Forefront Identity Manager

    Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

    PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM).

    Prérequis et recommandations

    Avant d'installer PCNS, il est nécessaire de disposer des droits sur :

    • le/les contrôleur(s) de domaine
    • le serveur FIM (droits pour accéder au moteur de synchronisation et configurer les Management Agent)
    • les binaires pour PCNS (32 ou 64 bits) disponibles sur le site de Microsoft ou directement sur le .ISO de l'installeur FIM

     

    Détails des droits :

    OperationsPermissions accordées
    Installation de PCNSSi le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjàà jour, vous devez être membre du groupe Administrateurs du domaine
    Synchronisation de mot de passe entre deux forêtIl doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory

     

    Ports à ouvrir :

    ServiceProtocolPort
    RPC Endpoint mapperTCP135
    Dynamic RPC ports (PCNS)TCP5000 - 5100
    Dynamic RPC ports (management agent for Active Directory)TCP57500 - 57520

     

     

    Voir également les recommandations suivantes :

    • Il est recommandé d'installer PCNS sur tous les contrôleurs de domaine qui seront utilisés pour traiter les réinitialisations de mot de passe
    • Il sera nécessaire de redémarrer les contrôleurs de domaine après l'installation PCNS (il sera donc interessant de disposer de deux contrôleur de domaine afin de ne pas occasionner de coupure de service)

     

     

    Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)

    Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.


    Comment (0) Hits: 8382
     

    Nouveau hotfix pour Forefront Identity Manager 2010 R2 (FIM).

     

    Télécharger le hotfix

     

    Corrections

    Service FIM

    Problème 1

    Lorsque vous avez des requêtes XPath très longs dans le Service FIM, utilisation de l'UC peut augmenter. Cela entraîne une diminution des performances.

    Service de synchronisation FIM

    Problème 1

    Le Service de synchronisation peut provoquer une fuite de mémoire lorsque vous utilisez un connecteur ECMA2.

    Problème 2

    Lorsqu'un connecteur ECMA2 existant est mis à jour lors de la configuration d'un serveur est déplacée entre les serveurs, la mise à jour peut échouer. Ce problème se produit lorsque le connecteur nécessite l'accès aux paramètres chiffrés, par exemple un mot de passe pour terminer l'opération.

    Problème 3

    Lorsque vous confirmez une importation, une erreur de mise en attente peut se produire dans de rares cas. Lorsque ce problème se produit, le message d'erreur suivant s'affiche :

    Impossible d'insérer une ligne de clé en double dans l'objet « dbo.mms_cs_link »

     

    Problème 4

    Si au cours d'une importation complète sur la gestion d'Active Directory agent Il est une référence à une unité d'organisation (UO) à une unité d'organisation deux niveaux, le moteur de synchronisation s'arrête.

    Problème 5

    Lorsque vous sélectionnez l'option abandonner la clé définie dans l'utilitaire de gestion clé de Service de synchronisation, l'opération peut être échoue. En outre, le message d'erreur suivant s'affiche :

    Valeur n'est pas dans la plage attendue.

     

    Suite BHOLD

    Problème 1

    Le traitement des entrées de la file d'attente BHOLD prend plus de temps que prévu pour se terminer après l'application d'un correctif antérieur.

    Problème 2

    Vous ne pouvez pas ajouter une autorisation pour un utilisateur à l'aide du connecteur BHOLD si l'autorisation a été déjà refusée pour l'utilisateur.

    Problème 3

    La suppression des autorisations d'un rôle personnel (ayant pour préfixe PR-) ne déclenche pas la suppression de ces autorisations de l'utilisateur.

     

     

    Joris


    Comment (0) Hits: 5277

    Voici un article qui explique rapidement comment modifier le fuseau horaire pour le portail FIM.

    Mais pourquoi donc...

    Petit article très simple et rapide qui explique comment changer le fuseau horaire dans FIM. Tout d'abord, il faut savoir que certes, cela est très simple, mais qu'il est très important de réaliser cette action sous peine d'avoir quelques surprises (gestion des attributs temporels dans le portail ;).

    L'autre argument est tout simplement d'avoir un bon reporting, notamment si l'on consulte la partie "Search Request" pour vérifier le bonne exécution de la configuration. A partir de là, cela vous permettra d'avoir vos événements à la "bonne heure".

     

    Tuto

    Il faut commencer par se rendre sur le portail FIM avec un compte administrateur. Accéder à la partie Administration.


    Comment (0) Hits: 4400

    Un certain nombre de cas de figure nécessite de passer par un développement PowerShell.

    Voici un article qui explique comment activer ce module dans le portail FIM. Nativement ce module n'est pas accessible.

     Phase de déploiement

    Récupérer les trois archives ci-dessous :

     

    FIMPowerShellModuleV2-1 ->http://fimpowershellwf.codeplex.com/

    FimExtensions.FimActivityLibrary ->http://fimpowershellmodule.codeplex.com/ 

    Powershell Wftest -> http://www.anykeyonline.nl/blogdownloads/powershellwftest.zip

     

    Commencer par créer trois répertoires sur votre serveur qui héberge le service FIM (portail FIM) tel que démontré ci-dessous et deziper les archives dans ces répertoires.


    Comment (0) Hits: 5693

    Menu principal