Bereitstellungsaspekte für die Implementierung von Microsoft Identity Manager mit SharePoint-Server

  • Artikel

GILT FÜR:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Befolgen Sie die folgenden Empfehlungen, um die Wahrscheinlichkeit einer erfolgreichen MIM-Bereitstellung in SharePoint Server zu erhöhen:

Planen der Migration von der Testumgebung zur Produktionsumgebung

Planen, planen und dann noch etwas mehr. Dieser Schritt kann nicht überbewertet werden. Die meisten fehlgeschlagenen Synchronisierungen können auf mangelnde Planung zurückzuführen sein.

Eine ordnungsgemäße Einrichtung des MIM-Synchronisierungsdiensts in Ihrer Testumgebung und eine sorgfältige Planung der Migration von der Testumgebung zur Produktion sind für die Minimierung von Bereitstellungsproblemen unerlässlich. Es wird empfohlen, eine kleine Testumgebung zu verwenden, um die Verarbeitung von Tausenden von Objekten zu vermeiden, wenn Sie neue Regeln testen.

Sichern der Testumgebung in ihrer Erstkonfiguration

Nachdem mim installiert und Ihre Verwaltungs-Agents erstellt wurden, sichern Sie die MIM-Synchronisierungsdatenbank. Anschließend können Sie jederzeit eine neue Testumgebung erstellen, indem Sie die Sicherungsdatenbank laden.

Testen der Sicherungs- und Wiederherstellungsverfahren für MIM

Regelmäßige Sicherungsverfahren sind unerlässlich, um Ihre Daten vor versehentlichem Verlust zu schützen. Es wird auch empfohlen, ihre Sicherungs- und Wiederherstellungsverfahren zu testen, bevor ein Notfall eintritt. Verwenden Sie zum Sichern und Wiederherstellen von MIM die Sicherungstools, die mit Windows Server 2012 R2-Betriebssystem und SQL Server 2014 bereitgestellt werden.

Installieren von MIM-Synchronisierungsdienst und SQL Server in derselben Domäne

Während der MIM-Synchronisierungseinrichtung hängt der Remote-Datenbankzugriff von den Zugriffsrechten des aktuellen Anmeldekontos ab, das Sie zum Ausführen des Setups verwenden. Stellen Sie sicher, dass sich der Server, auf dem Windows Server 2012 R2-Betriebssystem ausgeführt wird, das MIM hostet, und der Server, der SQL Server hostet, in derselben Domäne befinden und dass das Konto, das Sie zum Ausführen des Setups verwenden, über Zugriffsrechte für den Server verfügt, der SQL Server hostet.

Festlegen von Zugriffsrechten bei der Installation von SQL Server auf einem Remoteserver

Wenn Sie SQL Server auf einem Remotecomputer installieren, d. h. auf einem anderen Computer als dem Computer, auf dem MIM ausgeführt wird, stellen Sie sicher, dass die Richtlinie für das SQL Server-Dienstkonto Benutzern den Zugriff auf diesen Computer über das Netzwerk zulässt. Wenn der Zugriff nicht zulässig ist, schlägt die MIM-Einrichtung fehl.

Wichtig

Wenn Sie SQL Server auf einem Remotecomputer installieren und den Netzwerkzugriff auf den Remotecomputer zulassen, erhalten Sie eine Sicherheitswarnung vom MIM-Setup. In diesem Szenario kann die Warnung ignoriert werden.

Festlegen des TCP/IP-Ports für einen Remoteserver, auf dem SQL Server ausgeführt wird

Wenn sich die SQL Server Instanz, die Sie während des MIM-Setups angeben, auf einem Remotecomputer befindet, verwendet MIM-Setup den TCP/IP-Standardport. Wenn Sie einen anderen Port angeben möchten, müssen Sie das SQL Server Client Network Utility (Windows\System32\cliconfg.exe) und die server network utility tools verwenden, die mit SQL Server bereitgestellt werden. Weitere Informationen finden Sie in der SQL Server-Onlinedokumentation.

Sichern der Verwaltungs-Agents mithilfe des Befehls „Export Management Agent“ bei jeder Änderung an den Verwaltungs-Agent-Regeln

Nachdem Sie den Exportverwaltungs-Agent verwendet haben, können Sie den Befehl Verwaltungs-Agent importieren verwenden, um eine bestimmte Version des einzelnen Verwaltungs-Agents zu importieren. Sie können Verwaltungs-Agents auch exportieren und importieren, indem Sie die Befehle Serverkonfiguration exportieren und Serverkonfiguration importieren verwenden. Dadurch werden jedoch alle Verwaltungs-Agents zusätzlich zum Metaverseschema importiert. Weitere Informationen zum Konfigurieren und Importieren finden Sie unter Konfigurieren von Verwaltungs-Agents und Importieren und Exportieren einer Serverkonfiguration.

Festlegen eines Werts für das displayName-Attribut in der Metaverse, damit Suchergebnisse leichter identifizierbar sind

Beim Auflisten von Objekten mithilfe der Metaverse-Suche gibt MIM Ergebnisse zurück, die durch das displayName-Attribut identifiziert werden. Wenn das displayName-Attribut nicht aufgefüllt wird, werden die Suchergebnisse durch die GUID (Globally Unique Identifier) identifiziert. Weitere Informationen zur Verwendung der Metaversesuche finden Sie unter Verwenden der Metaversesuche.

Festlegen von Flussregeln, die den Objektstatus als Grundlage für die Aktionsausführung heranziehen

Nutzen Sie den Status eines Objekts als Entscheidungsgrundlage für den nächsten Schritt bei der Objektsynchronisierung, nicht das Ereignis, das den Objektstatus verursacht hat.

Wichtig

Verlassen Sie sich nicht auf deklarative Regeln oder Regeln in einer Regelerweiterung, die beim Synchronisieren eines Objekts in einer angegebenen Reihenfolge ausgewertet werden sollen. Regeln werden ungeordnet ausgewertet.

Deaktivieren der Bereitstellung bei der erstmaligen Migration verbundener Datenquellen zur Metaverse

Wenn Sie MIM zum ersten Mal bereitstellen, wird empfohlen, alle verbundenen Datenquellen zu migrieren und zu verknüpfen, bevor Sie die Bereitstellung aktivieren. Nachdem Sie überprüft haben, ob alles erfolgreich migriert und verknüpft wurde, können Sie die Bereitstellung aktivieren und eine vollständige Synchronisierung der Verwaltungs-Agents ausführen, um die Bereitstellungsregeln auf alle verbundenen Objekte anzuwenden. Weitere Informationen zum Konfigurieren von Bereitstellungsregeln finden Sie unter Bereitstellungsregeln.

Festlegen eines Löschschwellenwerts in den Schritten Ihres Ausführungsprofils, um die Zahl versehentlicher Löschungen zu begrenzen

Verwenden Sie die Einstellung für den Löschschwellenwert, um die Anzahl der versehentlichen Löschungen zu begrenzen, die während des Imports oder Exports auftreten können. Der Löschschwellenwert beendet den Verwaltungs-Agent oder verhindert, dass er gestartet wird, wenn der Schwellenwert erreicht wird. Weitere Informationen finden Sie unter Konfigurieren von Verwaltungs-Agents.

Verwenden der Funktion „Search Connector Space“, um Objekte zu untersuchen

Mit Connectorbereich suchen können Sie nach Objekten im Connectorbereich für einen Verwaltungs-Agent suchen. Sie können Objekte nach Name oder Fehlerstatus oder nach dem Status des Objekts suchen (d. a. ob es verbunden ist, getrennt ist oder darauf wartet, importiert oder exportiert zu werden).

Verwenden der Vorschau, um Synchronisierungen zu testen und Fehler zu beheben

Mit der Vorschau können Sie Testsynchronisierungen ausführen und die Ergebnisse anzeigen, ohne die Änderungen an den Metaverse zu committen. Sie können auch die Vorschau verwenden, um neue Regelerweiterungen zu testen und Synchronisierungsfehler aufgrund von Joinfehlern oder Schemaverstößen zu beheben.

Regelmäßiges Ausführen eines Ausführungsprofils mit einem Schritt zur Deltasynchronisierung, um Disconnectors automatisch zu verarbeiten

Objekte, die nicht verknüpft werden können, werden nicht durch den Ausführungsprofilschritt Deltaimport und Deltasynchronisierung neu ausgewertet und verbleiben möglicherweise als Trennschalter. Durch regelmäßiges Ausführen eines Deltasynchronisierungsschritts werden diese Trennschalter neu ausgewertet und verarbeitet. Weitere Informationen zum Ausführen von Profilschritten finden Sie unter Konfigurieren von Verwaltungs-Agents.

Regelmäßiges Speichern und Löschen des Ausführungsverlaufs der Verwaltungs-Agents in Operations

Operations zeichnet einen Verlauf jeder Ausführung des Verwaltungs-Agents auf. Jeder Ausführungsverlauf des Verwaltungs-Agents wird in der SQL Server Datenbank gespeichert und kann dazu führen, dass die Datenbank im Laufe der Zeit wächst, was sich auf die Leistung auswirkt. Der Ausführungsverlauf kann mithilfe von Vorgängen gespeichert werden. Weitere Informationen zur Verwendung von Vorgängen finden Sie unter Verwenden von Vorgängen.

Hinweis

Das Löschen einer sehr großen Anzahl von Ausführungen auf einmal nimmt viel Zeit in Anspruch. Es wird empfohlen, nicht mehr als 100 Ausführungen gleichzeitig zu löschen.

Einrichten mehrerer Partitionen in einem Verwaltungs-Agent, um die Synchronisierung einzelner Objekttypen zu steuern

Um die Synchronisierung einzelner Objekttypen in einem dateibasierten Verwaltungs-Agent zu steuern, erstellen Sie eine Partition für jeden Objekttyp. Um beispielsweise die Objekttypen Postfach und Gruppe zu synchronisieren, erstellen Sie zwei Partitionen im Verwaltungs-Agent, und weisen Sie postfach einer Partition und einer Gruppe der anderen zu. Erstellen Sie dann ein Ausführungsprofil des Verwaltungs-Agents für jede Partition. Mit dieser Konfiguration verfügen Sie über einen Verwaltungs-Agent mit der Flexibilität, einen oder beide der ausgewählten Objekttypen zu synchronisieren. Weitere Informationen zur Verwendung von Partitionen finden Sie unter Metaverse und Connectorbereich.

Kapazitätsplanung

Es gibt eine Reihe von Variablen, die Einfluss auf die Gesamtkapazität und Gesamtleistung einer MIM-Bereitstellung haben können.

Die Leistung kann sich negativ auswirken, wenn alle Datenbanken im System mit einer kleineren Größe erstellt und vor allem durch kleine Inkremente automatisch vergrößert werden. Es sind mindestens 16 GB RAM für die SQL Server-Instanzen erforderlich, aber Sie profitieren von mehr Arbeitsspeicher. Sie sollten mindestens 16 CPU-Kerne auf den SQL-Servern haben, aber mehr Kerne tragen zur Gesamtleistung bei.

Schließlich wird empfohlen, MIM- und SharePoint-Datenbanken nicht zusammen auf demselben Server auszuführen.

Hochverfügbarkeit

Die MIM-Lösung ist so konzipiert, dass sie hochverfügbar ist, um single point of Failure zu verhindern. Die folgenden Komponenten sollten für Hochverfügbarkeit berücksichtigt werden:

Hinweis

Die Informationen in diesem Abschnitt sind lediglich Empfehlungen.

  • MIM-Synchronisierungsdienst : Obwohl das Clustering des MIM-Synchronisierungsdiensts nicht unterstützt wird, kann ein warmer Standbyserver bereitgestellt werden, um im Falle eines Fehlers die Workload des primären Diensts zu übernehmen. Hardwarefehler sollten jedoch kein Problem darstellen, da der MIM-Synchronisierungsdienst auf einem virtuellen Computer ausgeführt wird, der auf mehreren physischen Knoten gehostet wird. Im Falle eines Softwarefehlers kann der virtuelle Computer, auf dem der Synchronisierungsserver gehostet wird, schnell aus einer vorherigen Sicherung wiederhergestellt oder von Grund auf neu erstellt werden. Eine Ausfallzeit dieses Diensts hat keine Auswirkungen auf Endbenutzerinteraktionen mit der Lösung. Dies würde die Erfüllung aller Zugriffsbereitstellungs- und Bereitstellungsaufhebungsanforderungen nur verzögern. Wenn der Dienst wieder online geschaltet wird, werden diese Vorgänge ohne Datenverlust fortgesetzt. Der betriebsbereite Standbymodus des MIM-Synchronisierungsdiensts wird mit derselben SQL Server Datenbank wie die primäre Instanz verbunden und muss über ein Skript aktiviert werden, falls die primäre Instanz ausfällt und nicht rechtzeitig neu gestartet werden kann. Beachten Sie, dass der MIM-Verwaltungs-Agent, der zum Synchronisieren von Daten zwischen der DATENBANK des MIM-Synchronisierungsdiensts und der MIM-Dienstdatenbank verwendet wird, auf die lokale MIM-Dienstinstanz verweisen muss.

  • SQL Server: Für die MIM-Lösung ist ein SQL Server Cluster erforderlich, um Hochverfügbarkeit für die Datenbankebene bereitzustellen. Der MIM-Cluster besteht aus zwei Servern mit spezifikationen, die in den vorherigen Absätzen beschrieben sind. Obwohl auf jedem SQL-Knoten beide SQL-Instanzen installiert sind, ist zu einem bestimmten Zeitpunkt nur eine der beiden Instanzen aktiv.

    Das Design ist ausgelegt auf die optimale Auslastung der geclusterten virtuellen Computer ohne Überbelegung der einzelnen Knoten. Eine solche Überbelegung könnte bei einem Failover zum Ausfall beider Knoten führen.

    Da die Datenbanken auf einem Remote-SQL Server muss die Netzwerkverbindung zwischen den MIM-Servern und SQL Server 1 Gbit aufweisen. Das 100-Mbit-Netzwerk bietet nicht genügend Bandbreite und beeinträchtigt die Synchronisierungsleistung um 20 bis 30 Prozent.

Verwenden der Option „Active Directory-Import“ in der Benutzerprofilverwaltung

Wenn Sie den MIM-Synchronisierungsdienst verwenden möchten, wählen Sie ihn nicht aus. Wählen Sie stattdessen die Option SharePoint Active Directory-Import verwenden aus. Es liegt ein bekanntes Problem mit der Zielgruppenkompilierung und dem Manager-Attribut vor, wenn die Option Externen Identitäts-Manager aktivieren ausgewählt ist.

Hinweis

Dieses Problem wurde mit dem öffentlichen Update (Public Update, PU) vom Februar 2017 behoben (siehe February 21, 2017, update for SharePoint Server 2016 (KB3141517)).

Vermeiden einer Umstellung des Synchronisierungstyps

Wenn Sie von einem Synchronisierungstyp zu einem anderen wechseln, indem Sie die Synchronisierungseinstellungen konfigurieren auf der Website der SharePoint-Zentraladministration verwenden, treten Probleme auf, da beim Starten eines Imports in der SharePoint Connector-Instanz keine Objekte zurückgegeben werden und keine Ergebnisse in den ULS-Protokollen auftreten.

Wie Sie nach einer Typumstellung den Ausgangszustand wiederherstellen, können Sie im Abschnitt Recovery Steps im Blogbeitrag SharePoint 2016: Issues due to Switching Between Synchronization Types in UPA AD Import / External Identity Manager (MIM) nachlesen.

Bildexport von SharePoint nach Active Directory

Microsoft Identity Manager unterstützt das Exportieren von Benutzerprofilbildern aus SharePoint in Active Directory.

Keine BCS-Integration zur Unterstützung zusätzlicher Profileigenschaften

Es gibt keine Business Connectivity Services-Integration zur Unterstützung von Profileigenschaften in MIM. Sie können Connectors manuell konfigurieren, um dies zu erreichen.

Benutzerprofileigenschaften

Neue Benutzerprofileigenschaften können in SharePoint-Servern erstellt werden. Die Zuordnungen werden jedoch nicht in SharePoint, sondern innerhalb von MIM erstellt.

NetBIOS-Name

Wenn Sie den externen Identitäts-Manager auswählen, sollten Sie direkt nach der Erstellung die Eigenschaft NetBIOSDomainNamesEnabled in der Dienstanwendung „Benutzerprofildienst-Anwendung" aktivieren, damit Szenarien unterstützt werden, in denen der NetBIOS-Name Ihrer Domäne nicht mit dem vollqualifizierten Domänennamen (FQDN) der Domäne identisch ist.

Durchführen von Synchronisierungsvorgängen über einen sicheren Kanal

Da die Synchronisierung häufig personenbezogene Informationen enthält, wird empfohlen, die Synchronisierungsausführungen über einen sicheren Kanal wie HTTPS oder LDAPS durchzuführen.

Siehe auch

Weitere Ressourcen

Übersicht über Microsoft Identity Manager-Synchronisierungsdienst in SharePoint-Server