Всем привет.
Возникла необходимость синхронизировать данные из AD в инстанс AD LDS — к сожалению в дальнейшем данный решение оказалось неподходящим под задачу, но т.к. время было потрачено на настройку, напишу небольшую инструкцию.
В первую очередь необходимо установить саму роль AD LDS:
Следующий шаг — настройка (в дальнейшем мастера настройки можно запустить вручную запустив файл c:\windows\adam\adaminstall.exe ) — в нашем же случае мы воспользуемся server manager:
Создаем новый инстанс:
И даем ему какое либо имя (данное имя нигде не используется):
Т.к.на сервере используется только один инстанс и никаких служб AD DS нету, порты мы оставляем по умолчанию:
Создаем новый раздел каталога приложений (в него и будет происходить синхронизация):
Пути мы оставляем по умолчанию (по данному пути будет лежать файл ntds.dit — только имя у него будет adamntds.dit):
Следующие два пункта мы так же оставляем без изменений (хочу отметить, что компьютер, на котором установлен инстанс AD LDS не заведен в домен, но пароль локального администратора совпадает с паролем администратора домена, т.к это все тестовая среда)
Теперь мы указываем какие наборы атрибутов мы будем использовать — т.к. нам нужно синхронизировать учетные пользователей мы выбираем:
- MS-UserProxyFull.ldf -для него требуются:
- MS-User.ldf
- MS-InetOrgPerson.ldf
- MS-AdamSyncMetadata.ldf
Нажимаем Далее и видим как мастер выполняет настройку:
Следующий наш шаг это обновление нашей схемы до версии 2008 (это максимальная версия доступная для ad lds)
ldifde –I –f ms-adamschemaw2k8.ldf –s localhost:389 –k –c “cn=configuration,dc=x” #configurationNamingContext
Теперь нам нужно отредактировать конфигурационный файл, в котором будет указано откуда, куда и какие типы обьектов мы будем синхронизировать.
Данный файл — MS-AdamSyncConf.xml — находится в каталоге c:\windows\ADAM
Делаем его копию и вносим следующие изменения:
Где:
source-ad-name — имя домена откуда мы будем «забирать» обьекты
source-ad-partition — раздел каталога из которого мы будем «забирать» обьекты
target-dn — имя экземпляра AD LDS куда мы будем загружать обьекты
base-dn — имя контейнера, из которого мы будем забирать обьекты — в моем случае мне нужны учетные только из трех OU , которые я и перечислил в файле
object-filter — простой LDAP фильтр, который указывает какие классы и категории нужно забирать (компьютеры, группы, контакты, пользователи). В моем случае я забираю только учетные записи пользователей с условием, что они не отключены.
Теперь нам нужно данный файл конфигурации «скормить » нашему инстансу:
И мы можем выполнить сам процесс синхронизации:
Для проверки результата мы запускаем adsi edit с указанными параметрами:
И видим, что указанные нами OU c учетными записями успешно импортированы:
Хочу отметить что данный инструмент не может синхронизировать пароли из учетных записей — для этого нужно воспользоваться инструментом FIM.
Если вы вносите какие либо изменения в файл MS-AdamSyncConf.xml вам необходимо заново запустить adamsync с ключом /install и затем уже запустить процесс синхронизации.
И по окончанию работ вы можете его удалить через программы и компоненты, и так же для изменения параметров инстанса вам нужно его удалить и создать заново:
Полезные ссылки:
https://technet.microsoft.com/en-us/library/cc794836(v=ws.10).aspx
Привет! Такой вопрос:
Я пытаюсь подключиться к LDS через ldap, но могу подключатся только с учетными данными тех пользователей у которых имя пльзователя = отображаемому имени пользователя. Для остальных LDAPInvalidCredentialsResult — 49 — invalidCredentials — None — 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580 — bindResponse — None.
Я так понял что у пользователей нет прав для просмотра своих полей в ад.
Быть может ты знаешь как это исправить ?
Уведомление: tamoxifen