IIFP
Ich habe vorher einige Anleitungen zur Installation von
IIPF und GALSync gelesen. Aber in der Praxis muss man feststellen, dass
man mit all den How-To's nicht wirklich zum Erfolg kommen, wenn die
Rahmenbedingungen nicht erfüllt sind. Und ohne Anpassung der GALSYNC.DLL
kann man nur Basislösungen schaffen.
Trotzdem finden Sie auch bei mir im Bereich
How-To eine Beschreibung einer
IIFP Installation.
IIFP installieren
Die Installation von Konfiguration von IIFP ist fast ein "geradliniger" Prozess, der sowohl von Microsoft als auch vielen anderen Webseiten schon mit vielen Bildern dokumentiert wurde. Leider musste ich feststellen, dass sich viele Autoren anscheinend nicht mal die Mühe gemacht haben, IIFP zu verstehen oder im Realbetrieb einzusetzen, denn bislang konnte keine produktive Installation so einfach aktiv geschaltet werden. Und auf dieser Seite möchte ich etwas auf die "Sonderfälle" und Probleme eingehen.
Identity Integration Feature Pack für Microsoft
Windows Server Active Directory with Service Pack 2 (SP2) Okt 08
http://www.microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&displaylang=en
(7,5 MB)
Zum Verständnis sollten Sie unbedingt die Seite MIIS gelesen und verstanden haben.
Weder IIFP noch MIIS gehen aktuell auf die Anforderungen von Exchange 2007 ein !!. Diese Einschränkung kann aber z.B. mit E2K7:RUS gemildert werden.
Aber das SP2 hat zumindest erste Hinweise dazu:
951077 Identity Integration Feature Pack SP2 GalSync
with Exchange 2007
With the release of Identity Lifecycle Manager 2007 FP1, GAL (Global
Address List) Synchronization can now occur with Exchange 5.5, 2000,
2003, and 2007. This functionality is provided out-of-the-box
These are LegacyExchangeDN and ShowInAddressBook. Because the RUS is no
longer available in Exchange 2007, these attributes will never be set using the out-of-the-box GalSync Mas available in IIFP SP2.
Lösung: "get-mailcontact -organizationalUnit
Organisatorische Vorbereitung
Ehe Sie die 7 MB herunter laden und das Setup starten, sollten sie sich ein paar Gedanken machen, z.B.
- Welches Betriebssystem und SQL-Version
Windows 2003 ist eine gute Wahl , nur darf es nicht x64 sein, das MIIS darauf nicht läuft. Beim SQL-Server können Sie aber nicht sparsam sein, denn die Express Editionen oder MSDE sind nicht ausreichend. - Standort des Servers und Absicherung, IP-Leitwege und
Namensauflösung
Es handelt sich um einen Server, der zu mehreren Active Directory Domains und eventuell sogar per MAPI auch andere Exchange Server erreichen muss. Damit stellt sich nicht nur die Frage des IP-Routings und Firewallregeln, der Namensauflösung sondern auch der Absicherung dieses Servers. Schließlich enthält der vermutlich die umfangreichste Adressdatensammlung aller beteiligter unternehmen und en Hacker könnte "seine" Adresse auch einschmuggeln. - Was darf übertragen werden
Nicht alle Benutzerkonten einer Organisation sollten auch in der anderen Organisation auftauchen. Sie möchten sicher filtern und das kann man nach OUs, nach Gruppen oder LDAP-Feldern. Das muss man sich aber vorher überlegen und vorher pflegen. Auch alle später angelegten oder veränderten Anwender müssen dann diese Felder haben.
Auch bei den Feldern ist Planung gefragt. IIFP repliziert viel, aber z.B. auch die Mobilfunknummer, die vielleicht nicht nach außen bekannt werden sollte. - Dienstkonten und Administration
Ein System liest aus vielen Domänen Daten und schreibt diese in OUs in anderen Domänen. Das sind umfangreiche Rechte und viele verschiedene Administratoren vertrauen dem gleichen System. Den Verzeichnisabgleich können Sie aber nicht wirklich "kooperativ" administrieren. Hier müssen Prozesse und Zuständigkeiten geklärt werden.
Das soll nur ein Anfang sein, was bei einem Einsatz von IIFP berücksichtig werden muss.
Fallen
Und natürlich läuft es nie so glatt, wie die verschiedenen How-to's immer glauben lassen. Hier ein paar Beispiele der Probleme, die in keinem der "Schritt für Schritt-Anleitungen (Siehe Links am Ende) auch nur erwähnt wurden.
- GALSYNC in Tools ausgeschlossen
Wenn man den Default übernimmt, dann ist die "Provisionierung durch 3rd Party DLLs" deaktiviert. Sie können ewig warten, bis mit dieser Einstellung überhaupt ein Kontakt angelegt werden.
- Keinen "dedizierten DC"
Bei der Einstellung der Management Agents sollte man die Liste der DCs manuell pflegen.
Da die Gegenstellt oft andere Forests sind, ist es relativ unwahrscheinlich, dass der Prozess allein über DNS-Service Records den passenden DC findet. Dann lieber den Hostnamen angeben - Namensaufösung
Zur erfolgreichen Auflösung der Server zwischen Firmen sollten Sie sich überlegen, ob man die Namensauflösung auf DNS aufsetzt. Viele Firmen möchten solche Systeme ja nicht in der "offiziellen" DNS-Zone publizieren. Insofern ist eine HOSTS-Datei vielleicht nicht ganz die schlechte Wahl. Bei Problemen ist "IPCONFIG /DISPLAYDNS" ein gutes Hilfsmittel um Probleme der Namensauflösung zu finden, da hier auch "negative" Einträge im DNS-Cache aufgelistet werden. Die hat der Server gesucht aber nicht gefunden.
"IPCONFIG /FLUSHDNS" leert dann den Cache, damit die Anfragen nach der Korrektur erneut gestellt werden - Umlaute in CNs
Spaß oder ärger können auch Sonderzeichen oder umlaute im CN der Quelle bereiten. Da MIIS Sonderzeichen genau behandelt, aber das Active Directory dies bei Vergleichen ignoriert, haben die Entwickler von GALSYNC nicht ganz sauberen Weg gewählt. Immer wenn ein Zeichen > 127 enthalten ist, wird zur Sicherheit der Mailnickname addiert
Entsprechend unschön sehen dann die CNs im Zielverzeichnis aus. Eine 100% Verhinderung doppelter CNs ist das leider auch nicht. für deutsche Umgebungen sollte man also vorher zumindest die umlaute gesondert behandeln. - "Connection-Filter"
Wer bislang mit den üblichen LDAP-Filtern gearbeitet hat, wird hier auch erst einmal umdenken müssen. Während man bei LDAP per Filter auswählt, welche Objekte man haben möchte, z.B. mit "(ExtensionAttribute12=1)", so ist bei den Connection Filtern die Logic gerade umgekehrt:
Speziell wer hier nicht die "Rule Extension" nutze, die bei GALSYNC sich auf Exchange Empfänger beschränkt, sondern eigene Filter verwenden soll, muss hier doppelt hinschauen: Tipp: Einrichten; die Daten nur in den Connectorspace importieren und dort kontrollieren, ehe sie in den Metastore synchronisiert werden. - Exchange 2007
MIIS2003 und IIFP unterstützen offiziell keine Exchange 2007 Server. Beide Produkte legen zwar Kontakte an, aber nutzen dazu direkte LDAP-Operationen und vertrauen auf den Exchange RUS, der die Objekte dann anhand der Empfängerrichtlinien mit weiteren Daten versieht.
Daher müssen Sie in solch einem Umfeld weitere Schritt übernehmen, z.B. mit einem "Get-Mailcontact | Set-Mailcontact" oder seit Exchange 2007 SP1 mit "Update-Recipient" zyklisch die Updates durchführen. Mein Skript E2K7:RUS macht das natürlich etwas eleganter.
Und das ist nur ein Teil der Probleme, in die sie laufen können.
Tipp:
Verzeichnisabgleich ist keine Plug and play-Funktion, auch wenn viele
Produkte und Skripte ihnen genau das versprechen. Auch die Tatsache,
dass IIFP quasi "kostenfrei" ist (von der Windows und SQL-Lizenz mal
abgesehen), sollte Sie nicht leichtfertig werden lassen.
Unterstützung durch
Net at Work:
Nutzen Sie unser Angebot, mit ihnen die beste Möglichkeit einer
Synchronisation von Verzeichnisdaten mit dem passenden Produkt zu
finden.
Verzeichnisabgleich "Planen"
Basierend auf dem Abschnitt "IIFP verstehen" am Anfang der Seite können Sie sich nun sicher selbst vorstellen, wie der optimale Verzeichnisabgleich aussieht:
- Import in den Connector Space und Metaverse
Zuerst sollten Sie von allen Quellen die Daten in den jeweiligen Conectorspace importieren und zum Metaverse replizieren lassen. Wichtig ist, dass alle diesen Schritt schon durchgeführt haben, damit die "JOINS" funktionieren, d.h. Objekte, die es schon in verschiedenen Verzeichnissen gibt auch zusammengeführt werden. Sonst gibt es beim Export Konflikte. - Synchronisation
Dadurch wird das Metaverse wieder mit dem Connectorspace abgeglichen, d.h. Änderungen im Metaverse werden zum Connectorspace als ausgehende Replikation gekennzeichnet. - Export
Erst dann werden durch einen Export die Kontakte im Ziel angelegt.
Etwas schade ist es nun aber, das die Zeitplanung dieser Funktionen nicht Bestandteil des MIIS/IIFP ist. Man muss also die Entsprechenden Schritte als "VBScript"-Datei erst erzeugen lassen und dann z.B.: über eine CMD-Datei und den Taskplaner dann als Auftrag einstellen. Hier ein Beispiel:
REM Inhalte der Syncall.cmd Wird per MSTASK gestartet START /WAIT CSCRIPT.EXE FIRMA1_FullImport.VBS START /WAIT CSCRIPT.EXE FIRMA2_FullImport.VBS START /WAIT CSCRIPT.EXE FIRMA1_FullSynchronization.VBS START /WAIT CSCRIPT.EXE FIRMA2_FullSynchronization.VBS START /WAIT CSCRIPT.EXE FIRMA1_Export.VBS START /WAIT CSCRIPT.EXE FIRMA2_Export.VBS
Natürlich können Sie das Skript so abändern, dass später nur noch Delta-Abgleiche stattfinden, aber wenn Sie nicht gerade eine 100.000 Kontakte Firma sind, dann sparen Sie da nicht viel ein.
Die Überwachung ist hingegen einfach, das alle Aktionen und vor allem Fehler im Eventlog protokolliert werden und entsprechende Überwachungsprogramme verfügbar sind. (Siehe Überwachung von Exchange)
Was steht noch aus ?
Der Abgleich von Kontakten ist natürlich nur die erste Stufe einer Organisationskopplung. Drei Dinge sollten mindestens noch implementiert werden:
- Free/Busy-Zeiten
Es ist problemlos möglich, mit dem InterOrg Replication Tool die Frei/Belegt-Zeiten einer Organisation zur anderen zu kopieren, so dass organisationsübergreifend Terminplanungen möglich sind - SMTP-Routing
Wenn sich zwei Firmen "Verbinden", dann sollte auch ein eigener SMTP-Connector eine direkte Verbindung unterstützen. rund wird die Sache durch eine gegenseitige Authentifizierung per SMTP (Damit auch der Spamschutz IMF von Exchange umgangen wird) und eine Verschlüsselung der Daten per TLS - Domaineinstellungen
Zusätzlich können Sie je Domain natürlich noch einstellen, dass dorthin auch RTF-Mails, Quittungen, Weiterleitungen, OOF-Meldungen etc. gesendet werden. So wird die Zusammenarbeit noch enger.
Weitere Links
- IIFP Installation
- Verbinden von Organisationen
- MiniSync
- Verzeichnisabgleich
- ADC Interorg
- Weiterleitungen
- Ex552AD
- MiniSync
- MIIS
- Schritt für Schritt-Anleitungen für GALSYNC
- Global Address List Synchronization Walkthrough
http://technet2.Microsoft.com/WindowsServer/en/library/606e65b4-af4f-4b1a-9c49-9bb540ae2cfd1033.mspx?mfr=true - Microsoft® Identity Integration Server 2003 Scenarios
http://www.Microsoft.com/downloads/details.aspx?FamilyId=15032653-D78E-4D9D-9E48-6CF0AE0C369C&displaylang=en - Verwenden der GAL-Synchronisierung von MIIS 2003 http://www.Microsoft.com/technet/prodtechnol/exchange/de/guides/Ex2k3DepGuide/9d790078-0dfb-4684-81b3-2d9d5bf5a0ba.mspx?mfr=true
- Identity Integration Feature Pack (IIFP) - GalSync unleashed Quelle: http://msmvps.com/blogs/clustering/archive/2004/10/06/15141.aspx
- Using Microsoft's IIFP (Identity Integration Feature Pack) to sync
GALs / Active Directories
http://mostlyexchange.blogspot.com/2006/08/using-Microsofts-iifp-identity.html - http://www.msexchange.org/tutorials/GAL-Sync-Identity-Integration-Feature-Pack-IIFP.html
- Global Address List Synchronization Walkthrough
- Building Rules Extensions für MIIS 2003
http://www.microsoft.com/technet/miis/plan/miisrule2.mspx - How to set up IIFP GAL Sync using least privilege http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/18/Default.aspx
- Microsoft Identity Lifecyle Manager 2007 VirtualPC Image 495 MB
http://www.microsoft.com/downloads/details.aspx?FamilyID=b7b396d7-fcb7-42be-9e64-fa2b6edd3d8f&DisplayLang=en - MIIS, IIFP, ILM – was ist da aktuell?
http://blogs.technet.com/deds/archive/2008/09/12/miis-iifp-ilm-was-ist-da-aktuell.aspx - 951077 Identity Integration Feature Pack SP2 GalSync with Exchange 2007