Работа с AD LDS — синхронизируем с AD DS

Всем привет.

Возникла необходимость синхронизировать данные из AD в инстанс AD LDS — к сожалению в дальнейшем данный решение оказалось неподходящим под задачу, но т.к. время было потрачено на настройку, напишу небольшую инструкцию.

В первую очередь необходимо установить саму роль AD LDS:

lds01 lds02 lds03

Следующий шаг — настройка (в дальнейшем мастера настройки можно запустить вручную запустив файл c:\windows\adam\adaminstall.exe ) — в нашем же случае мы воспользуемся server manager:

lds04lds05

Создаем новый инстанс:

lds06

И даем ему какое либо имя (данное имя нигде не используется):

lds07

Т.к.на сервере используется только один инстанс и никаких служб AD DS нету, порты мы оставляем по умолчанию:

lds08

Создаем новый раздел каталога приложений (в него и будет происходить синхронизация):

lds09

Пути мы оставляем по умолчанию (по данному пути будет лежать файл ntds.dit — только  имя у него будет adamntds.dit):

lds10

Следующие два пункта мы так же оставляем без изменений (хочу отметить, что компьютер, на котором установлен инстанс AD LDS не заведен в домен, но пароль локального администратора совпадает с паролем администратора домена, т.к это все тестовая среда)

lds11 lds12

Теперь мы указываем какие наборы атрибутов мы будем использовать — т.к. нам нужно синхронизировать учетные пользователей мы выбираем:

  • MS-UserProxyFull.ldf -для него требуются:
  • MS-User.ldf
  • MS-InetOrgPerson.ldf
  • MS-AdamSyncMetadata.ldf

lds13

Нажимаем Далее и видим как мастер выполняет настройку:

lds14 lds15

Следующий наш шаг это обновление нашей схемы до версии 2008 (это максимальная версия доступная для ad lds)

ldifde –I –f ms-adamschemaw2k8.ldf –s localhost:389 –k  –c “cn=configuration,dc=x” #configurationNamingContext

lds160

Теперь нам нужно отредактировать конфигурационный файл, в котором будет указано откуда, куда и какие типы обьектов мы будем синхронизировать.

Данный файл — MS-AdamSyncConf.xml  —  находится в каталоге c:\windows\ADAM

Делаем его копию и вносим следующие изменения:

lds17

Где:

source-ad-name  — имя домена откуда мы будем «забирать» обьекты

source-ad-partition — раздел каталога из которого мы будем «забирать» обьекты

target-dn — имя экземпляра AD LDS куда мы будем загружать обьекты

base-dn — имя контейнера, из которого мы будем забирать обьекты — в моем случае мне  нужны учетные только  из трех OU , которые я и перечислил в файле

object-filter — простой LDAP фильтр,  который указывает какие классы и категории нужно забирать (компьютеры, группы, контакты, пользователи). В моем случае я забираю только учетные записи пользователей с условием, что они не отключены.

Теперь нам нужно данный файл конфигурации «скормить » нашему инстансу:

lds18

И мы можем выполнить сам процесс синхронизации:

lds19

Для проверки результата мы запускаем adsi edit с указанными параметрами:

lds20

 

И видим,  что указанные нами OU c учетными записями успешно импортированы:

lds21

Хочу отметить что данный инструмент не может синхронизировать пароли из учетных записей — для этого нужно воспользоваться инструментом FIM.

Если вы вносите какие либо изменения в файл MS-AdamSyncConf.xml вам необходимо заново запустить adamsync с ключом /install  и затем уже запустить процесс синхронизации.

И по окончанию работ вы можете его удалить через программы и компоненты, и так же для изменения параметров инстанса вам нужно его удалить и создать заново:

lds22

Полезные ссылки:

https://technet.microsoft.com/en-us/library/cc794836(v=ws.10).aspx

Запись опубликована в рубрике Без рубрики с метками . Добавьте в закладки постоянную ссылку.

2 комментария на «Работа с AD LDS — синхронизируем с AD DS»

  1. Денис говорит:

    Привет! Такой вопрос:
    Я пытаюсь подключиться к LDS через ldap, но могу подключатся только с учетными данными тех пользователей у которых имя пльзователя = отображаемому имени пользователя. Для остальных LDAPInvalidCredentialsResult — 49 — invalidCredentials — None — 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580 — bindResponse — None.
    Я так понял что у пользователей нет прав для просмотра своих полей в ад.
    Быть может ты знаешь как это исправить ?

  2. Уведомление: tamoxifen

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.