ADSync Funktionsweise
Diese Seite war ursprünglich mal im Bereich Tools:Produkte, als es noch als ILM, MIIS, IIFP und FIM beschrieben hat. Es gibt mittlerweile zwar den FIM Nachfolger Namens "Microsoft Identity Manager" aber die meisten Leser werden auch dieses Produkt nicht einsetzen. Allerdings ist der Office 365 DirSync nicht anderes als ein reduzierter MIM.
Geschichte
Auch wenn Sie für Office 365 nur den aktuellen ADSync kennen müssen, sollten Sie die Vergangenheit des Produkte kennen. Sie werden viele Blog-Artikel und KB-Artikel finden, die bei der Suche nach einer Lösung eines Fehlers gefunden werden. Diese müssen Sie einordnen können. Microsoft hat schon eine sehr lange Geschichte mit dem Produkt zum Management von Identitäten in verschiedenen Systemen. Bislang gab es immer zwei mögliche Szenarien:
- Abgleich zwischen Firmen
Der klassische Einsatzzweck ist hier der Abgleich von Postfachempfängern, z.B. dass alle oder ausgewählte Empfänger einer Exchange Organisation in der anderen Organisation als Kontakte im Adressbuch erscheinen. - Abgleich innerhalb einer Firma
Aber auch innerhalb einer Firma gibt es meist mehrere Datenquellen, die ähnliche Daten über Benutzer enthalten und oft mehrfach gepflegt werden müssen. Neben dem Active Directory gibt es oft noch Finanzanwendungen, Zeiterfassungssysteme, Zutrittskontrollsysteme, Firmentelefonbuch und sogar die der Telefonanlage werden oft Telefonnummer mit Anzeigename verknüpft. Hier kann ein Abgleich nicht nur richtig viel Kosten einsparen sondern auch die Datenqualität und Sicherheit verbessern. Wenn ein Anwender z.B. aus der Firma ausscheidet, dann werden zuverlässig alle Konten deaktiviert oder gelöscht.
Genau das sind die Einsatzfälle von Programmen zum Verzeichnisabgleich. Ursprünglich hatte Microsoft dafür ihren Microsoft Identity Integration Server (MIIS), der dann um den IIFP ergänzt wurde nun nun als ILM 2007 aktiv ist. Die Unterschiede:
Produkt | Replikationspartner | Ziel | Kosten |
---|---|---|---|
IIFP - Identity Integration Feature Pack |
Active Directory |
Kontakte |
Kostenfrei aber... |
MIIS 2003 -Microsoft Identity Integration Server |
Netzwerkdienste: |
Benutzer |
25.000 US-$/Prozessor |
ILM 2007 - Identity Lifecycle Manager 2007 |
Netzwerkdienste: |
Benutzer |
ca. 15.000€ |
FIM - Forefront Identity Manager |
Netzwerkdienste: |
Benutzer |
SQL-Lizenz FIM CALs |
Für die Leser der MSXFAQ ist sicher der IIFP das Produkt, was sie als erstes neugierig machen kann, da damit z.B. die Empfänger zwischen zwei Exchange Organisationen replizieren kann. Die großen Brüder sind natürlich um einiges teurer aber auch leistungsfähiger.
- FIM Homepage
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx - MIIS, IIFP, ILM – was ist da aktuell?
http://blogs.technet.com/deds/archive/2008/09/12/miis-iifp-ilm-was-ist-da-aktuell.aspx
Generell sollten Sie den Preis aber nicht überbewerten, denn die Installation und Anpassung kann ein zeit- und arbeitsintensiver Prozess sein, bei der fast immer auch Entwicklungsleistung gefragt ist. Entsprechend sind die realen Kosten noch höher anzusetzen. All dies ist auch ein Grund, warum für kleine Replikationsaufgaben einige Dritthersteller (Links auf Verzeichnisabgleich und Verbinden von Organisationen) entsprechende Produkte vertreiben bzw. ich selbst einige VB-Skripte (Siehe MiniSync) entwickelt habe bzw. bei Kundeneinsätzen weiter entwickeln.
MIIS2003 bzw. der Nachfolger ILM2007 können von Hause aus schon viel mehr Datenquellen anzapfen und die Inhalte abgleichen.
Typ | Beispiele |
---|---|
Betriebssysteme und Verzeichnisdienste (LDAP) |
|
Mailsysteme |
|
Anwendungen und Datenbanken |
|
Dateien |
|
Leider fehlt in der Liste natürlich CDO/MAPI um z.B.: auf Kontakte in Postfächern oder öffentlichen Ordnern zugreifen zu können.
Biztalk?
Verwechseln Sie diese Lösungen nicht mit dem Microsoft Biztalk Server.
Dessen Schwerpunkt sind nicht die Personen sondern die Daten, z.B.
Lieferscheine, Rechnungen, Prozessdaten etc.
Ich hoffe Sie haben mitgenommen, dass das Produkt eine lange Geschichte hat und als ziemlich ausgereift gelten darf. Für den Einsatz mit Office 365 ist das Produkt sehr stark vereinfacht worden.
Der Abgleich
Der große Dreh und Angelpunkt ist eine SQL-Datenbank. Der Abgleich mehrerer Verzeichnisdienste ist nicht so einfach mit einem "Export aus A" und "Import nach B" zu beantworten. Bei der Übertragung von Daten sind fast immer Anpassungen erforderlich, da jedes Verzeichnis seine spezifischen Eigenarten hat. Zudem gibt es auch Bedarf an Filtern, d.h. dass nicht alle Informationen aus einem Verzeichnis in dem anderen Verzeichnis auftauchen.
Aus diesem Grund brauchen wir einen eigenen Datenspeicher, um die Änderungen aus verschiedenen Verzeichnissen letztlich zusammen zu führen und nur die Änderungen an die anderen Verzeichnisdienste zu übertragen.
Das volle Produkt "Microsoft Identity Manager" ist nicht beschränkt. Der frühere FIM konnte nur die beiden gelben und die rote Verbindungen bedienen. ADSync kann hingegen nur die rote Verbindung zum Active Directory und die blaue Verbindung zur Cloud betreiben.
Metaverse und Connectorspace
Ein Verzeichnisabgleich ist nun nicht einfach ein Export und Import, sondern die Software muss ja schon wissen, welche Felder geschrieben werden und ob diese vielleicht im Ziel in der Zwischenzeit überschrieben wurden. Daher nutzen MIIS, FIM, MIM und ADSYNC alle das Prinzip, für jede Verbindung einen Zwischenspeicher (Connectorspace CS) vorzuhalten. Zwischen dem Server und den anderen Diensten werden Connectoren konfiguriert, welche bestimmen, welche Daten wie abgeglichen werden.
Die Synchronisation besteht dann aus mehreren Schritten:
- Import aus der Quelle zum Connectorspace
Das kann zweistufig erfolgen, aber meist ist der Weg einen "Full import" statt eines "Full Import (Stage only) die sinnvollere Option. Den Zwischenschritt können Sie am Anfang tun, um erst mal den Import in den Connectorspace zu testen und die Daten dort zu kontrollieren, ehe Sie mit Daten im Metaverse zusammengeführt werden. Später wird man sicher einen "Differenz-Import" durchführen. - Sync = Abgleich mit dem Metaverse
Die Synchronisation sorgt dafür, dass die Daten nun in das Metaverse kommen bzw. Änderungen zu allen anderen Connectoren in deren Connectorspace ausgehend geschrieben werden. Das ist im Bild nicht ganz ersichtlich. - Export
Dieser Schritt holt letztlich die geänderten Daten aus dem Connectorspace und verwaltet die Objekte im Ziel.
Zwar lassen sich viele Einstellungen hierbei der grafischer Oberfläche umsetzen, aber nicht umsonst erlaubt der Server die Einbindung einer eigenen DLLs beim Metabase Agent, um eigene Anpassungen durchzuführen.
- Troubleshoot an object that is not
synchronizing with Microsoft Entra ID
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot-connect-object-not-syncing
GalSync und LCSSync
Viele Dinge liefert MIIS schon mit, aber ebenso viele Sonderwünsche können über eigene Erweiterungen nachgerüstet werden. Dazu können Sie z.B. mit Visual Studio entsprechende DLLs entwickeln, die MIIS in die Konvertierung mit einbezieht. So gibt es zwei DLLs, die sogar im Source Code verfügbar sind.
- GalSync
Diese DLL sorgt für eine korrekte einfache Übergabe der Felder, damit Sie zwei Exchange Organisationen miteinander verbinden können. Siehe auch Verbinden von Organisationen - LCSSync
Auch der LCS kann in einem Ressourceforest betrieben werden. Hierfür gibt es im LCS ResKit eine entsprechende DLL samt Source im Verzeichnis LCSSync, welche bei der Pflege der Kontakte im Ressourcen Forrest hilft. Siehe auch Office 2003 Live Communications Server
Sie sehen also, dass Sie mit MIIS sehr viele verschiedene Quellen miteinander abgleichen können und umfangreiche Anpassungen möglich ist.
Zusammenfassung
Aus Sicht eines Exchange Administrators ist die kostenfreie Version des MIIS in Form des "Identity Integration Feature Pack 1a" eine sehr interessante Option, relativ günstig einen Verzeichnisabgleich zu installieren. Allerdings benötigen Sie weiterhin einen Windows 2003 Enterprise Server und SQL-Server, so dass kostenfrei nicht ganz zutreffend ist. Und ganz so einfach die die Installation und Konfiguration auch nicht.
Viele Firmen brauchen auch gar nicht alle Funktionen eines MIIS mit bidirektionalem Abgleich, Passwordsynchronisation etc. Viele Anforderungen lassen sich darauf reduzieren, dass Empfänger einer Seite (Postfächer und Verteiler) als benutzerdefinierter Empfänger bzw. Kontakte im anderen System angelegt werden. Und das ist der Grund, warum ich mit VB-Skripten wie MiniSync versuche, eben solche Lösungen mit Kunden zu erstellen.
Unterstützung durch
Net at
Work:
Vielleicht kann ich auch Sie bei der Lösung ihrer Abgleichprobleme unterstützen. Fragen Sie doch einfach unverbindlich nach.
Weitere Links
- IIFP
- IIFP Installation
- Verbinden von Organisationen
- MiniSync
- Verzeichnisabgleich
- ADC Interorg
- Weiterleitungen
- Ex552AD
- Metadirectory
- MiniSync
-
Troubleshoot an object that is not synchronizing with Microsoft Entra ID
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/tshoot-connect-object-not-syncing -
Microsoft Identity Manager
https://www.microsoft.com/en-us/server-cloud/products/microsoft-identity-manager/ -
Synchronizing Multiple Exchange 2003 Forests
http://technet.microsoft.com/en-us/library/bb123590%28EXCHG.65%29.aspx
Sehr umfangreiches und interessantes Dokument -
FIM Homepage
http://www.microsoft.com/forefront/identitymanager/en/us/default.aspx - MIIS Produkt Homepage
http://www.Microsoft.com/windowsserversystem/miis2003/default.mspx
http://www.microsoft.com/technet/miis/evaluate/overview.mspx - Identity Integration Feature Pack 1a für Microsoft Windows Server Active
Directory
http://www.Microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en
Benötigt Windows 2003 Enterprise und mindestens eine MSDE (zum Test). für den produktiven Einsatz ist ein lizenzierter SQL-Server erforderlich. - Troubleshoot GALSYNC Synchronization Error "Attribute Does Not Have
Exactly One Value"
http://social.technet.microsoft.com/wiki/contents/articles/992.aspx - Microsoft Identity Lifecyle Manager 2007 VirtualPC Image 495 MB
http://www.microsoft.com/downloads/details.aspx?FamilyID=b7b396d7-fcb7-42be-9e64-fa2b6edd3d8f&DisplayLang=en - MIIS FAQ
http://www.Microsoft.com/windowsserversystem/miis2003/evaluation/faqs/default.mspx - 884192 How to obtain the latest Identity Integration Feature Pack (IIFP) cumulative hotfix package
- Using Microsoft's IIFP (Identity Integration Feature Pack) to sync
GALs / Active Directories
http://mostlyexchange.blogspot.com/2006/08/using-Microsofts-iifp-identity.html - Verwenden der GAL-Synchronisierung von MIIS 2003 http://www.Microsoft.com/technet/prodtechnol/exchange/de/guides/Ex2k3DepGuide/9d790078-0dfb-4684-81b3-2d9d5bf5a0ba.mspx?mfr=true
- Global Address List Synchronization Walkthrough
http://technet2.Microsoft.com/WindowsServer/en/library/606e65b4-af4f-4b1a-9c49-9bb540ae2cfd1033.mspx?mfr=true
http://www.Microsoft.com/downloads/details.aspx?FamilyId=15032653-D78E-4D9D-9E48-6CF0AE0C369C&displaylang=en - ADAMSYNC
http://technet2.Microsoft.com/WindowsServer/en/library/c64799ab-88c0-4e5a-b296-bc26031141291033.mspx?mfr=true
Adamsync is a command-line utility that performs a one-way synchronization of data from Active Directory into ADAM. Adamsync uses an XML-based con-figuration file that drives the parameters of the ongoing synchronization
Implementing Forefront
Identity Manager 2010
http://technet.microsoft.com/en-us/ff793470.aspx
8 Stunden mit Student Material, Video und
Virtual Lab
- MIIS, IIFP, ILM – was ist da aktuell?
http://blogs.technet.com/deds/archive/2008/09/12/miis-iifp-ilm-was-ist-da-aktuell.aspx - Querying the FIM Metaverse using
powershell
https://www.wapshere.com/missmiis/querying-the-fim-metaverse-using-powershell - Connector Space reporting tool for MIIS/ILM/FIM/MIM/Azure AD Connect
https://github.com/FIMTooler/csReporter - GAL Sync With The Identity Integration Feature Pack
http://www.msexchange.org/tutorials/GAL-Sync-Identity-Integration-Feature-Pack-IIFP.html - Blogs von ILM MVPs
David Lundell’s Blog – Tempe, AZ., ILM MVP http://www.ilmbestpractices.com/blog/blogger.html
Brad Turner’s Blog – Gilbert, AZ., ILM MVP http://www.identitychaos.com/
Almero Steyn’s Blog – South Africa, ILM MVP http://www.PuTTYq.com/
Joe Stepongzi’s Blog – Tampa, FL., ILM MVP http://www.microsoftidm.com/
Peter Geelen’s Blog – Belgium, ILM MVP http://www.identityunderground.be/ - Free/Busy & Global Address List Synchronization für Exchange
http://www.quest.com/collaboration-services/
Kommerzielles Tools für DirSync und Free/Busy Abgleich - Office 365 Directory Synchronization In-Depth
http://www.messageops.com/resources/office-365-documentation/office-365-directory-synchronization-in-depth/