Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Microsoft Exchange-Umgebung

Verwalten einer Microsoft Exchange-Umgebung Einrichten der Synchronisation mit einer Microsoft Exchange-Umgebung Basisdaten für die Verwaltung einer Microsoft Exchange-Umgebung Microsoft Exchange Struktur Postfächer E-Mail Benutzer und E-Mail Kontakte E-Mail aktivierte Verteilergruppen Dynamische Verteilergruppen E-Mail aktivierte öffentliche Ordner Erweiterungen zur Unterstützung von Exchange Hybrid-Umgebungen Fehlerbehebung Anhang: Konfigurationsparameter für die Verwaltung einer Microsoft Exchange-Umgebung Anhang: Standardprojektvorlagen für Microsoft Exchange

Benutzer und Berechtigungen für die Synchronisation mit einer Microsoft Exchange-Umgebung

Benutzer und Berechtigungen für die Synchronisation mit einer Microsoft Exchange-Umgebung

Bei der SynchronisationClosed des One Identity Manager mit einer Microsoft Exchange-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen
Benutzer für den Zugriff auf das Microsoft Exchange Für eine vollständige Synchronisation von Objekten einer Microsoft Exchange-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.
  • Mitglied in der Rollengruppe "Organisationsverwaltung – nur Leserechte" (View-Only Organization Management)
  • Mitglied in der Rollengruppe "Verwaltung Öffentlicher Ordner" (Public Folder Management)
  • Mitglied in der Rollengruppe "Empfängerverwaltung" (Recipient Management)
Benutzer zum Erstellen von verbundenen Postfächern Das Benutzerkonto wird zum Anlegen von verbundenen Postfächern benötigt. Das Benutzerkonto benötigt Leseberechtigungen im Active Directory .

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen (Rechtevergabe, Verzeichnisse und Dateien anlegen und bearbeiten).

Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (Domain Users) angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht "Anmelden als Dienst" (Log on as a service).

Das Benutzerkonto benötigt Rechte für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
Benutzer für den Zugriff auf die One Identity Manager Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer "Synchronization" bereitgestellt.

Einrichten des Synchronisationsservers

Für die Einrichtung der SynchronisationClosed mit einer Microsoft Exchange-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack 2
    • Windows Server 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
  • Microsoft .NET Framework Version 4.5.2 oder höher

    HINWEIS: Microsoft .NET Framework Version 4.6 wird nicht unterstützt.

    HINWEIS: Beachten Sie die Empfehlungen des Zielsystemherstellers.
  • Windows Installer
  • Windows Management Framework 4.0

  • One Identity Manager Service, Microsoft Exchange Konnektor
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | JobserverClosed | Microsoft Exchange.

WICHTIG: Der Microsoft Exchange Konnektor des One Identity Manager verwendet Windows PowerShell für die Kommunikation mit dem Microsoft Exchange Server. Für die Kommunikation sind zusätzliche Konfigurationen auf dem SynchronisationsserverClosed und dem Microsoft Exchange Server vorzunehmen. Weitere Informationen finden Sie unter Konfiguration der beteiligten Server für den Remotezugriff über Windows PowerShell.

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

HINWEIS: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne ZielsystemClosed einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt die folgenden Schritte aus.

  • Erstellen eines Jobservers.
  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.
  • Konfigurieren des One Identity Manager Service.
  • Starten des One Identity Manager Service.

HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.
  2. Auf der Seite DatenbankverbindungClosed geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter.
  3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.
    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.
      Tabelle 3: Eigenschaften eines Jobservers
      Eigenschaft Beschreibung
      Server Bezeichnung des Jobservers.
      Queue

      Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      Vollständiger Servername

      Vollständiger Servername gemäß DNS Syntax.

      Beispiel:

      <Name des Servers>.<Vollqualifizierter Domänenname>

      HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.
  4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im One Identity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werden die Installationspakete ermittelt, die auf dem Jobserver installiert werden.

    Wählen Sie mindestens folgende Rollen:

    • Microsoft Exchange
  5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der One Identity Manager-Umgebung fest. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

    Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereits ausgewählt. Sie können die Serverfunktionen hier weiter einschränken.

    Wählen Sie mindestens folgende Serverfunktionen:

    • Microsoft Exchange Konnektor
  6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One Identity Manager Service.

    HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.
  7. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.
  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.
  10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.

    HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.
  11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.
    Tabelle 4: Installationsinformationen
    Eingabe Beschreibung
    Computer Server, auf dem der Dienst installiert und gestartet wird.

    Um einen Server auszuwählen

    • Erfassen Sie den Servernamen.

      -ODER-

    • Wählen Sie einen Eintrag in der Liste.
    Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service.

    Um ein Benutzerkonto für den One Identity Manager Service zu erfassen

    • Aktivieren Sie die Option Lokales Systemkonto.

      Damit wird der One Identity Manager Service unter dem Konto "NT AUTHORITY\SYSTEM" gestartet.

      - ODER-

    • Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.
    Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.

    Um ein administratives Benutzerkonto für die Installation zu erfassen

    • Aktivieren Sie die Option Erweitert.
    • Aktivieren Sie die Option Angemeldeter Benutzer.

      Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet.

      - ODER-

    • Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.
  12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    HINWEIS: Der Dienst wird mit der Bezeichnung "One Identity Manager Service" in der Dienstverwaltung des Servers eingetragen.
Verwandte Themen

Konfiguration der beteiligten Server für den Remotezugriff über Windows PowerShell

Konfiguration der beteiligten Server für den Remotezugriff über Windows PowerShell

HINWEIS: Führen Sie die Konfigurationsschritte auf dem Microsoft Exchange Server und dem SynchronisationsserverClosed aus.

Um einen Server für den Remotezugriff über Windows PowerShell zu konfigurieren

  1. Führen Sie eine Windows PowerShell über das Kontextmenü Als Administrator ausführen mit administrativen Rechten aus.
  2. Geben Sie in der Eingabeaufforderung den Befehl ein:

    winrm quickconfig

    Mit diesem Befehl wird die Nutzung des Remotezugriffs vorbereitet.

  3. Geben Sie in der Eingabeaufforderung den Befehl ein:

    Set-ExecutionPolicy RemoteSigned

    Mit diesem Befehl wird die Ausführung von Windows PowerShell-Befehle (Cmdlets) zugelassen. Die Skripte müssen von einem vertrauenswürdigen Herausgeber signiert sein.

  4. Geben Sie in der Eingabeaufforderung den Befehl ein:

    Set-Item wsman:\localhost\client\trustedhosts * -Force

    Mit diesem Befehl wird die Liste der vertrauenswürdigen Hosts angepasst, um die Authentifizierung zu aktivieren.

    Der Wert "*" lässt alle Verbindungen zu. Der One Identity Manager nutzt für die Verbindung den vollqualifizierten Domänenamen des Servers. Sie können den Wert einschränken.

Um den Remotezugriff über Windows PowerShell vom Synchronisationsserver zum Microsoft Exchange Server zu testen

  1. Führen Sie auf dem Microsoft Exchange Synchronisationsserver eine Windows PowerShell aus.
  2. Geben Sie in der Eingabeaufforderung den Befehl ein:

    $creds = New-Object System.Management.Automation.PSCredential ("<Domäne>\<Benutzer>", (ConvertTo-SecureString "<Kennwort>" -AsPlainText -Force))

    - ODER -

    $creds = Get-Credential

    Mit diesem Befehl werden die Zugangsdaten ermittelt, die für den Verbindungsaufbau benötigt werden.

  3. Geben Sie in der Eingabeaufforderung den Befehl ein:

    $session = New-PSSession -Configurationname Microsoft.Exchange -ConnectionUri http://<ServerName als FQDN>/powershell -Credential $creds -Authentication Kerberos

    Mit diesem Befehl wird eine Remotesitzung erstellt.

    HINWEIS: Der One Identity Manager stellt eine Verbindung mit dem vollqualifizierten Domänenamen des Microsoft Exchange Server her. Der Servername muss in der konfigurierten Liste der vertrauenswürdigen Hosts enthalten sein.

  4. Geben Sie in der Eingabeaufforderung den Befehl ein:

    Import-PsSession $session

    Mit diesem Befehl wird die Remotesitzung importiert, damit auf die Verbindung zugegriffen werden kann.

  5. Testen Sie die Funktion eines beliebigen Microsoft Exchange-Befehls. Geben Sie in die Eingabeaufforderung beispielsweise folgenden Befehl ein:

    Get-Mailbox

Prüfen der Vertrauensstellungen der Active Directory Domänen

Prüfen der Vertrauensstellungen der Active Directory Domänen

Für die SynchronisationClosed mit einer Microsoft Exchange-Umgebung müssen die Vertrauensstellungen der Active Directory Domänen im One Identity Manager bekannt sein. Abhängig von der Vertrauensstellung der Domänen können Benutzer auf Ressourcen anderer Domänen zugreifen.

  • Die expliziten Vertrauensstellungen werden durch die Synchronisation mit der Active Directory Umgebung in den One Identity Manager eingelesen. Es werden die Domänen ermittelt, die der aktuell synchronisierten Domäne vertrauen.
  • Um die impliziten Zwei-Wege-Vertrauensstellungen zwischen Domänen innerhalb einer Active Directory Gesamtstruktur im One Identity Manager bekanntzugeben, stellen Sie sicher, dass an allen untergeordneten Domänen die übergeordnete Domäne eingetragen ist.

Um die übergeordnete Domäne einzutragen

  1. Wählen Sie die Kategorie Active Directory | Domänen.
  2. Wählen Sie in der Ergebnisliste die Domäne.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Erfassen Sie die übergeordnete Domäne.
  5. Speichern Sie die Änderungen.

    Die impliziten Vertrauensstellungen werden automatisch erzeugt.

Um die Vertrauensstellungen der Domänen zu prüfen

  1. Wählen Sie die Kategorie Active Directory | Domänen.
  2. Wählen Sie in der Ergebnisliste die Domäne.
  3. Wählen Sie die Aufgabe Vertrauensstellungen festlegen.

    Angezeigt werden die Domänen, die der gewählten Domäne vertrauen.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Related Documents