Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft. PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM). |
Prérequis et recommandations
Avant d'installer PCNS, il est nécessaire de disposer des droits sur :
- le/les contrôleur(s) de domaine
- le serveur FIM (droits pour accéder au moteur de synchronisation et configurer les Management Agent)
- les binaires pour PCNS (32 ou 64 bits) disponibles sur le site de Microsoft ou directement sur le .ISO de l'installeur FIM
Détails des droits :
Operations | Permissions accordées |
Installation de PCNS | Si le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjà à jour, vous devez être membre du groupe Administrateurs du domaine |
Synchronisation de mot de passe entre deux forêt | Il doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory |
Ports à ouvrir :
Service | Protocol | Port |
RPC Endpoint mapper | TCP | 135 |
Dynamic RPC ports (PCNS) | TCP | 5000 - 5100 |
Dynamic RPC ports (management agent for Active Directory) | TCP | 57500 - 57520 |
Voir également les recommandations suivantes :
- Il est recommandé d'installer PCNS sur tous les contrôleurs de domaine qui seront utilisés pour traiter les réinitialisations de mot de passe
- Il sera nécessaire de redémarrer les contrôleurs de domaine après l'installation PCNS (il sera donc interessant de disposer de deux contrôleur de domaine afin de ne pas occasionner de coupure de service)
Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)
Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.
Voici les changement qu'occasionne cette extension de schéma :
Schéma : classe d'objet ajoutée par PCNS
CN |
ID |
MS-MIIS-PCNS-Target |
1.2.840.113556.1.5.249 |
MS-MIIS-PCNS-Service |
1.2.840.113556.1.5.250 |
Schéma : Attribut ajouté par PCNS
CN |
ID |
|
MS-MIIS-PCNS-TargetGUID |
1.2.840.113556.1.4.1895 |
|
MS-MIIS-PCNS-TargetSPN |
1.2.840.113556.1.4.1896 |
|
MS-MIIS-PCNS-TargetServer |
1.2.840.113556.1.4.1897 |
|
MS-MIIS-PCNS-TargetAuthenticationService |
1.2.840.113556.1.4.1898 |
|
MS-MIIS-PCNS-TargetUserNameFormat |
1.2.840.113556.1.4.1899 |
|
MS-MIIS-PCNS-TargetKeepAliveInterval |
1.2.840.113556.1.4.1900 |
|
MS-MIIS-PCNS-TargetDisabled |
1.2.840.113556.1.4.1901 |
|
MS-MIIS-PCNS-TargetEncryptionKey |
1.2.840.113556.1.4.1902 |
|
MS-MIIS-PCNS-ServiceMaxQueueLength |
1.2.840.113556.1.4.1903 |
|
MS-MIIS-PCNS-ServiceMaxQueueAge |
1.2.840.113556.1.4.1904 |
|
MS-MIIS-PCNS-ServiceMaxNotificationRetries |
1.2.840.113556.1.4.1905 |
|
MS-MIIS-PCNS-ServiceRetryInterval |
1.2.840.113556.1.4.1906 |
|
MS-MIIS-PCNS-TargetExclusionSID |
1.2.840.113556.1.4.1908 |
|
MS-MIIS-PCNS-TargetInclusionSID |
1.2.840.113556.1.4.1909 |
|
MS-MIIS-PCNS-TargetQueueWarningLevel |
1.2.840.113556.1.4.1911 |
|
MS-MIIS-PCNS-TargetQueueWarningInterval |
1.2.840.113556.1.4.1912 |
Une fois que vous êtes connecté en administrateur du schéma, exécutez la commande suivante en ciblant le binaire PCNS :
MSIEXEC.EXE /i "Password Change Notification Service.msi" SCHEMAONLY=TRUE
Cliquez sur Next.
L'extension de schéma est maintenant finalisée. Il ne manque plus qu'à redémarrer le DC.
Installation de PCNS (sur chaque contrôleur de domaine)
Il est nécessaire d'installer PCNS sur chaque contrôleur de domaine susceptible de réaliser des réinitialisation de mot de passe.
Dans le cas ou vous ne le feriez pas, la propagation du mot de passe ne sera pas effective depuis les DCs ou PCNS n'est pas installé.
Exécutez Password Change Notification Service_x64.msi
Acceptez l'EULA et Next
Redémarrer le DC et vérifier que le service PCNS est bien démarré.
Maintenant, le service de synchronisation de mot de passe est installé. Suivez ce tuto concernant la configuration du service PCNS (FIM : configurer Microsoft Password Change Notification Service (PCNS).
Bonne lecture et n'hésitez pas à commenter ;)
Joris