IIFP

Ich habe vorher einige Anleitungen zur Installation von IIPF und GALSync gelesen. Aber in der Praxis muss man feststellen, dass man mit all den How-To's nicht wirklich zum Erfolg kommen, wenn die Rahmenbedingungen nicht erfüllt sind. Und ohne Anpassung der GALSYNC.DLL kann man nur Basislösungen schaffen.
Trotzdem finden Sie auch bei mir im Bereich How-To eine Beschreibung einer IIFP Installation.

IIFP installieren

Die Installation von Konfiguration von IIFP ist fast ein "geradliniger" Prozess, der sowohl von Microsoft als auch vielen anderen Webseiten schon mit vielen Bildern dokumentiert wurde. Leider musste ich feststellen, dass sich viele Autoren anscheinend nicht mal die Mühe gemacht haben, IIFP zu verstehen oder im Realbetrieb einzusetzen, denn bislang konnte keine produktive Installation so einfach aktiv geschaltet werden. Und auf dieser Seite möchte ich etwas auf die "Sonderfälle" und Probleme eingehen.

Identity Integration Feature Pack für Microsoft Windows Server Active Directory with Service Pack 2 (SP2) Okt 08
http://www.microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&displaylang=en (7,5 MB)

Zum Verständnis sollten Sie unbedingt die Seite MIIS gelesen und verstanden haben.

Weder IIFP noch MIIS gehen aktuell auf die Anforderungen von Exchange 2007 ein !!. Diese Einschränkung kann aber z.B. mit E2K7:RUS gemildert werden.

Aber das SP2 hat zumindest erste Hinweise dazu:

951077 Identity Integration Feature Pack SP2 GalSync with Exchange 2007

With the release of Identity Lifecycle Manager 2007 FP1, GAL (Global Address List) Synchronization can now occur with Exchange 5.5, 2000, 2003, and 2007.  This functionality is provided out-of-the-box

These are LegacyExchangeDN and ShowInAddressBook.  Because the RUS is no longer available in Exchange 2007, these attributes will never be set using the out-of-the-box GalSync Mas available in IIFP SP2.

Lösung: "get-mailcontact -organizationalUnit / | set-mailcontact"

Organisatorische Vorbereitung

Ehe Sie die 7 MB herunter laden und das Setup starten, sollten sie sich ein paar Gedanken machen, z.B.

  • Welches Betriebssystem und SQL-Version
    Windows 2003 ist eine gute Wahl , nur darf es nicht x64 sein, das MIIS darauf nicht läuft. Beim SQL-Server können Sie aber nicht sparsam sein, denn die Express Editionen oder MSDE sind nicht ausreichend.
  • Standort des Servers und Absicherung, IP-Leitwege und Namensauflösung
    Es handelt sich um einen Server, der zu mehreren Active Directory Domains und eventuell sogar per MAPI auch andere Exchange Server erreichen muss. Damit stellt sich nicht nur die Frage des IP-Routings und Firewallregeln, der Namensauflösung sondern auch der Absicherung dieses Servers. Schließlich enthält der vermutlich die umfangreichste Adressdatensammlung aller beteiligter unternehmen und en Hacker könnte "seine" Adresse auch einschmuggeln.
  • Was darf übertragen werden
    Nicht alle Benutzerkonten einer Organisation sollten auch in der anderen Organisation auftauchen. Sie möchten sicher filtern und das kann man nach OUs, nach Gruppen oder LDAP-Feldern. Das muss man sich aber vorher überlegen und vorher pflegen. Auch alle später angelegten oder veränderten Anwender müssen dann diese Felder haben.
    Auch bei den Feldern ist Planung gefragt. IIFP repliziert viel, aber z.B. auch die Mobilfunknummer, die vielleicht nicht nach außen bekannt werden sollte.
  • Dienstkonten und Administration
    Ein System liest aus vielen Domänen Daten und schreibt diese in OUs in anderen Domänen. Das sind umfangreiche Rechte und viele verschiedene Administratoren vertrauen dem gleichen System. Den Verzeichnisabgleich können Sie aber nicht wirklich "kooperativ" administrieren. Hier müssen Prozesse und Zuständigkeiten geklärt werden.

Das soll nur ein Anfang sein, was bei einem Einsatz von IIFP berücksichtig werden muss.

Fallen

Und natürlich läuft es nie so glatt, wie die verschiedenen How-to's immer glauben lassen. Hier ein paar Beispiele der Probleme, die in keinem der "Schritt für Schritt-Anleitungen (Siehe Links am Ende) auch nur erwähnt wurden.

  • GALSYNC in Tools ausgeschlossen
    Wenn man den Default übernimmt, dann ist die "Provisionierung durch 3rd Party DLLs" deaktiviert. Sie können ewig warten, bis mit dieser Einstellung überhaupt ein Kontakt angelegt werden.
  • Keinen "dedizierten DC"
    Bei der Einstellung der Management Agents sollte man die Liste der DCs manuell pflegen.

    Da die Gegenstellt oft andere Forests sind, ist es relativ unwahrscheinlich, dass der Prozess allein über DNS-Service Records den passenden DC findet. Dann lieber den Hostnamen angeben
  • Namensaufösung
    Zur erfolgreichen Auflösung der Server zwischen Firmen sollten Sie sich überlegen, ob man die Namensauflösung auf DNS aufsetzt. Viele Firmen möchten solche Systeme ja nicht in der "offiziellen" DNS-Zone publizieren. Insofern ist eine HOSTS-Datei vielleicht nicht ganz die schlechte Wahl. Bei Problemen ist "IPCONFIG /DISPLAYDNS" ein gutes Hilfsmittel um Probleme der Namensauflösung zu finden, da hier auch "negative" Einträge im DNS-Cache aufgelistet werden. Die hat der Server gesucht aber nicht gefunden.

    "IPCONFIG /FLUSHDNS" leert dann den Cache, damit die Anfragen nach der Korrektur erneut gestellt werden
  • Umlaute in CNs
    Spaß oder ärger können auch Sonderzeichen oder umlaute im CN der Quelle bereiten. Da MIIS Sonderzeichen genau behandelt, aber das Active Directory dies bei Vergleichen ignoriert, haben die Entwickler von GALSYNC nicht ganz sauberen Weg gewählt. Immer wenn ein Zeichen > 127 enthalten ist, wird zur Sicherheit der Mailnickname addiert

    Entsprechend unschön sehen dann die CNs im Zielverzeichnis aus. Eine 100% Verhinderung doppelter CNs ist das leider auch nicht. für deutsche Umgebungen sollte man also vorher zumindest die umlaute gesondert behandeln.
  • "Connection-Filter"
    Wer bislang mit den üblichen LDAP-Filtern gearbeitet hat, wird hier auch erst einmal umdenken müssen. Während man bei LDAP per Filter auswählt, welche Objekte man haben möchte, z.B. mit "(ExtensionAttribute12=1)", so ist bei den Connection Filtern die Logic gerade umgekehrt:

    Speziell wer hier nicht die "Rule Extension" nutze, die bei GALSYNC sich auf Exchange Empfänger beschränkt, sondern eigene Filter verwenden soll, muss hier doppelt hinschauen: Tipp: Einrichten; die Daten nur in den Connectorspace importieren und dort kontrollieren, ehe sie in den Metastore synchronisiert werden.
  • Exchange 2007
    MIIS2003 und IIFP unterstützen offiziell keine Exchange 2007 Server. Beide Produkte legen zwar Kontakte an, aber nutzen dazu direkte LDAP-Operationen und vertrauen auf den Exchange RUS, der die Objekte dann anhand der Empfängerrichtlinien mit weiteren Daten versieht.

Daher müssen Sie in solch einem Umfeld weitere Schritt übernehmen, z.B. mit einem "Get-Mailcontact | Set-Mailcontact" oder seit Exchange 2007 SP1 mit "Update-Recipient" zyklisch die Updates durchführen. Mein Skript E2K7:RUS macht das natürlich etwas eleganter.

Und das ist nur ein Teil der Probleme, in die sie laufen können.

Tipp:
Verzeichnisabgleich ist keine Plug and play-Funktion, auch wenn viele Produkte und Skripte ihnen genau das versprechen. Auch die Tatsache, dass IIFP quasi "kostenfrei" ist (von der Windows und SQL-Lizenz mal abgesehen), sollte Sie nicht leichtfertig werden lassen.

Unterstützung durch Net at Work:
Nutzen Sie unser Angebot, mit ihnen die beste Möglichkeit einer Synchronisation von Verzeichnisdaten mit dem passenden Produkt zu finden.

Verzeichnisabgleich "Planen"

Basierend auf dem Abschnitt "IIFP verstehen" am Anfang der Seite können Sie sich nun sicher selbst vorstellen, wie der optimale Verzeichnisabgleich aussieht:

  1. Import in den Connector Space und Metaverse
    Zuerst sollten Sie von allen Quellen die Daten in den jeweiligen Conectorspace importieren und zum Metaverse replizieren lassen. Wichtig ist, dass alle diesen Schritt schon durchgeführt haben, damit die "JOINS" funktionieren, d.h. Objekte, die es schon in verschiedenen Verzeichnissen gibt auch zusammengeführt werden. Sonst gibt es beim Export Konflikte.
  2. Synchronisation
    Dadurch wird das Metaverse wieder mit dem Connectorspace abgeglichen, d.h. Änderungen im Metaverse werden zum Connectorspace als ausgehende Replikation gekennzeichnet.
  3. Export
    Erst dann werden durch einen Export die Kontakte im Ziel angelegt.

Etwas schade ist es nun aber, das die Zeitplanung dieser Funktionen nicht Bestandteil des MIIS/IIFP ist. Man muss also die Entsprechenden Schritte als "VBScript"-Datei erst erzeugen lassen und dann z.B.: über eine CMD-Datei und den Taskplaner dann als Auftrag einstellen. Hier ein Beispiel:

REM Inhalte der Syncall.cmd  Wird per MSTASK gestartet
START /WAIT CSCRIPT.EXE FIRMA1_FullImport.VBS
START /WAIT CSCRIPT.EXE FIRMA2_FullImport.VBS
START /WAIT CSCRIPT.EXE FIRMA1_FullSynchronization.VBS
START /WAIT CSCRIPT.EXE FIRMA2_FullSynchronization.VBS
START /WAIT CSCRIPT.EXE FIRMA1_Export.VBS
START /WAIT CSCRIPT.EXE FIRMA2_Export.VBS

Natürlich können Sie das Skript so abändern, dass später nur noch Delta-Abgleiche stattfinden, aber wenn Sie nicht gerade eine 100.000 Kontakte Firma sind, dann sparen Sie da nicht viel ein.

Die Überwachung ist hingegen einfach, das alle Aktionen und vor allem Fehler im Eventlog protokolliert werden und entsprechende Überwachungsprogramme verfügbar sind. (Siehe Überwachung von Exchange)

Was steht noch aus ?

Der Abgleich von Kontakten ist natürlich nur die erste Stufe einer Organisationskopplung. Drei Dinge sollten mindestens noch implementiert werden:

  • Free/Busy-Zeiten
    Es ist problemlos möglich, mit dem InterOrg Replication Tool die Frei/Belegt-Zeiten einer Organisation zur anderen zu kopieren, so dass organisationsübergreifend Terminplanungen möglich sind
  • SMTP-Routing
    Wenn sich zwei Firmen "Verbinden", dann sollte auch ein eigener SMTP-Connector eine direkte Verbindung unterstützen. rund wird die Sache durch eine gegenseitige Authentifizierung per SMTP (Damit auch der Spamschutz IMF von Exchange umgangen wird) und eine Verschlüsselung der Daten per TLS
  • Domaineinstellungen
    Zusätzlich können Sie je Domain natürlich noch einstellen, dass dorthin auch RTF-Mails, Quittungen, Weiterleitungen, OOF-Meldungen etc. gesendet werden. So wird die Zusammenarbeit noch enger.

Weitere Links