, um eigene Anpassungen durchzuführen.

GalSync und LCSSync

Viele Dinge liefert MIIS schon mit, aber ebenso viele Sonderwünsche können über eigene Erweiterungen nachgerüstet werden. Dazu können Sie z.B. mit Visual Studio entsprechende DLLs entwickeln, die MIIS in die Konvertierung mit einbezieht. So gibt es zwei DLLs, die sogar im Source Code verfügbar sind.

  • GalSync
    Diese DLL sorgt für eine korrekte einfache Übergabe der Felder, damit Sie zwei Exchange Organisationen miteinander verbinden können. Siehe auch Verbinden von Organisationen
  • LCSSync
    Auch der LCS kann in einem Ressourceforest betrieben werden. Hierfür gibt es im LCS ResKit eine entsprechende DLL samt Source im Verzeichnis LCSSync, welche bei der Pflege der Kontakte im Ressourcen Forrest hilft. Siehe auch Office 2003 Live Communications Server

Sie sehen also, dass Sie mit MIIS sehr viele verschiedene Quellen miteinander abgleichen können und umfangreiche Anpassungen möglich ist.

Zusammenfassung

Aus Sicht eines Exchange Administrators ist die kostenfreie Version des MIIS in Form des "Identity Integration Feature Pack 1a" eine sehr interessante Option, relativ günstig einen Verzeichnisabgleich zu installieren. Allerdings benötigen Sie weiterhin einen Windows 2003 Enterprise Server und SQL-Server, so dass kostenfrei nicht ganz zutreffend ist. Und ganz so einfach die die Installation und Konfiguration auch nicht.

Viele Firmen brauchen auch gar nicht alle Funktionen eines MIIS mit bidirektionalem Abgleich, Passwordsynchronisation etc. Viele Anforderungen lassen sich darauf reduzieren, dass Empfänger einer Seite (Postfächer und Verteiler) als benutzerdefinierte Empfänger bzw. Kontakte im anderen System angelegt werden. Und das ist der Grund, warum ich mit VB-Skripten wie MiniSync versuche, eben solche Lösungen mit Kunden zu erstellen.

Unterstützung durch Net at Work:
Vielleicht kann ich auch Sie bei der Lösung ihrer Abgleichprobleme unterstützen. Fragen Sie doch einfach unverbindlich nach.

Weitere Links

Adamsync is a command-line utility that performs a one-way synchronization of data from Active Directory into ADAM. Adamsync uses an XML-based con-figuration file that drives the parameters of the ongoing synchronization

Implementing Forefront Identity Manager 2010
http://technet.microsoft.com/en-us/ff793470.aspx
8 Stunden mit Student Material, Video und Virtual Lab