» Home » Produkte » MIIS-IIFP-ILM2007

FIM 2010,  ILM2007, MIIS 2003 und IIFP

Aktueller Produktname: Forefront Identity Manager
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx

Implementing Forefront Identity Manager 2010
http://technet.microsoft.com/en-us/ff793470.aspx
8 Stunden mit Student Material, Video und Virtual Lab

Viele Namen für die gleiche Aufgabenstellung kann schon verwirrend sein. Alle drei haben die Aufgabenstellung, verschiedene Verzeichnisdienste und Datenquellen mit Benutzerdaten miteinander abzugleichen. Daher gibt es zwei mögliche Szenarien

• Abgleich zwischen Firmen
  Der klassische Einsatzzweck ist hier der Abgleich von Postfachempfängern, z.B. dass alle oder ausgewählte Empfänger einer Exchange Organisation in der anderen Organisation als Kontakte im Adressbuch erscheinen. Hierzu reicht die abgespeckte IIFP-Version
• Abgleich innerhalb einer Firma
  Aber auch innerhalb einer Firma gibt es meist mehrere Datenquellen, die ähnliche Daten über Benutzer enthalten und oft mehrfach gepflegt werden müssen. Neben dem Active Directory gibt es oft noch Finanzanwendungen, Zeiterfassungssysteme, Zutrittskontrollsysteme, Firmentelefonbuch und sogar die der Telefonanlage werden oft Telefonnummer mit Anzeigename verknüpft. Hier kann ein Abgleich nicht nur richtig viel Kosten einsparen sondern auch die Datenqualität und Sicherheit verbessern.
  Wenn ein Anwender z.B. aus der Firma ausscheidet, dann werden zuverlässig alle Konten deaktiviert oder gelöscht.

Genau das sind die Einsatzfälle von Programmen zum Verzeichnisabgleich. Ursprünglich hatte Microsoft dafür ihren Microsoft Identity Integration Server (MIIS), der dann um den IIFP ergänzt wurde nun nun als ILM 2007 aktiv ist. Die Unterschiede

Produkt	Replikationspartner	Ziel	Kosten
IIFP - Identity Integration Feature Pack	Active Directory AD mit Ex2000/2003 ADAM	Kontakte	Kostenfrei aber... + Windows Enterprise Server (2.250 EUR ) + SQL Standard Server
MIIS 2003 -Microsoft Identity Integration Server	Netzwerkdienste: Mailsysteme Applikationen Datenbanken Dateien	Benutzer Kontakte Kennworte	25.000 US-$/Prozessor + Windows Enterprise Server + SQL Standard Server
ILM 2007 - Identity Lifecycle Manager 2007	Netzwerkdienste: Mailsysteme Applikationen Datenbanken Dateien	Benutzer Kontakte Kennworte	ca. 15.000€ + Windows Enterprise Server + SQL Standard Server + UserCALs wenn Zertifikate erforderlich
FIM - Forefront Identity Manager	Netzwerkdienste: Mailsysteme Applikationen Datenbanken Dateien	Benutzer Kontakte Kennworte	?

Für die Leser der MSXFAQ ist sicher der IIFP das Produkt, was sie als erstes neugierig machen kann, da damit z.B. die Empfänger zwischen zwei Exchange Organisationen replizieren kann. Die großen Brüder sind natürlich um einiges teurer aber auch leistungsfähiger.

• FIM Homepage
  http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
• MIIS, IIFP, ILM – was ist da aktuell?
  http://blogs.technet.com/deds/archive/2008/09/12/miis-iifp-ilm-was-ist-da-aktuell.aspx

Generell sollten Sie den Preis aber nicht überbewerten, denn die Installation und Anpassung kann ein zeit- und arbeitsintensiver Prozess sein, bei der fast immer auch Entwicklungsleistung gefragt ist. Entsprechend sind die realen Kosten noch höher anzusetzen. All dies ist auch ein Grund, warum für kleine Replikationsaufgaben einige Dritthersteller (Links auf Verzeichnisabgleich und Verbinden von Organisationen) entsprechende Produkte vertreiben bzw. ich selbst einige VB-Skripte (Siehe MiniSync) entwickelt habe bzw. bei Kundeneinsätzen weiter entwickeln. 

MIIS2003 bzw. der Nachfolger ILM2007 können von Hause aus schon viel mehr Datenquellen anzapfen und die Inhalte abgleichen.

Typ	Beispiele
Betriebssysteme und Verzeichnisdienste (LDAP)	Microsoft Windows NT Active Directory Active Directory Application Mode IBM Directory Server Novell eDirectory Resource Access Control Facility (RACF) SunONE/iPlanet Directory und nahezu jeder andere LDAP-Server
Mailsysteme	Exchange 5.5 Verzeichnisdienst Lotus Notes und Domino Verzeichnisdienst Microsoft Exchange 2000, 2003, 2007 (über AD)
Anwendungen und Datenbanken	SAP Telefonanlagen (z.B. für die Definition von Namen in Displays) DSML Microsoft SQL Server Oracle, IBM DB2
Dateien	XML- Dateien DSMLv2 LDIF-Dateien CSV (mit Trennzeichen oder feste Abstände) Dateien mit Wertpaaren

Leider fehlt in der Liste natürlich CDO/MAPI um z.B.: auf Kontakte in Postfächern oder öffentlichen Ordnern zugreifen zu können.

Biztalk ?
Verwechseln Sie diese Lösungen nicht mit dem Microsoft Biztalk Server. Dessen Schwerpunkt sind nicht die Personen sondern die Daten, z.B. Lieferscheine, Rechnungen, Prozessdaten etc.

Der Abgleich

Der große Dreh und Angelpunkt von MIIS ist eine SQL-Datenbank. Der Abgleich mehrerer Verzeichnisdienste ist nicht so einfach mit einem "Export aus A" und "Import nach B" zu beantworten. Bei der Übertragung von Daten sind fast immer Anpassungen erforderlich, da jedes Verzeichnis seine spezifischen Eigenarten hat. Zudem gibt es auch Bedarf an Filtern, d.h. dass nicht alle Informationen aus einem Verzeichnis in dem anderen Verzeichnis auftauchen.

Aus diesem Grund braucht MIIS einen eigenen Datenspeicher, um die Änderungen aus verschiedenen Verzeichnissen letztlich zusammen zu führen und nur die Änderungen an die anderen Verzeichnisdienste zu übertragen.

Die gelben Verbindungen werden durch IIFP abgedeckt.

Metaverse und Connectorspace

Ein Verzeichnisabgleich ist nun nicht einfach ein Export und Import, sondern die Software muss ja schon wissen, welche Felder geschrieben werden und ob diese vielleicht im Ziel in der Zwischenzeit überschrieben wurden. Daher nutzen MIIS2003, IIFP und ILM2007 alle das Prinzip, für jede Verbindung einen Zwischenspeicher (Connectorspace CS) vorzuhalten,

Zwischen dem Server und den anderen Diensten werden Connectoren konfiguriert, welche bestimmen, welche Daten wie abgeglichen werden. .

Die Synchronisation besteht dann aus mehreren Schritten.

• Import aus der Quelle zum Metaverse
  Das kann zweistufig erfolgen, aber meist ist der Weg einen "Full import" statt eines "Full Import (Stage only) die sinnvollere Option. Den Zwischenschritt können Sie am Anfang tun, um erst mal den Import in den Connectorspace zu testen und die Daten dort zu kontrollieren, ehe Sie mit Daten im Metaverse zusammengeführt werden. Später wird man sicher einen "Differenz-Import" durchführen.
• Abgleich mit dem Metaverse
  Die Synchronisation sorgt dafür, dass die Daten nun in das Metaverse kommen bzw. Änderungen von dort wieder zum Connectorspace kommen.
• Export
  Dieser Schritt holt letztlich die geänderten Daten aus dem Connectorspace und legt diese z.B. als Kontakte im Ziel an.

Zwar lassen sich viele Einstellungen hierbei der grafischer Oberfläche umsetzen, aber nicht umsonst erlaubt der Server die Einbindung einer eigenen DLLs beim Metabase Agent, um eigene Anpassungen durchzuführen.

GalSync und LCSSync

Viele Dinge liefert MIIS schon mit, aber ebenso viele Sonderwünsche können über eigene Erweiterungen nachgerüstet werden. Dazu können Sie z.B. mit Visual Studio entsprechende DLLs entwickeln, die MIIS in die Konvertierung mit einbezieht. So gibt es zwei DLLs, die sogar im Source Code verfügbar sind.

• GalSync
  Diese DLL sorgt für eine korrekte einfache Übergabe der Felder, damit Sie zwei Exchange Organisationen miteinander verbinden können. Siehe auch Verbinden von Organisationen
• LCSSync
  Auch der LCS kann in einem Ressourceforest betrieben werden. Hierfür gibt es im LCS ResKit eine entsprechende DLL samt Source im Verzeichnis LCSSync, welche bei der Pflege der Kontakte im Ressourcen Forrest hilft. Siehe auch Office 2003 Live Communications Server

Sie sehen also, dass Sie mit MIIS sehr viele verschiedene Quellen miteinander abgleichen können und umfangreiche Anpassungen möglich ist.

Zusammenfassung

Aus Sicht eines Exchange Administrators ist die kostenfreie Version des MIIS in Form des "Identity Integration Feature Pack 1a" eine sehr interessante Option, relativ günstig einen Verzeichnisabgleich zu installieren. Allerdings benötigen Sie weiterhin einen Windows 2003 Enterprise Server und SQL-Server, so dass kostenfrei nicht ganz zutreffend ist. Und ganz so einfach die die Installation und Konfiguration auch nicht.

Viele Firmen brauchen auch gar nicht alle Funktionen eines MIIS mit bidirektionalem Abgleich, Passwordsynchronisation etc. Viele Anforderungen lassen sich darauf reduzieren, dass Empfänger einer Seite (Postfächer und Verteiler) als benutzerdefinierte Empfänger bzw. Kontakte im anderen System angelegt werden. Und das ist der Grund, warum ich mit VB-Skripten wie MiniSync versuche, eben solche Lösungen mit Kunden zu erstellen.

Unterstützung durch Net at Work:
Vielleicht kann ich auch Sie bei der Lösung ihrer Abgleichprobleme unterstützen. Fragen Sie doch einfach unverbindlich nach.

Weitere Links

• IIFP
• IIFP Installation
• Verbinden von Organisationen
• MiniSync
• Verzeichnisabgleich
• ADC Interorg
• Weiterleitungen
• Ex552AD
• Metadirectory
• MiniSync
• Synchronizing Multiple Exchange 2003 Forests
  http://technet.microsoft.com/en-us/library/bb123590%28EXCHG.65%29.aspx
  Sehr umfangreiches und interessantes Dokument
• FIM Homepage
  http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx
• MIIS Produkt Homepage
  http://www.Microsoft.com/windowsserversystem/miis2003/default.mspx
  http://www.microsoft.com/technet/miis/evaluate/overview.mspx
• Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en
  Benötigt Windows 2003 Enterprise und mindestens eine MSDE (zum Test). Für den produktiven Einsatz ist ein lizenzierter SQL-Server erforderlich.
• Troubleshoot GALSYNC Synchronization Error "Attribute Does Not Have Exactly One Value"
  http://social.technet.microsoft.com/wiki/contents/articles/992.aspx
• Microsoft Identity Lifecyle Manager 2007 VirtualPC Image 495 MB
  http://www.microsoft.com/downloads/details.aspx?FamilyID=b7b396d7-fcb7-42be-9e64-fa2b6edd3d8f&DisplayLang=en
• MIIS FAQ
  http://www.Microsoft.com/windowsserversystem/miis2003/evaluation/faqs/default.mspx
• 884192 How to obtain the latest Identity Integration Feature Pack (IIFP) cumulative hotfix package
• Using Microsoft's IIFP (Identity Integration Feature Pack) to sync GALs / Active Directories
  http://mostlyexchange.blogspot.com/2006/08/using-Microsofts-iifp-identity.html
• Verwenden der GAL-Synchronisierung von MIIS 2003 http://www.Microsoft.com/technet/prodtechnol/exchange/de/guides/Ex2k3DepGuide/9d790078-0dfb-4684-81b3-2d9d5bf5a0ba.mspx?mfr=true
• Global Address List Synchronization Walkthrough
  http://technet2.Microsoft.com/WindowsServer/en/library/606e65b4-af4f-4b1a-9c49-9bb540ae2cfd1033.mspx?mfr=true
  http://www.Microsoft.com/downloads/details.aspx?FamilyId=15032653-D78E-4D9D-9E48-6CF0AE0C369C&displaylang=en
• ADAMSYNC
  http://technet2.Microsoft.com/WindowsServer/en/library/c64799ab-88c0-4e5a-b296-bc26031141291033.mspx?mfr=true

Adamsync is a command-line utility that performs a one-way synchronization of data from Active Directory into ADAM. Adamsync uses an XML-based con-figuration file that drives the parameters of the ongoing synchronization

• MIIS, IIFP, ILM – was ist da aktuell?
  http://blogs.technet.com/deds/archive/2008/09/12/miis-iifp-ilm-was-ist-da-aktuell.aspx
• GAL Sync With The Identity Integration Feature Pack
  http://www.msexchange.org/tutorials/GAL-Sync-Identity-Integration-Feature-Pack-IIFP.html
• Blogs von ILM MVPs
  David Lundell’s Blog – Tempe, AZ., ILM MVP  http://www.ilmbestpractices.com/blog/blogger.html
  Brad Turner’s Blog – Gilbert, AZ., ILM MVP  http://www.identitychaos.com/
  Almero Steyn’s Blog – South Africa, ILM MVP http://www.puttyq.com/
  Joe Stepongzi’s Blog – Tampa, FL., ILM MVP http://www.microsoftidm.com/
  Peter Geelen’s Blog – Belgium, ILM MVP http://www.identityunderground.be/
• Free/Busy & Global Address List Synchronization for Exchange
  http://www.quest.com/collaboration-services/
  Kommerzielles Tools für Dirsync und Free/Busy Abgleich

Keywords:

Dirsync MIIS Verzeichnis Abgleich

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Ex 2013
• Unified Communication
• Lync/UC
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Office 365
• Tools
• How-To
• Programmieren
• Produkte
  • Hyper-V
  • FEP Forfront Endpoint Protection
  • MIIS-IIFP-ILM2007
  • ADAM/AD LDS
  • Sharepoint
  • exchange@PAM
  • PowerControls 6
  • Quest Migration Manager für Exchange
  • BackupExec
  • Open Xchange
  • Virtual Server
  • Veritas SRM
  • SharedPST
  • Feiertags AddOn
  • HealthMon
  • MOM2005
  • Mobile Device Manager 2008
  • System Center Essentials
  • DPM2007
  • SBS2011
  • Drivesnapshot
  • OWA für PDA
  • HostMon
  • Spotlight
  • Synchronica SyncML
  • MapiLab Rules
  • Exchange Hosted Services
  • EMC Replistor
  • Forefront 2010
  • Camtasia Studio
  • McAfee
  • Promodag
  • LG/Nortel IP 8540 - Tanjay
  • Mailstore
  • Visio
  • RoomDisplay
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages