catal82 10 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 Hallo Leute, ich muss einen MIIS 2003 aufsetzen nun lese ich mich heute schon den ganzen Tag durch das Technet aber es ergeben sich mir einige Fragen. 1. Ist der Managment Agent im Windows Betriebssystem integriert oder muss dieser zusätzlich installiert werden? 2. Kann ich es so konfigurieren, das wenn eine Änderung im connected Directory stattfindet auch die synchonisation mit dem Connector Space bzw. der Metaverse stattfindet? vielen Dank Ronny Zitieren
Zearom 10 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 Zu eins: der Connector mit dem der MIIS auf das AD zugreift ist im MIIS selber integriert. Prinzipiell ist das auch "nur" ein Connector für die ADSI Schnittstelle deines ADs. Zu zwei: Änderungen im Schema werden bei einem Schemaupdate in den Connectorspace des configurierten AD-Connectors übertragen, der Datentransfer in die Metaverseobjekte musst du natürlich nachtragen. Die Änderungen greifen natürlich nicht in die Metaverse durch, wir befinden uns dort in einer anderen Ebene. Zitieren
catal82 10 Geschrieben 20. Juni 2007 Autor Melden Geschrieben 20. Juni 2007 Jetzt habe ich ein kleines Verständigungsproblem... Ich habe zwei Forestdomänen die untereinander Vertrauenstellungen besitzen. In der einen Domäne werden im AD zusätzliche Attribute hinterlegt. Diese Attribute müssen in die andere Domäne, sprich Benutzerkonten und deren Attribute integriert werden. Ist das mit dem MIIS überhaupt so möglich? Zitieren
Zearom 10 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 Die Vertrauensstellungen sind von der Datensyncronisierung erstmal nebensächlich. Du hast 2 Datenquellen, Domäne A und Domäne B. EIn Connector greift immer nur in einer Domäne. Du hast also 2 Connectoren, die die Daten aus den jeweils angeschlossenen AD in den eigenen Connectorspace übertragen (Das ist der Import). Von dort aus werden die Daten in die Metaverse synchronisiert und von dort aus falls exportdatenströme existieren, auch in den jeweils andere Connectorspace der anderen Domain transportiert (nennt man dasn Provisionierung) Der MIIS ist mächtig, verdammt mächtig. Ich hab die einführung des MIIS als mein Abschlussprojekt meiner Ausbildung zum Anwendungsentwickler durchgeführt. Die möglichkeit eigene Connectoren und "Plugins" zu schreiben, machen die Software zu einem optimalen Tool zum Identitätsmanagement. hat man die Daten erstmal in der Metaverse kann man mit ihnen wirklich alles anstellen was man sich so vorstellen kann. Datenreplikation von AD zu AD könnte allerdings shcon mit dem Identity Feature Pack abgedeckt sein, hast du dir dies mal angeschaut? weil der MIIS ist ja nicht wirklich günstig in der Anschaffung, die Kosten zur Konfiguration sind aber um einige höher. Wir hatten damals noch unterstützung von einem externen Dienstleister, sind aber recht früh auf grenzen des dienstleisters gestoßen und haben sowas in eigenengagement eingeführt. Ich fands toll, KnowHow was man selten sich aneignen kann :) Zitieren
Daim 12 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 @Morpheus Wie wäre es, wenn du für Serverhowto.de über den MIIS einen Artikel schreiben würdest ? Ich für meinen Teil fände es für hochspannend. Zitieren
Zearom 10 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 mmh ja, würd ich prinzipiell ja gern. Nur das hapert momentan etwas an Zeit (ich lern zur weiterbildung für die Zertifikate) also auch an den Lizenzen. Der MIIS kostet ne Stange Geld, vieleicht gibts noch ne Eval-Version des MIIS, die ich mal für sowas nutzen kann. Die MSDN hängt ja leider noch beim Einkauf (kleine firmen kleine bürokratie, große firmen große bürokratie...). ich werd mal sehen was sich machen lässt, hatte das damals sowas ja mal überlegt, vieleicht kann ich auch meine Projektdoku teilweise freigeben. Zitieren
catal82 10 Geschrieben 20. Juni 2007 Autor Melden Geschrieben 20. Juni 2007 Hallo Morpheus, also ich wäre sehr an deiner Projektdoku interessiert. Zitieren
Zearom 10 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 mmh, ich werd mal bei der Geschäftsleitung mal anfragen ob ich dies machen darf. Dauert leider immer etwas, man kennt das ja. Bin in der Geschicht etwas vorsichtig, das war shcon bei der Abgabe vor der IHK son extremer Streitpunkt. Wenn noch weitere Fragen sind, entweder hier reinschreiben oder per pm. wenns mir die Zeit erlaubt antworte ich auch, hab ich endlich auch mal n thema hier, an dem ich mich auslassen kann. Zu den ganzen AD und Exchange geschichten kann ich ja nur lesend teilnehmen :) Zitieren
catal82 10 Geschrieben 20. Juni 2007 Autor Melden Geschrieben 20. Juni 2007 Das freut mich um so mehr :) Zitieren
catal82 10 Geschrieben 20. Juni 2007 Autor Melden Geschrieben 20. Juni 2007 So ich hab mal wieder paar Fragen 1. Wenn wir von dem oben genannten Szenario ausgehen. Muss der MIIS in einer der beiden Domänen stecken oder kann das auch ein Singleserver sein? 2. Wie groß kann die SQL Datenbank anwachsen und gibt es eine Größenbegrenzung? Zitieren
Zearom 10 Geschrieben 20. Juni 2007 Melden Geschrieben 20. Juni 2007 Hallöchen (bzw guten Morgen) Zu 1. Nein der MIIS kann auch in einer dritten fremddomain sitzen. Der Zugriff auf das AD kann über einen separaten Zugang erfolgen. Ich habs es damals so eingerichtet das wir pro AD wirklich einen User haben der die Aktionen im AD durchführen kann. der User unter dem der MIIS selber läuft hat auf die ADs keinerlei Rechte. Zu 2. Es gelten bei dem SQL-Server der als Datenbasis dient die normalen "Richtlinien" zum Thema Datenbankgrößen. Der Punkt der Datenbankgrößen ist in den Dokus auch glaube ich nicht groß erwähnt, mal abgesehen davon das der MIIS zur Installation einen SQL 2000 mit SP3 benötigt (SP4 des SQL2000 wird vom SP1 des MIIS nicht supportet). Mit SP2 des MIIS ist aber die Unterstützung des SQL 2005 als Datenbasis hinzugekommen, ob auch SQl 2005 inkl SP1, kann ich momentan nicht sagen. Der MIIS geht eigentlich relativ performant mit großen Datenmengen um. Ich schau morgen früh mal in meine Doku, was ich zu dem Thema geschrieben hab damals. vieleicht wäre mal ein paar Zahlen hilfreich, dann kann ich das mal zu unseren Datenmengen in relation setzen. Zitieren
catal82 10 Geschrieben 21. Juni 2007 Autor Melden Geschrieben 21. Juni 2007 Guten Morgen zu1. Du hast also in jeder Domain einen User mit administriven privilegien über den der MIIS sich authentifiziert? zu2. ca. 30.000 Benutzerkonten mit vielen Informationen Zitieren
Zearom 10 Geschrieben 21. Juni 2007 Melden Geschrieben 21. Juni 2007 Guten Morgen zu1. Du hast also in jeder Domain einen User mit administriven privilegien über den der MIIS sich authentifiziert? zu2. ca. 30.000 Benutzerkonten mit vielen Informationen Guten Morgen, Zu 1. Ja, genauso ist es. Zu 2. 30k Useraccounts, dürften nicht das Problem sein. Selbst dann nicht wenn alle Userattribute bis zum maximum ausgereizt werden. Man muss sich das auch mal überlegen, das muss prinzipiell kein hochperformantes System sein, sowas läuft in der regel jeden morgen in der Fullsyncronisation (komplette Metaverse wird synchronisiert) und wenn man schnell Änderungen braucht im Deltamodus (nur die Änderungen die beim Import registriert werden, werden durchsynchronisiert). Zitieren
catal82 10 Geschrieben 21. Juni 2007 Autor Melden Geschrieben 21. Juni 2007 Ahh...jetzt komme ich langsam hinter das prinzip. Nach dem die Metaverse einmal täglich komplett synchronisiert wird. Sind alle Eingaben indentisch. Werden Änderungen nach einem Zeitplan synchronisiert oder kann man das auch so einstellen das bei Änderung synchronisiert wird? Weißt du rein zufällig ob Exchange 2007 mit unterstützt wird, denn laut den Seiten von MS liest man immer nur von Exchange 2000/2003? Vielen Dank du bist mir echt eine Hilfe Zitieren
Zearom 10 Geschrieben 21. Juni 2007 Melden Geschrieben 21. Juni 2007 Ein Eventbasiertes Ausführen des MIIS gibt es so nicht. Ist auch an sich gefährlich, weil der MIIS sich nicht nur auf den einen Datensatz beschränkt sondern seinen kompletten Datenstamm synchronisiert und exportiert. Sprich wenn änderungen während der Synchronisation im AD getätigt werden, werden die gnadenlos überschreiben, erzeugt zwar ne Warnung aber er würde die änderung überbügeln, wenn die Metaverse als führende Datenquelle für die Ads genutzt wird. Ich hab generell ein ein schlechtes gefühl in der Magengegend wenn zwei Datenquellen gleichberechtigt synchrinisiert werden soll. Meiner Meinung nach schafft man sich dadurch mehr Probleme als einem lieb ist. Wenn es möglich ist würde ich dort ein drittes, quasi ein Hoheitssystem installieren. Ob das nun SAP/MSSQL/Oracle oder auch Lotus Notes ist, spielt ja keine Rolle. ALso normalerweise wird der MIIS nach einem Zeitplan aufgerufen. Es existiert ein Script mit dem man vbs basiert ablaufscripts erstellen kann die dann vom Taskplaner aufgerufen werden können. zu 2. der GAL Sync muesste theoretisch weiterhin funktionieren. Ob das offiziell von Microsoft unterstützt wird, möcht ich momentan nicht unter Eid belegen. Ich habs selber auch nicht testen können, da mir die 64Bit hardware fehlt (ich leb hier leider nicht im Schlaraffenland :P) aber theoretisch... mmh ja. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.