Jump to content

Fragen zu Microsoft Identity Integration Server 2003


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich muss einen MIIS 2003 aufsetzen nun lese ich mich heute schon den ganzen Tag durch das Technet aber es ergeben sich mir einige Fragen.

 

1. Ist der Managment Agent im Windows Betriebssystem integriert oder muss dieser zusätzlich installiert werden?

 

2. Kann ich es so konfigurieren, das wenn eine Änderung im connected Directory stattfindet auch die synchonisation mit dem Connector Space bzw. der Metaverse stattfindet?

 

vielen Dank

 

Ronny

Link zu diesem Kommentar

Zu eins:

 

der Connector mit dem der MIIS auf das AD zugreift ist im MIIS selber integriert. Prinzipiell ist das auch "nur" ein Connector für die ADSI Schnittstelle deines ADs.

 

Zu zwei:

Änderungen im Schema werden bei einem Schemaupdate in den Connectorspace des configurierten AD-Connectors übertragen, der Datentransfer in die Metaverseobjekte musst du natürlich nachtragen. Die Änderungen greifen natürlich nicht in die Metaverse durch, wir befinden uns dort in einer anderen Ebene.

Link zu diesem Kommentar

Jetzt habe ich ein kleines Verständigungsproblem...

 

Ich habe zwei Forestdomänen die untereinander Vertrauenstellungen besitzen. In der einen Domäne werden im AD zusätzliche Attribute hinterlegt. Diese Attribute müssen in die andere Domäne, sprich Benutzerkonten und deren Attribute integriert werden. Ist das mit dem MIIS überhaupt so möglich?

Link zu diesem Kommentar

Die Vertrauensstellungen sind von der Datensyncronisierung erstmal nebensächlich.

Du hast 2 Datenquellen, Domäne A und Domäne B. EIn Connector greift immer nur in einer Domäne.

 

Du hast also 2 Connectoren, die die Daten aus den jeweils angeschlossenen AD in den eigenen Connectorspace übertragen (Das ist der Import). Von dort aus werden die Daten in die Metaverse synchronisiert und von dort aus falls exportdatenströme existieren, auch in den jeweils andere Connectorspace der anderen Domain transportiert (nennt man dasn Provisionierung)

 

Der MIIS ist mächtig, verdammt mächtig. Ich hab die einführung des MIIS als mein Abschlussprojekt meiner Ausbildung zum Anwendungsentwickler durchgeführt. Die möglichkeit eigene Connectoren und "Plugins" zu schreiben, machen die Software zu einem optimalen Tool zum Identitätsmanagement. hat man die Daten erstmal in der Metaverse kann man mit ihnen wirklich alles anstellen was man sich so vorstellen kann.

 

Datenreplikation von AD zu AD könnte allerdings shcon mit dem Identity Feature Pack abgedeckt sein, hast du dir dies mal angeschaut? weil der MIIS ist ja nicht wirklich günstig in der Anschaffung, die Kosten zur Konfiguration sind aber um einige höher. Wir hatten damals noch unterstützung von einem externen Dienstleister, sind aber recht früh auf grenzen des dienstleisters gestoßen und haben sowas in eigenengagement eingeführt. Ich fands toll, KnowHow was man selten sich aneignen kann :)

Link zu diesem Kommentar

mmh ja, würd ich prinzipiell ja gern. Nur das hapert momentan etwas an Zeit (ich lern zur weiterbildung für die Zertifikate) also auch an den Lizenzen. Der MIIS kostet ne Stange Geld, vieleicht gibts noch ne Eval-Version des MIIS, die ich mal für sowas nutzen kann. Die MSDN hängt ja leider noch beim Einkauf (kleine firmen kleine bürokratie, große firmen große bürokratie...). ich werd mal sehen was sich machen lässt, hatte das damals sowas ja mal überlegt, vieleicht kann ich auch meine Projektdoku teilweise freigeben.

Link zu diesem Kommentar

mmh, ich werd mal bei der Geschäftsleitung mal anfragen ob ich dies machen darf. Dauert leider immer etwas, man kennt das ja. Bin in der Geschicht etwas vorsichtig, das war shcon bei der Abgabe vor der IHK son extremer Streitpunkt.

 

Wenn noch weitere Fragen sind, entweder hier reinschreiben oder per pm. wenns mir die Zeit erlaubt antworte ich auch, hab ich endlich auch mal n thema hier, an dem ich mich auslassen kann. Zu den ganzen AD und Exchange geschichten kann ich ja nur lesend teilnehmen :)

Link zu diesem Kommentar

Hallöchen (bzw guten Morgen)

 

Zu 1.

 

Nein der MIIS kann auch in einer dritten fremddomain sitzen. Der Zugriff auf das AD kann über einen separaten Zugang erfolgen. Ich habs es damals so eingerichtet das wir pro AD wirklich einen User haben der die Aktionen im AD durchführen kann. der User unter dem der MIIS selber läuft hat auf die ADs keinerlei Rechte.

 

Zu 2.

 

Es gelten bei dem SQL-Server der als Datenbasis dient die normalen "Richtlinien" zum Thema Datenbankgrößen. Der Punkt der Datenbankgrößen ist in den Dokus auch glaube ich nicht groß erwähnt, mal abgesehen davon das der MIIS zur Installation einen SQL 2000 mit SP3 benötigt (SP4 des SQL2000 wird vom SP1 des MIIS nicht supportet). Mit SP2 des MIIS ist aber die Unterstützung des SQL 2005 als Datenbasis hinzugekommen, ob auch SQl 2005 inkl SP1, kann ich momentan nicht sagen. Der MIIS geht eigentlich relativ performant mit großen Datenmengen um. Ich schau morgen früh mal in meine Doku, was ich zu dem Thema geschrieben hab damals.

 

vieleicht wäre mal ein paar Zahlen hilfreich, dann kann ich das mal zu unseren Datenmengen in relation setzen.

Link zu diesem Kommentar
Guten Morgen

 

zu1. Du hast also in jeder Domain einen User mit administriven privilegien über den der MIIS sich authentifiziert?

 

zu2. ca. 30.000 Benutzerkonten mit vielen Informationen

 

Guten Morgen,

 

Zu 1.

 

Ja, genauso ist es.

 

Zu 2.

 

30k Useraccounts, dürften nicht das Problem sein. Selbst dann nicht wenn alle Userattribute bis zum maximum ausgereizt werden. Man muss sich das auch mal überlegen, das muss prinzipiell kein hochperformantes System sein, sowas läuft in der regel jeden morgen in der Fullsyncronisation (komplette Metaverse wird synchronisiert) und wenn man schnell Änderungen braucht im Deltamodus (nur die Änderungen die beim Import registriert werden, werden durchsynchronisiert).

Link zu diesem Kommentar

Ahh...jetzt komme ich langsam hinter das prinzip. Nach dem die Metaverse einmal täglich komplett synchronisiert wird. Sind alle Eingaben indentisch. Werden Änderungen nach einem Zeitplan synchronisiert oder kann man das auch so einstellen das bei Änderung synchronisiert wird?

 

Weißt du rein zufällig ob Exchange 2007 mit unterstützt wird, denn laut den Seiten von MS liest man immer nur von Exchange 2000/2003?

 

Vielen Dank du bist mir echt eine Hilfe

Link zu diesem Kommentar

Ein Eventbasiertes Ausführen des MIIS gibt es so nicht. Ist auch an sich gefährlich, weil der MIIS sich nicht nur auf den einen Datensatz beschränkt sondern seinen kompletten Datenstamm synchronisiert und exportiert. Sprich wenn änderungen während der Synchronisation im AD getätigt werden, werden die gnadenlos überschreiben, erzeugt zwar ne Warnung aber er würde die änderung überbügeln, wenn die Metaverse als führende Datenquelle für die Ads genutzt wird.

 

Ich hab generell ein ein schlechtes gefühl in der Magengegend wenn zwei Datenquellen gleichberechtigt synchrinisiert werden soll. Meiner Meinung nach schafft man sich dadurch mehr Probleme als einem lieb ist. Wenn es möglich ist würde ich dort ein drittes, quasi ein Hoheitssystem installieren. Ob das nun SAP/MSSQL/Oracle oder auch Lotus Notes ist, spielt ja keine Rolle.

 

ALso normalerweise wird der MIIS nach einem Zeitplan aufgerufen. Es existiert ein Script mit dem man vbs basiert ablaufscripts erstellen kann die dann vom Taskplaner aufgerufen werden können.

 

zu 2.

 

der GAL Sync muesste theoretisch weiterhin funktionieren. Ob das offiziell von Microsoft unterstützt wird, möcht ich momentan nicht unter Eid belegen. Ich habs selber auch nicht testen können, da mir die 64Bit hardware fehlt (ich leb hier leider nicht im Schlaraffenland :P) aber theoretisch... mmh ja.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...