Konfigurera en domänSet up a domain

Microsoft Identity Manager (MIM) fungerar med Active Directory-domänen (AD).Microsoft Identity Manger (MIM) works with your Active Directory (AD) domain. Du bör redan ha en AD installerad och se till att du har en domänkontrollant i miljön för en domän du har administratörsbehörighet för.You should already have AD installed, and make sure you have a domain controller in your environment for a domain that you are able to administer.

Den här artikeln vägleder dig igenom stegen för att förbereda domänen så att den fungerar tillsammans med MIM.This article walks you through the steps to prepare your domain to work alongside MIM.

Skapa användarkonton och grupperCreate user accounts and groups

Alla komponenter i MIM-distributionen behöver ha egna identiteter i domänen.All the components of your MIM deployment need their own identities in the domain. Detta omfattar MIM-komponenter som Service och Sync, samt SharePoint och SQL.This includes the MIM components like Service and Sync, as well as SharePoint and SQL.

Anteckning

I den här genomgången används exempelnamn och -värden från företaget Contoso.This walkthrough uses sample names and values from a company called Contoso. Ersätt dem med dina egna namn och värden.Replace these with your own. Exempel:For example:

  • Domänkontrollantens namn - corpdcDomain controller name - corpdc
  • Domännamn – contosoDomain name - contoso
  • MIM-tjänsten Server name - corpserviceMIM Service Server name - corpservice
  • Servernamnet för MIM Sync - corpsyncMIM Sync Server name - corpsync
  • Namnet på SQL Server - corpsqlSQL Server name - corpsql
  • Lösenord – Pass@word1Password - Pass@word1
  1. Logga in på domänkontrollanten som domänadministratör (t.ex. Contoso\Administratör).Sign in to the domain controller as the domain administrator (e. g. Contoso\Administrator).

  2. Skapa följande användarkonton för MIM-tjänster.Create the following user accounts for MIM services. Starta PowerShell och skriv följande PowerShell-skript för att uppdatera domänen.Start PowerShell and type the following PowerShell script to update the domain.

    import-module activedirectory
    $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
    New-ADUser –SamAccountName MIMINSTALL –name MIMMA
    Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp
    Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMMA –name MIMMA
    Set-ADAccountPassword –identity MIMMA –NewPassword $sp
    Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMSync –name MIMSync
    Set-ADAccountPassword –identity MIMSync –NewPassword $sp
    Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMService –name MIMService
    Set-ADAccountPassword –identity MIMService –NewPassword $sp
    Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMSSPR –name MIMSSPR
    Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp
    Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName SharePoint –name SharePoint
    Set-ADAccountPassword –identity SharePoint –NewPassword $sp
    Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName SqlServer –name SqlServer
    Set-ADAccountPassword –identity SqlServer –NewPassword $sp
    Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
    New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
    Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
    Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
    New-ADUser –SamAccountName MIMpool –name BackupAdmin
    Set-ADAccountPassword –identity MIMPool –NewPassword $sp
    Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1
    
  3. Skapa säkerhetsgrupper för alla grupper.Create security groups to all the groups.

    New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
    New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
    New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
    New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
    New-ADGroup –name MIMSyncPasswordReset –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordReset
    Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
    Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService
    Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstall
    
  4. Lägg till SPN-namn om du vill aktivera Kerberos-autentisering för tjänstkontonAdd SPNs to enable Kerberos authentication for service accounts

    setspn -S http/mim.contoso.com Contoso\mimpool
    setspn -S http/mim Contoso\mimpool
    setspn -S http/passwordreset.contoso.com Contoso\mimsspr
    setspn -S http/passwordregistration.contoso.com Contoso\mimsspr
    setspn -S FIMService/mim.contoso.com Contoso\MIMService
    setspn -S FIMService/corpservice.contoso.com Contoso\MIMService
    
  5. Vi behöver lägga till följande DNS ”A”-posterna för namnmatchningen under installationenDuring Setup we need to add the following DNS 'A' records for proper name resolution

  • mim.contoso.com punkt till corpservice fysiska ip-adressmim.contoso.com Point to corpservice physical ip address
  • passwordreset.contoso.com punkt till corpservice fysiska ip-adresspasswordreset.contoso.com Point to corpservice physical ip address
  • passwordregistration.contoso.com punkt till corpservice fysiska ip-adresspasswordregistration.contoso.com Point to corpservice physical ip address