Imprimer

FIM : installer Microsoft Password Change Notification Service (PCNS)

Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM).

Prérequis et recommandations

Avant d'installer PCNS, il est nécessaire de disposer des droits sur :

 

Détails des droits :

OperationsPermissions accordées
Installation de PCNSSi le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjàà jour, vous devez être membre du groupe Administrateurs du domaine
Synchronisation de mot de passe entre deux forêtIl doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory

 

Ports à ouvrir :

ServiceProtocolPort
RPC Endpoint mapperTCP135
Dynamic RPC ports (PCNS)TCP5000 - 5100
Dynamic RPC ports (management agent for Active Directory)TCP57500 - 57520

 

 

Voir également les recommandations suivantes :

 

 

Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)

Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.

Voici les changement qu'occasionne cette extension de schéma :

 

Schéma : classe d'objet ajoutée par PCNS

CN

ID

MS-MIIS-PCNS-Target

1.2.840.113556.1.5.249

MS-MIIS-PCNS-Service

1.2.840.113556.1.5.250

 

 Schéma : Attribut ajouté par PCNS

CN

ID

MS-MIIS-PCNS-TargetGUID

1.2.840.113556.1.4.1895

MS-MIIS-PCNS-TargetSPN

1.2.840.113556.1.4.1896

MS-MIIS-PCNS-TargetServer

1.2.840.113556.1.4.1897

MS-MIIS-PCNS-TargetAuthenticationService

1.2.840.113556.1.4.1898

MS-MIIS-PCNS-TargetUserNameFormat

1.2.840.113556.1.4.1899

MS-MIIS-PCNS-TargetKeepAliveInterval

1.2.840.113556.1.4.1900

MS-MIIS-PCNS-TargetDisabled

1.2.840.113556.1.4.1901

MS-MIIS-PCNS-TargetEncryptionKey

1.2.840.113556.1.4.1902

MS-MIIS-PCNS-ServiceMaxQueueLength

1.2.840.113556.1.4.1903

MS-MIIS-PCNS-ServiceMaxQueueAge

1.2.840.113556.1.4.1904

MS-MIIS-PCNS-ServiceMaxNotificationRetries

1.2.840.113556.1.4.1905

MS-MIIS-PCNS-ServiceRetryInterval

1.2.840.113556.1.4.1906

MS-MIIS-PCNS-TargetExclusionSID

1.2.840.113556.1.4.1908

MS-MIIS-PCNS-TargetInclusionSID

1.2.840.113556.1.4.1909

MS-MIIS-PCNS-TargetQueueWarningLevel

1.2.840.113556.1.4.1911

MS-MIIS-PCNS-TargetQueueWarningInterval

1.2.840.113556.1.4.1912

 

 

Une fois que vous êtes connecté en administrateur du schéma, exécutez la commande suivante en ciblant le binaire PCNS :

MSIEXEC.EXE /i "Password Change Notification Service.msi" SCHEMAONLY=TRUE

Cliquez sur Next.

L'extension de schéma est maintenant finalisée. Il ne manque plus qu'à redémarrer le DC.

 

 

Installation de PCNS (sur chaque contrôleur de domaine)

Il est nécessaire d'installer PCNS sur chaque contrôleur de domaine susceptible de réaliser des réinitialisation de mot de passe.

Dans le cas ou vous ne le feriez pas, la propagation du mot de passe ne sera pas effective depuis les DCs ou PCNS n'est pas installé.

 

Exécutez Password Change Notification Service_x64.msi

Acceptez l'EULA et Next

Redémarrer le DC et vérifier que le service PCNS est bien démarré.

Maintenant, le service de synchronisation de mot de passe est installé. Suivez ce tuto concernant la configuration du service PCNS (FIM : configurer Microsoft Password Change Notification Service (PCNS).

 

Bonne lecture et n'hésitez pas à commenter  ;)

Joris


Leave your comments

Post comment as a guest

0
Your comments are subject to administrator's moderation.
    • No comments found
    Powered by Komento