Microsoft Identity Manager 2016 – Empfohlene Vorgehensweisen
In diesem Thema werden empfohlene Vorgehensweisen für die Bereitstellung und den Betrieb von Microsoft Identity Manager 2016 (MIM) beschrieben.
SQL Setup
Hinweis
Die folgenden Empfehlungen für das Einrichten eines Servers mit SQL gehen von je einer SQL-Instanz aus, die nur für die FIMService-Datenbank bzw. die FIMSynchronizationService-Datenbank vorgesehen ist. Wenn Sie die FIMService-Datenbank in einer konsolidierten Umgebung ausführen, müssen Sie Anpassungen entsprechend Ihrer Konfiguration vornehmen.
Die Konfiguration des Structured Query Language-Servers (SQL) ist entscheidend für eine optimale Systemleistung. Für das Erreichen der optimalen Leistung von MIM in umfangreichen Implementierungen sind die empfohlenen Vorgehensweisen für einen Server mit SQL von großer Bedeutung. Weitere Informationen finden Sie in folgenden Themen zu empfohlenen Vorgehensweisen für SQL:
Storage Top 10 Best Practices (Top 10 der bewährten Speichermethoden)
Reorganizing and Rebuilding Indexes (Neuorganisieren und Neuerstellen von Indizes)
Voreinstellen der Größe von Daten- und Protokolldateien
Verlassen Sie sich nicht auf die automatische Vergrößerung. Verwalten Sie die Größe dieser Dateien stattdessen manuell. Sie können die automatische Vergrößerung aus Sicherheitsgründen aktiviert lassen, sollten die Vergrößerung der Datendateien jedoch proaktiv verwalten. Beispielgrößen der MIM-Datenbank finden Sie unter FIM Capacity Planning Guide (Richtlinien zur FIM-Kapazitätsplanung).
So stellen Sie die Größe von SQL-Datendateien und -Protokolldateien ein
Starten Sie SQL Server Management Studio.
Navigieren Sie zur FIMService-Datenbank, klicken Sie mit der rechten Maustaste auf „FIMService“ und dann auf „Eigenschaften“.
Vergrößern Sie auf der Seite „Dateien“ die Datenbankdateien wie erforderlich.
Trennen von Protokoll- und Datendateien
Befolgen Sie die bewährten Methoden von SQL Server, um die Transaktions- und Datenprotokolldateien für die Datenbanken in getrennten physischen Datenträgern zu isolieren.
Erstellen zusätzlicher tempdb-Dateien
Für optimale Leistung wird empfohlen, dass Sie eine Datendatei pro CPU-Kern in der tempdb-Datei erstellen.
So erstellen Sie zusätzliche tempdb-Dateien
Starten Sie SQL Server Management Studio.
Navigieren Sie zur tempdb-Datenbank in Systemdatenbanken, klicken Sie mit der rechten Maustaste auf „tempdb“ und dann auf „Eigenschaften“.
Erstellen Sie auf der Seite „Dateien“ eine Datendatei für jeden CPU-Kern. Achten Sie darauf, dass Sie die tempdb-Datendateien und die Protokolldateien auf verschiedenen Laufwerken und Spindeln speichern.
Genügend Speicherplatz für Protokolldateien sicherstellen
Es ist wichtig, die Datenträgeranforderungen des Wiederherstellungsmodells zu kennen. Der einfache Wiederherstellungsmodus kann beim ersten Laden des Systems geeignet sein, um die Speicherplatznutzung zu beschränken. Allerdings gehen so die Daten, die nach der letzten Sicherung erstellt wurden, verloren. Wenn Sie den vollständigen Wiederherstellungsmodus verwenden, müssen Sie die Datenträgernutzung durch Sicherungen verwalten, die häufige Sicherungen des Transaktionsprotokolls enthalten, um eine hohe Speicherplatzauslastung zu verhindern. Weitere Informationen finden Sie unter Übersicht über Wiederherstellungsmodelle.
Beschränken von SQL Server-Arbeitsspeicher
Je nachdem, über wie viel Arbeitsspeicher Sie auf dem Server mit SQL Server verfügen und ob Sie den Server mit SQL Server für andere Dienste (d.h. MIM 2016-Dienst und MIM 2016-Synchronisierungsdienst) freigeben, sollten Sie den Speicherverbrauch von SQL beschränken. Sie können diese Einschränkung mithilfe der folgenden Schritte festlegen.
Starten Sie SQL Server Enterprise Manager.
Wählen Sie „Neue Abfrage“ aus.
Führen Sie die folgende Abfrage aus:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEIn diesem Beispiel wird der SQL-Server so konfiguriert, dass er nicht mehr als 12 GB (Gigabyte) Arbeitsspeicher verwendet.
Überprüfen Sie die Einstellung unter Verwendung der folgenden Abfrage:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Konfigurieren von Sicherung und Wiederherstellung
Grundsätzlich sollten Sie mit Ihrem Datenbankadministrator zusammen am Entwurf einer Sicherungs- und Wiederherstellungsstrategie arbeiten. Einige Empfehlungen dazu lauten:
- Nehmen Sie Datenbanksicherungen gemäß der Sicherungsrichtlinie Ihrer Organisation vor.
- Wenn keine inkrementellen Protokollsicherungen geplant sind, sollte für die Datenbank das einfache Wiederherstellungsmodell festgelegt werden.
- Stellen Sie vor der Implementierung Ihrer Sicherungsstrategie sicher, dass Sie die Auswirkungen der unterschiedlichen Wiederherstellungsmodelle kennen. Informieren Sie sich über die Speicherplatzanforderungen für diese Modelle. Das vollständige Wiederherstellungsmodell erfordert regelmäßige Protokollsicherungen, um hohe Speicherplatznutzung zu vermeiden.
Weitere Informationen finden Sie unter Übersicht über Wiederherstellungsmodelle und FIM 2010 Backup and Restore Guide (FIM 2010-Handbuch zur Sicherung und Wiederherstellung).
Erstellen eines Sicherungsadministratorkontos für FIMService nach der Installation
Mitglieder der Gruppe von FIMService-Administratoren verfügen über eindeutige Berechtigungen, die für die MIM-Bereitstellung entscheidend sind. Wenn Sie sich als Mitglied der Administratorgruppe nicht anmelden können, ist die einzige Lösung das Zurücksetzen auf eine vorherige Sicherung des Systems. Zur Verbesserung dieser Situation sollten Sie der Gruppe von FIM-Administratoren als Teil der Konfiguration nach der Installation andere Benutzer hinzufügen.
FIM-Dienst
Konfigurieren des Exchange-Postfachs des FIM-Diensts
Im Folgenden werden empfohlene Vorgehensweisen für die Konfiguration von Microsoft Exchange Server für das Dienstkonto des MIM 2016-Diensts beschrieben.
- Konfigurieren Sie das Dienstkonto so, dass es nur E-Mails von internen Adressen akzeptiert. Insbesondere sollte das Postfach des Dienstkontos nie E-Mails von externen SMTP-Servern empfangen können.
So konfigurieren Sie das Dienstkonto
Wählen Sie in der Exchange-Verwaltungskonsole das Dienstkonto des FIM-Diensts aus.
Wählen Sie „Eigenschaften“, „Nachrichtenflusseinstellungen“ und dann Nachrichtenübermittlungseinschränkungen aus.
Aktivieren Sie das Kontrollkästchen Authentifizierung aller Absender anfordern.
Weitere Informationen finden Sie unter Konfigurieren von Nachrichtenübermittlungseinschränkungen.
Konfigurieren Sie das Dienstkonto so, dass es E-Mails mit mehr als 1 MB ablehnt. Befolgen Sie für ein Postfach oder einen E-Mail-aktivierten öffentlichen Ordner die empfohlenen Vorgehensweisen zum Thema Configure Message Size Limits (Konfigurieren von Nachrichtengrößenbeschränkungen).
Konfigurieren Sie das Dienstkonto so, dass es über ein Speicherplatzkontingent von 5 GB für das Postfach verfügt. Befolgen Sie für optimale Ergebnisse die empfohlenen Vorgehensweisen unter Configure Storage Quotas for a Mailbox (Konfigurieren von Speicherkontingenten für ein Postfach).
MIM-Portal
Deaktivieren der SharePoint-Indizierung
Es wird empfohlen, dass Sie die Indizierung von Microsoft Office SharePoint® deaktivieren. Es sind keine Dokumente vorhanden, die indiziert werden müssen. Indizierung verursacht viele Einträge im Fehlerprotokoll und mögliche Leistungsprobleme in MIM. Führen Sie zum Deaktivieren der SharePoint-Indizierung die folgenden Schritte aus:
Klicken Sie auf dem Server, der das MIM 2016-Portal hostet, auf „Start“.
Klicken Sie auf „Alle Programme“.
Klicken Sie in der Liste „Alle Programme“ auf „Verwaltung“.
Klicken Sie unter „Verwaltung“ auf „SharePoint-Zentraladministration“.
Klicken Sie auf der Seite „Zentraladministration“ auf „Vorgänge“.
Klicken Sie auf der Seite „Vorgänge“ unter „Globale Konfiguration“ auf „Zeitgeberauftragsdefinitionen“.
Klicken Sie auf der Seite „Zeitgeberauftragsdefinitionen“ auf „Aktualisierung der SharePoint Services-Suche“.
Klicken Sie auf der Seite „Zeitgeberauftrag bearbeiten“ auf „Deaktivieren“.
MIM 2016 – Erster Datenladevorgang
Dieser Abschnitt enthält eine Reihe von Schritten, um die Leistung des ersten Datenladevorgangs aus einem externen System zu MIM zu erhöhen. Beachten Sie, dass einige dieser Schritte nur bei der ersten Auffüllung des Systems ausgeführt werden. Sie sollten nach dem Abschluss des Ladens zurückgesetzt werden. Diese Schritte beziehen sich auf einen einmaligen Vorgang und nicht auf eine fortlaufende Synchronisierung.
Wichtig
Stellen Sie sicher, dass Sie die empfohlenen Vorgehensweisen aus dem Abschnitt zur Installation von SQL in dieser Anleitung angewendet haben.
Schritt 1: Konfigurieren des Servers mit SQL Server für den ersten Datenladevorgang
Das erste Laden der Daten kann ein lang andauernder Vorgang sein. Wenn Sie am Anfang große Datenmengen laden möchten, können Sie die Zeit für das Auffüllen der Datenbank verkürzen, indem Sie die Volltextsuche vorübergehend deaktivieren und sie nach dem Abschluss des Exports auf dem MIM 2016-Verwaltungs-Agent (FIM-MA) wieder aktivieren.
So deaktivieren Sie die Volltextsuche vorübergehend
Starten Sie SQL Server Management Studio.
Wählen Sie „Neue Abfrage“ aus.
Führen Sie die folgenden SQL-Anweisungen aus:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Wichtig
Wenn diese Vorgehensweisen nicht umgesetzt werden, kann dies dazu führen, dass nicht mehr genügend Speicherplatz vorhanden ist. Weitere Details zu diesem Thema finden Sie unter Übersicht über Wiederherstellungsmodelle. Weitere Informationen finden Sie unter FIM 2010 Backup and Restore Guide (FIM 2010-Handbuch zur Sicherung und Wiederherstellung).
Schritt 2: Anwenden der Mindestanforderungen für die MIM-Konfiguration während des Ladevorgangs
Beim ersten Laden sollten Sie nur die Mindestkonfiguration anwenden, die erforderlich ist, um FIM für die Management-Richtlinienregeln (Management Policy Rules, MPRs) und Set-Definitionen zu konfigurieren. Erstellen Sie nach Abschluss des Datenladevorgangs die zusätzlichen Sets, die für die Bereitstellung erforderlich sind. Verwenden Sie die Einstellung zum Aktualisieren der Run-On-Richtlinie auf den Aktionsworkflows, um diese Richtlinien nachträglich auf die geladenen Daten anzuwenden.
Schritt 3: Konfigurieren und Auffüllen des FIM-Diensts mit externen Identitätsdaten
An diesem Punkt sollten Sie die im Leitfaden How Do I Synchronize Users from Active Directory Domain Services to FIM beschriebenen Verfahren befolgen, um Ihr System mit Benutzern aus Active Directory zu konfigurieren und zu synchronisieren. Wenn Sie Gruppeninformationen synchronisieren müssen, werden die Verfahren für diesen Prozess im Leitfaden How Do I Synchronize Groups from Active Directory Domain Services to FIM beschrieben.
Synchronisierung und Exportsequenzen
Führen Sie zum Optimieren der Leistung nach einem Synchronisierungsvorgang, der zu einer hohen Anzahl ausstehender Exportvorgänge in einem Connectorbereich führt, einen Export durch. Führen Sie dann auf dem Verwaltungs-Agent, der dem betroffenen Connectorbereich zugeordnet ist, einen bestätigenden Importvorgang durch. Wenn Sie zum Beispiel Synchronisierungsausführungsprofile auf mehreren Verwaltungs-Agents als Teil eines ersten Datenladevorgangs ausführen müssen, sollten sie nach jeder einzelnen Synchronisierung einen Export gefolgt von einem Deltaimport durchführen. Führen Sie für jeden Quellverwaltungs-Agent, der Teil des Initialisierungszyklus ist, die folgenden Schritte aus:
Vollständiger Import auf einem Quellverwaltungs-Agent.
Vollständige Synchronisierung auf dem Quellverwaltungs-Agent.
Führen Sie auf allen betroffenen Zielverwaltungs-Agents mit Stagingexport einen Export durch.
Führen Sie auf allen betroffenen Zielverwaltungs-Agents mit Stagingexport einen Deltaimport durch.
Schritt 4: Anwenden der vollständigen MIM-Konfiguration
Wenden Sie nach Abschluss des ersten Datenladevorgangs die vollständige MIM-Konfiguration für die Bereitstellung an.
Abhängig von Ihren Szenarien kann dieser Schritt die Erstellung zusätzlicher Sätze, MPRs und Workflows umfassen. Verwenden Sie für alle Richtlinien, die Sie rückwirkend auf alle Objekte im System anwenden müssen, die Einstellung für die Ausführung für Richtlinienaktualisierung auf Aktionsworkflows, um diese Richtlinien rückwirkend auf die geladenen Daten anzuwenden.
Schritt 5: Zurücksetzen von SQL auf vorherige Einstellungen
Denken Sie daran, die SQL-Einstellungen in die normalen Einstellungen zu ändern. Zu diesen Änderungen gehören:
Aktivieren der Volltextsuche
Aktualisieren der Sicherungsrichtlinie nach der Organisationsrichtlinie
Wenn Sie den ersten Datenladevorgang abgeschlossen haben, müssen Sie die Volltextsuche wieder aktivieren. Führen Sie die folgenden SQL-Anweisungen aus, um die Volltextsuche wieder zu aktivieren:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Wenn Sie in den einfachen Wiederherstellungsmodus wechseln müssen, sollten Sie sicherstellen, dass Sie den Sicherungszeitplan gemäß der Sicherungsrichtlinie Ihrer Organisation neu konfigurieren. Zusätzliche Details zu FIM-Sicherungszeitplänen finden Sie im FIM 2010 Backup and Restore Guide (FIM 2010-Handbuch zur Sicherung und Wiederherstellung).
Migration der Konfiguration
Vermeiden von Änderungen von Anzeigenamen
Für viele Objekttypen wie zum Beispiel MPRs verwendet das Skript „syncproduction.ps1“ den Anzeigenamen als einziges Ankerattribut zwischen zwei Systemen. Daher führt eine Änderung am Anzeigenamen einer vorhandenen MPR zur Löschung der vorhandenen MPR und der anschließenden Erstellung einer neuen MPR. Dies geschieht, da bei der Migration keine MPRs zusammengeführt werden können, deren Verknüpfungskriterien sich geändert haben. Um dieses Problem zu vermeiden, können Sie ein benutzerdefiniertes Attribut an alle Objekttypen für die Konfiguration binden und dieses Attribut als Verknüpfungskriterium verwenden. Mit diesem Prozess können Sie Anzeigenamen ändern, ohne den Migrationsprozess zu beeinträchtigen.
Vermeiden von Änderungen des Inhalts von temporären Dateien
Während das Dateiformat und die Anwendungsprogrammierschnittstelle (API, Application Programming Interface) der Objekte niedriger Ebene öffentlich sind und von Entwicklern geändert werden können, sollten Sie die Inhalte der Zwischenformate während der Migration nicht ändern. Allerdings kann es erforderlich sein, ganze ImportObjects-Knoten aus „changes.xml“ zu entfernen oder mithilfe von Suchen und Ersetzen in „pilot.xml“ Versionsnummern oder DNS-Informationen von Pilotsystemen durch die von Produktionssystemen zu ersetzen.
Überprüfen der Versionsnummer in „pilot.xml“ bei der Migration zwischen Versionen
Obwohl Migrationen über Versionsnummern hinweg nicht empfohlen oder unterstützt werden, können Sie diese Migration häufig durchführen, indem Sie die Pilotversionsnummer durch die Produktionsversionsnummer in pilot.xml ersetzen. Insbesondere die Objekte „WorkflowDefinition“ und
„ActivityInformationConfiguration“ erfordern, dass die Versionsnummer genau auf die Workflowaktivitäten in der Produktionsumgebung verweist. Wenn die Versionsnummer nicht ersetzt wird, identifiziert das Cmdlet „Compare-FIMConfig“ Unterschiede zwischen den Attributen der Extensible Object Markup Language (XOML) auf „WorkflowDefinition“-Objekten und migriert die Pilotversionsnummer. Der FIM-Dienst der Produktionsversion kann Workflowaktivitäten mit der falschen Versionsnummer möglicherweise nicht starten.
Vermeiden zyklischer Verweise
Im Allgemeinen werden zyklische Verweise in einer MIM-Konfiguration nicht empfohlen. Zyklen treten jedoch manchmal auf, wenn Set A auf Set B verweist und Set B zudem auf Set A verweist. Um Probleme mit zyklischen Verweisen zu vermeiden, sollten Sie die Definition von Set A oder Set B so ändern, sodass nicht beide aufeinander verweisen. Starten Sie den Migrationsvorgang anschließend neu. Wenn zyklische Verweise vorhanden sind und das Cmdlet „Compare-FIMConfig“ deshalb zu einem Fehler führt, muss der Zyklus manuell unterbrochen werden. Da das Cmdlet „Compare-FIMConfig“ eine Liste der Änderungen nach Rangfolge ausgibt, dürfen unter den Verweisen von Konfigurationsobjekten keine Zyklen vorhanden sind.
Sicherheit
MIM-MA-Konto
Das MIM-MA-Konto wird nicht als Dienstkonto angesehen und sollte ein normales Benutzerkonto sein. Die Konten müssen zur lokalen Anmeldung fähig sein, damit das Dienstkonto des FIM-Synchronisierungsdiensts es annehmen kann.
So aktivieren Sie das MIM-MA-Konto für die lokale Anmeldung
Klicken Sie auf „Start“, „Verwaltung“ und dann auf „Lokale Sicherheitsrichtlinie“.
Öffnen Sie den Knoten „Lokale Richtlinien“, und klicken Sie dann auf „Zuweisen von Benutzerrechten“.
Stellen Sie sicher, dass das FIM-MA-Konto in der Richtlinie „Lokale Anmeldung zulassen“ explizit angegeben wird, oder fügen Sie es einer der Gruppen hinzu, denen bereits Zugriff gewährt wurde.
FIM-Synchronisierungsdienst und Konten von FIM-Diensten
Um die Server, auf denen die MIM-Serverkomponenten ausgeführt werden, auf sichere Weise zu konfigurieren, sollte die Dienstkonten beschränkt werden. Legen Sie mithilfe der vorherigen Vorgehensweise zur Aktivierung des MIM-MA-Kontos die folgenden Einschränkungen für den FIM-Synchronisierungsdienst und Konten von FIM-Diensten fest:
Anmelden als Batchauftrag verweigern
Lokal anmelden verweigern
Zugriff vom Netzwerk auf diesen Computer verweigern
Die Dienstkonten sollten kein Mitglied der lokalen Administratorgruppe sein.
Das Dienstkonto des FIM-Synchronisierungsdiensts sollte kein Mitglied der Sicherheitsgruppen sein, mit denen der Zugriff auf den FIM-Synchronisierungsdienst kontrolliert wird (diese Gruppen beginnen mit „FIMSync“ wie z.B. „FIMSyncAdmins“ usw.).
Wichtig
Wenn Sie dasselbe Konto für beide Dienstkonten verwenden und den FIM-Dienst und den FIM-Synchronisierungsdienst trennen, können Sie für diesen Computer nicht den Zugriff vom Netzwerk auf dem MMS-Synchronisierungsdienst-Server aus verweigern. Wenn der Zugriff verweigert wird, kann der FIM-Dienst keine Verbindung zum FIM-Synchronisierungsdienst herstellen, um die Konfiguration zu ändern und Kennwörter zu verwalten.
Bei Kennwortzurücksetzungen an Kiosk-Computern Auslagerungsdatei des virtuellen Arbeitsspeichers löschen
Bei der Bereitstellung der FIM-Kennwortzurücksetzung auf einer Arbeitsstation, die als Kiosk vorgesehen ist, wird empfohlen, die einstellung der Shutdown: Clear virtual memory pagefile lokalen Sicherheitsrichtlinien zu aktivieren, um sicherzustellen, dass vertrauliche Informationen aus dem Prozessspeicher nicht für nicht autorisierte Benutzer verfügbar sind.
Implementieren von SSL für das FIM-Portal
Es wird dringend empfohlen, dass Sie auf dem FIM-Portalserver Secure Sockets Layer (SSL) verwenden, um den Datenverkehr zwischen Clients und Server zu sichern.
So implementieren Sie SSL
Öffnen Sie den IIS-Manager auf dem MIM-Portalserver.
Klicken Sie auf den Namen des lokalen Computers.
Klicken Sie auf „Serverzertifikate“.
Klicken Sie auf „Zertifikatanforderung erstellen“.
Geben Sie im Textfeld „Allgemeiner Name“ den Namen des Servers ein.
Klicken Sie zweimal auf „Weiter“.
Speichern Sie die Datei an einem beliebigen Ort. Sie müssen in den nachfolgenden Schritten auf diesen Speicherort zugreifen.
Navigieren Sie zu https://servername/certsrv.. Ersetzen Sie „servername“ durch den Namen des Servers, der Zertifikate ausstellt.
Klicken Sie auf „Neues Zertifikat anfordern“.
Klicken Sie auf „Erweiterte Anforderung absenden“.
Klicken Sie auf „Zertifikatanforderung mit einer Base64-codierten PKCS7-Datei absenden“.
Fügen Sie den Inhalt der Datei ein, die Sie im vorherigen Schritt gespeichert haben.
Wählen Sie unter „Zertifikatvorlage“ „Webserver“ aus.
Klicken Sie auf Submit.
Speichern Sie das Zertifikat auf Ihrem Desktop.
Klicken Sie im IIS-Manager auf „Zertifikatanforderung abschließen“.
Weisen Sie den IIS-Manager auf das Zertifikat hin, das Sie soeben auf dem Desktop gespeichert haben.
Geben Sie als Anzeigename den Namen des Servers ein.
Klicken Sie auf „Standorte“, und wählen Sie dann „SharePoint – 80“ aus.
Klicken Sie auf „Bindungen“ und dann auf „Hinzufügen“.
Wählen Sie „https“ aus.
Wählen Sie unter Zertifikat das Zertifikat aus, das denselben Namen wie der Server hat, das Zertifikat, das Sie gerade importiert haben.
Klicken Sie auf OK.
Entfernen Sie die HTTP-Bindung.
Klicken Sie auf „SSL-Einstellungen“, und aktivieren Sie dann „SSL erforderlich“.
Speichern Sie die Einstellungen.
Klicken Sie auf „Start“, auf „Verwaltung“ und dann auf „SharePoint 3.0-Zentraladministration“.
Klicken Sie auf „Vorgänge“ und dann auf „Alternative Zugriffszuordnungen“.
Klicken Sie auf https://servername..
Ändern Sie https://servername in https://servername, und klicken Sie dann auf „OK“.
Klicken Sie auf „Start“ und dann auf „Ausführen“. Geben Sie „iisreset“ ein, und klicken Sie dann auf „OK“.
Leistung
So erreichen Sie eine optimale Leistungskonfiguration:
Wenden Sie die empfohlenen Vorgehensweisen für SQL Setup wie im Abschnitt „SQL Setup“ dieses Artikels beschrieben an.
Deaktivieren Sie die SharePoint-Indizierung auf der MIM-Portalwebsite. Weitere Informationen finden Sie im Abschnitt Deaktivieren der SharePoint-Indizierung .
Featurespezifische bewährte Methoden
Anforderungsverwaltung
Standardmäßig löscht MIM 2016 abgelaufene Systemobjekte einschließlich abgeschlossene Anforderungen mit zugehörigen Genehmigungen, Genehmigungsantworten und Workflowinstanzen im Abstand von 30 Tagen. Wenn Ihre Organisation einen längeren Anforderungsverlauf benötigt, sollten Sie Anfragen aus MIM exportieren und in einer zusätzlichen Datenbank speichern, um sie über dieses 30-Tage-Fenster hinaus zu erhalten. Das 30-Tage-Fenster für die Löschung von Anforderungen kann zwar konfiguriert werden, aber eine Erweiterung dieses Fensters kann durch die zusätzlichen Objekte im System die Leistung beeinträchtigen.
Verwaltungsrichtlinienregeln
Verwenden der passenden MPR-Art
MIM bietet zwei Arten von MPRs, eine für Anforderungen und eine für den Listenübergang:
MPR für Anforderungen (RMPR, Request MPR)
- Wird verwendet, um die Zugriffssteuerungsrichtlinie (Authentifizierung, Autorisierung und Aktion) für CRUD-Vorgänge (Create, Read, Update oder Delete) für Ressourcen zu definieren,
- Wird angewendet, wenn ein CRUD-Vorgang für eine Zielressource in MIM ausgegeben wird, und
- Wird begrenzt durch die Auswahlkriterien, die in der Regel definiert sind und angeben, für welche CRUD-Anforderungen die Regel gilt.
MPR für den Listenübergang (TMPR, Set Transition MPR)
- Wird verwendet, um Richtlinien zu definieren, und zwar unabhängig davon, wie das Objekt in den aktuellen Status gelangt ist, der durch die Übergangsliste dargestellt wird. Sollte zum Modellieren von Berechtigungsrichtlinien verwendet werden.
- Wird angewendet, wenn eine Ressource in eine zugeordnete Menge eintritt oder diese verlässt, und
- Ist begrenzt auf die Mitglieder des Sets.
Hinweis
Weitere Informationen finden Sie unter Entwerfen von Geschäftsrichtlinienregeln.
Aktivieren von MPRs nur nach Bedarf
Verwenden Sie das Prinzip der geringsten Rechte, wenn Sie Ihre Konfiguration anwenden. MPRs kontrollieren die Zugriffsrichtlinie für die MIM-Bereitstellung. Aktivieren Sie nur die Funktionen, die von den meisten Benutzern verwendet werden. Nicht alle Benutzer verwenden zum Beispiel MIM für die Verwaltung von Gruppen, weshalb die entsprechenden MPRs für die Gruppenverwaltung deaktiviert werden sollten. Standardmäßig sind in MIM die meisten Nicht-Administratorberechtigungen deaktiviert.
Duplizieren integrierter MPRs anstatt direkter Änderung
Wenn Sie die integrierten MPRs ändern müssen, sollten Sie eine neue MPR mit der erforderlichen Konfiguration erstellen und die integrierte MPR deaktivieren. Durch das Erstellen dieses neuen MPR wird sichergestellt, dass zukünftige Änderungen an den integrierten MPRs, die über den Upgradeprozess eingeführt werden, nicht negativ auf Ihre Systemkonfiguration auswirken.
Endbenutzerberechtigungen mit expliziten Attributlisten
Mit expliziten Attributlisten kann verhindert werden, dass versehentlich Berechtigungen an nicht berechtigte Benutzer erteilt werden, wenn Attribute zu Objekten hinzugefügt werden. Administratoren sollten explizit Zugriff auf neue Attribute gewähren müssen, anstatt zu versuchen, den Zugriff aufzuheben.
Der Datenzugriff sollte entsprechend den geschäftlichen Anforderungen der Benutzer begrenzt werden. Zum Beispiel sollten Mitglieder einer Gruppe keinen Zugriff auf das Filterattribut der Gruppe haben, in der sie Mitglied sind. Der Filter kann versehentlich Unternehmensdaten enthüllen, auf die der Benutzer normalerweise keinen Zugriff hätte.
MPRs sollten effektiven Berechtigungen entsprechen
Vermeiden Sie es, Berechtigungen für Attribute zu erteilen, die der Benutzer nie verwenden kann. Sie sollten zum Beispiel keine Berechtigung zum Ändern von Kernressourcenattributen wie „objectType“ erteilen. Trotz der MPR wird jeder Versuch, den Typ einer Ressource nach der Erstellung der Ressource zu ändern, vom System abgelehnt.
Trennung von Leseberechtigungen und Berechtigungen zum Ändern und Erstellen
Wenn Attribute in MPRs explizit aufgelistet werden, sind für das Erstellen und Ändern in der Regel andere Attribute als für den Lesezugriff erforderlich. Zum Beispiel kann der Lesezugriff über Systemattribute wie „Creator“ oder „objectId“ gewährt werden, während das Erstellen oder Ändern für Systemattribute nicht angegeben werden kann.
Trennung von Berechtigungen zum Erstellen und Ändern
Für den Erstellungsvorgang muss der Benutzer „objectType“ als Teil des Vorgangs auswählen. Dieses Attribut ist ein Kernsystematribut, das nach einem Create-Vorgang nicht mehr geändert werden kann.
Verwendung einer MPR für Anforderungen für alle Attribute mit gleichen erforderlichen Zugriffsberechtigungen
Für alle Attribute mit den gleichen erforderlichen Zugriffsberechtigungen, die sich voraussichtlich nicht ändern werden, können Sie aus Gründen der Effizienz eine einzige MPR für Anforderungen verwenden.
Vermeiden von uneingeschränktem Zugriff selbst für ausgewählte Prinzipalgruppen
In MIM werden Berechtigungen als positive Assertion definiert. MIM unterstützt das Verweigern von Berechtigungen nicht. Wenn uneingeschränkter Zugriff auf eine Ressource gewährt wird, können deshalb nur sehr schwer Ausnahmen in den Berechtigungen gemacht werden. Deshalb wird empfohlen, nur die erforderlichen Berechtigungen zu gewähren.
Verwenden von TMPRs zum Definieren benutzerdefinierter Berechtigungen
Verwenden Sie MPRs für den Listenübergang (TMPRs) anstatt RMPRs, um benutzerdefinierte Berechtigungen zu definieren. TMPRs bieten ein zustandsbasiertes Modell zum Zuweisen oder Entfernen von Berechtigungen, die auf der Mitgliedschaft in den definierten Übergangslisten oder -rollen sowie den zugehörigen Workflowaktivitäten basieren. TMPRs sollten immer in Paaren definiert werden, eine für Ressourcen, die in übergehen, und eine für Ressourcen, die aussteigen. Darüber hinaus sollte jede Übergangs-MPR separate Workflows für die Bereitstellung und Aufhebung der Bereitstellung von Aktivitäten enthalten.
Hinweis
Jeder Aufhebungsworkflow sollte sicherstellen, dass das Attribut „Für Richtlinienaktualisierung ausführen“ auf „TRUE“ festgelegt ist.
TMPR für den Eingang zuletzt aktivieren
Wenn Sie ein TMPR-Paar erstellen, sollten Sie die TMPR für den Eingang zuletzt aktivieren. Durch diese Reihenfolge wird sichergestellt, dass keine Ressource mit der Berechtigung zurückbleibt, wenn sie dem Set hinzugefügt und aus dem Set entfernt wird, während die TMPR für den Eingang bereits aktiviert, die TMPR für den Ausgang aber noch deaktiviert ist.
Workflows in der TMPR sollten Zielressource zuerst überprüfen
Bereitstellungsworkflows sollten zunächst überprüfen, ob bereits eine Bereitstellung an die Zielressource gemäß der Berechtigung erfolgt ist. Wenn dies der Fall ist, sollte der Workflow nichts unternehmen.
Aufhebungsworkflows sollten zunächst überprüfen, ob eine Bereitstellung an die Zielressource erfolgt ist. Wenn dies der Fall ist, sollte der Workflow die Bereitstellung an die Zielressource aufheben. Andernfalls sollte der Workflow nichts unternehmen.
Auswählen von „Für Richtlinienaktualisierung ausführen“ für TMPRs
Diese Einstellung stellt sicher, dass das richtige Bereitstellungsverhalten angewendet wird, wenn Richtlinienupdates implementiert werden, und das Updateflag RunOn Policy für Aktionsworkflows verwendet wird, die den TMPRs zugeordnet sind, und dass Änderungen in den Richtliniendefinitionen die Aktionsworkflows auf neue Mitglieder der Übergangsmenge anwenden.
Vermeiden derselben Berechtigung für zwei verschiedene Übergangslisten
Wenn dieselbe Berechtigung zwei verschiedenen Übergangslisten zugeordnet wird, kann dies dazu führen, dass Berechtigungen unnötigerweise aufgehoben und erneut erteilt werden, wenn die Ressource von einem Set zu einem anderen verschoben wird. Es wird empfohlen sicherzustellen, dass in einem Set alle Ressourcen enthalten sind, die die zugeordnete Berechtigung erfordern. Durch diese Prozedur wird eine 1:1-Beziehung zwischen dem Übergangssatz und der Berechtigung sichergestellt, die dem Workflow gewährt wird.
Richtige Reihenfolge beim Entfernen von Berechtigungen
Die Reihenfolge der Schritte beim Entfernen von Berechtigungen im System kann zu zwei verschiedenen Ergebnissen führen. Vergewissern Sie sich, welche Reihenfolge Sie für das gewünschte Ergebnis benötigen.
So entfernen Sie eine Berechtigung aus dem System (und heben sie für alle derzeit berechtigten Mitglieder auf)
Deaktivieren Sie die TMPR für den Eingang. Durch diese Änderung werden neue Zuweisungen vermieden.
Löschen Sie den Filter der Übergangsliste, oder ändern Sie ihn so, dass sie leer ist. Dadurch verlassen alle vorhandenen Mitglieder das Set, und die entsprechende Richtlinie wird angewendet, einschließlich des konfigurierten Aufhebungsworkflows, der der Berechtigung zugeordnet ist.
Deaktivieren Sie die TMPR für den Ausgang.
So entfernen Sie eine Berechtigung ohne Auswirkung auf die derzeitigen Mitglieder (zum Beispiel MIM nicht mehr für die Verwaltung der Berechtigung verwenden):
Deaktivieren Sie die TMPR für den Eingang. Durch diese Änderung werden neue Zuweisungen vermieden.
Deaktivieren Sie die TMPR für den Ausgang.
Löschen Sie den Filter der Übergangsliste, oder ändern Sie ihn so, dass sie leer ist. Da das Set nicht mehr an eine TMPR gebunden ist, werden keine Aufhebungsworkflows angewendet.
Sätze
Wenn Sie die empfohlenen Vorgehensweisen für Sets anwenden, sollten Sie die Auswirkung der Optimierungen auf die zukünftige Verwaltbarkeit berücksichtigen. Bevor diese Empfehlungen angewendet werden, sollten entsprechende Tests für die erwartete Produktion durchgeführt werden, um das richtige Gleichgewicht zwischen Leistung und Verwaltbarkeit zu finden.
Hinweis
Alle folgenden Richtlinien gelten für dynamische Sets und dynamische Gruppen.
Minimieren dynamischer Schachtelung
Dies bezieht sich auf den Filter eines Sets, das auf das Attribut „ComputedMember“ eines anderen Sets verweist. Häufig werden Sets geschachtelt, um das Duplizieren einer Mitgliedschaftsbedingung für mehrere Sets zu vermeiden. Dieser Ansatz kann zwar eine bessere Verwaltung der Sets ermöglichen, beeinträchtigt aber auch die Leistung. Sie können die Leistung optimieren, indem Sie die Mitgliedschaftsbedingungen eines geschachtelten Sets duplizieren, anstatt das Set selbst zu verschachteln.
Es kann jedoch vorkommen, dass Sie Sets verschachteln müssen, um eine funktionale Anforderung zu erfüllen. Dies sind die vorrangigen Situationen, in denen Sie Sets schachteln sollten. Wenn Sie zum Beispiel das Set aller Gruppen ohne Vollzeitmitarbeiter definieren, muss die Schachtelung der Sets wie folgt verwendet werden: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], wobei „X“ die ObjectID des Sets aller Vollzeitmitarbeiter ist.
Minimieren negativer Bedingungen
Negative Bedingungen sind die Mitgliedschaftsbedingungen, die die folgenden Operatoren oder Funktionen verwenden: !=, not(), \< ,\<=. Um die Leistung zu optimieren, können Sie wenn möglich die gewünschte Bedingung mit mehreren positiven Bedingungen anstatt als negative Bedingung ausdrücken.
Minimieren von Mitgliedschaftsbedingungen, die auf mehrwertigen Verweisattributen basieren
Es sollten möglichst wenige Bedingungen verwendet werden, die auf mehrwertigen Verweisattributen basieren, da große Mengen solcher Sets die Leistung von Vorgängen auf den Attributen, die in der Mitgliedschaftsbedingung verwendet werden, beeinträchtigen können.
Kennwortzurücksetzung
Bei Kennwortzurücksetzungen an Kiosk-Computern Auslagerungsdatei des virtuellen Arbeitsspeichers löschen
Beim Bereitstellen der MIM-Kennwortzurücksetzung auf einer als Kiosk gedachten Arbeitsstation sollte die lokale Sicherheitsrichtlinieneinstellung „Herunterfahren: Auslagerungsdatei des virtuellen Arbeitsspeichers löschen“ aktiviert werden, damit vertrauliche Informationen aus dem Arbeitsspeicher für nicht autorisierte Benutzer nicht verfügbar sind.
Registrierung für Kennwortzurücksetzung auf Anmeldecomputer
Wenn ein Benutzer versucht, sich über ein Webportal für eine Kennwortzurücksetzung zu registrieren, initiiert MIM immer eine Registrierung im Namen des angemeldeten Benutzers, unabhängig davon, wer auf der Website angemeldet ist. Benutzer sollten sich immer für eine Kennwortzurücksetzung registrieren, wenn sie an einem Computer angemeldet sind.
AvoidPdcOnWan-Registrierungsschlüssel nicht auf „TRUE“ festlegen
Wenn Sie die MIM 2016-Kennwortzurücksetzung verwenden, sollten Sie den Registrierungsschlüssel „AvoidPdcOnWan“ nicht auf „TRUE“ festlegen.
Wenn dieser Registrierungsschlüssel auf „TRUE“ festgelegt ist, gelangt der Benutzer sehr wahrscheinlich durch das Kennwort-Gate, lässt sein Kennwort auf dem primären Domänencontroller (PDC, Primary Domain Controller) ändern und versucht, sich anzumelden. Aufgrund dieses Registrierungsschlüssels führt der lokale Domänencontroller die sekundäre Validierung mit dem PDC nicht durch, weshalb die Anmeldung verweigert wird. Wenn dem Benutzer die Anmeldung zu oft verweigert wird, wird er für die Domäne gesperrt und muss sich an den Support wenden.
Kennwörter nicht im Klartext eingeben
Es ist möglich, Klartextkennwörter einzugeben, wenn das Servicelevel mit Diagnoseablaufverfolgung in Windows aktiviert wird.
Communication Foundation (WCF) aktiviert wurde. Diese Option ist standardmäßig nicht aktiviert, und es wird davon abgeraten, sie in Produktionsumgebungen zu aktivieren. Diese Kennwörter werden in einer verschlüsselten Simple Object Access-Protokollnachricht (SOAP, Simple Object Access Protocol) als Klartext angezeigt, wenn sich Benutzer für die Kennwortzurücksetzung registrieren. Weitere Informationen finden Sie unter Konfigurieren der Nachrichtenprotokollierung.
Keinen Autorisierungsworkflow bei Kennwortzurücksetzung verwenden
Sie sollten einer Kennwortzurücksetzung keinen Autorisierungsworkflow anhängen. Für die Kennwortzurücksetzung ist eine synchrone Antwort erforderlich, Autorisierungsworkflows mit Aktivitäten wie der Genehmigungsaktivität sind jedoch asynchron.
Der Kennwortzurücksetzung nicht mehrere Aktionsaktivitäten zuordnen
Sie sollten einer Kennwortzurücksetzung keinen Workflow anhängen, der mehr als eine Aktionsaktivität enthält. Ein Beispielszenario wäre, wenn einer MPR zur Kennwortzurücksetzung eine zweite AD DS-Kennwortzurücksetzungsaktivität zugeordnet würde. Dieses Szenario wird nicht unterstützt.
Fordern erneuter Registrierung beim Hinzufügen, Entfernen oder Ändern der Reihenfolge der Aktivitäten in einem vorhandenen Workflow
Wählen Sie beim Hinzufügen, Entfernen oder Ändern der Reihenfolge der Authentifizierungsaktivitäten in einem vorhandenen Workflow immer die Option aus, eine erneute Registrierung zu fordern. Wenn Benutzer versuchen, eine Authentifizierung für eine Kennwortzurücksetzung durchzuführen, nachdem eine Aktivität zu einem Workflow hinzugefügt oder daraus entfernt wurde, sie sich aber noch nicht erneut registriert haben, können unerwünschte Auswirkungen auftreten.
Portalkonfiguration und Ressourcensteuerungs-Anzeigekonfiguration
Eventuell Datenschutz-Haftungsausschluss zu Benutzerprofilseite hinzufügen
In MIM werden möglicherweise einige Informationen zum Benutzerprofil standardmäßig für andere Benutzer angezeigt. Als freundliche Geste gegenüber Benutzern sollten Administratoren darüber nachdenken, der Benutzerprofilseite entsprechend den Richtlinien ihres Unternehmens einen benutzerdefinierten Text hinzuzufügen. Weitere Informationen über das Hinzufügen von benutzerdefiniertem Text zu einer MIM-Portalseite finden Sie unter Introduction to Configuring and Customizing the FIM Portal (Einführung in das Konfigurieren und Anpassen des FIM-Portals).
Schema
Ressourcentypen „Person“ und „Gruppe“ nicht löschen
Auch wenn die Ressourcentypen „Person“ und „Gruppe“ nicht als Core-Ressourcentypen gekennzeichnet sind, sollten weder die Ressourcen selbst noch die ihnen zugewiesenen Attribute gelöscht werden. Die Benutzeroberfläche (UI) im MIM-Portal erfordert, dass die Ressourcentypen „Person“ und „Gruppe“ und deren Attribute vorhanden sind.
Nicht die Core-Attribute verändern
Es gibt 13 Core-Attribute, die allen Ressourcentypen zugewiesen werden. Sie sollten deren Beziehung zu einem Ressourcentyp in keiner Weise ändern. Die 13 Core-Attribute sind:
CreatedTime
Creator
DeletedTime
BESCHREIBUNG
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Gebietsschema
MVObjectID
ObjectID
ObjektType
ResourceTime
Löschen Sie keine Schemaressource, die von Überwachungsanforderungen abhängt
Sie sollten Ihre Schemaressourcen nicht löschen, während dafür noch Überwachungsanforderungen vorhanden sind.
Bei regulären Ausdrücken Groß-/Kleinschreibung nicht berücksichtigen
In MIM kann es hilfreich sein, bei einigen regulären Ausdrücken die Groß-/Kleinschreibung nicht zu berücksichtigen. Sie können die Groß-/Kleinschreibung innerhalb einer Gruppe ignorieren, indem Sie verwenden ?!:. Zum Beispiel können Sie für Employee Type (Mitarbeitertyp) Folgendes verwenden:
\^(?!:contractor\|full time employee)%.
Berechnung des Mitgliedsattributs
Das Mitgliedsattribut, das an die Synchronisierungs-Engine bereitgestellt wird, wird eigentlich ComputedMembers zugeordnet. Es ist eine Kombination aus kriterienbasierten und manuell ausgewählten Mitgliedern. Auch wenn Sie alle drei Attribute (Filter, ExplicitMembers und ComputedMembers) hinzufügen, findet die dynamische Berechnung des Mitgliedsattributs nicht für andere Ressourcentypen als Gruppe und Set statt.
Vorangestellte und nachfolgende Leerzeichen in Zeichenfolgen werden ignoriert
In MIM können Sie Zeichenfolgen mit vorangestellten und nachfolgenden Leerzeichen eingeben, diese Leerzeichen werden jedoch vom MIM-System ignoriert. Wenn Sie eine Zeichenfolge mit einem führenden und nachgestellten Leerzeichen übermitteln, ignorieren das Synchronisierungsmodul und die Webdienste diese Leerzeichen.
Leere Zeichenfolgen sind nicht gleich null
In dieser Version von MIM sind leere Zeichenfolgen nicht gleich null. Die Eingabe einer leeren Zeichenfolge wird als gültiger Wert betrachtet. Keine Eingabe wird als Null betrachtet.
Workflow und Verarbeitung von Anforderungen
Keine Standardworkflows löschen, die mit MIM 2016 geliefert werden
Die folgenden Workflows werden mit MIM geliefert und sollten nicht gelöscht werden:
Ablaufworkflow
Workflow zur Filtervalidierung für Administratoren
Workflow zur Filtervalidierung für Nicht-Administratoren
Workflow zur Gruppenablaufbenachrichtigung
Workflow zur Gruppenvalidierung
Workflow zur Besitzergenehmigung
Aktionsworkflow zur Kennwortzurücksetzung
Authentifizierungsworkflow zur Kennwortzurücksetzung
Anforderervalidierung mit Autorisierung durch den Besitzer
Anforderervalidierung ohne Autorisierung durch den Besitzer
Für die Registrierung erforderlicher Systemworkflow
Nicht mehrere ApprovalActivities parallel ausführen
Sie sollten nicht zwei oder mehr ApprovalActivities parallel ausführen. Dies kann dazu führen, dass die Anforderung in der Autorisierungsphase hängenbleibt. Um mehrere Genehmigungen zu erhalten, können Sie entweder eine umfangreichere Liste von genehmigenden Personen in die Genehmigung einschließen oder die beiden Aktivitäten aufeinander folgend sequenzieren.
Autorisierung sollte MIM-Ressourcendaten nicht verändern
Vermeiden Sie als Teil der Workflows in Autorisierungsworkflows Aktivitäten wie die Funktionsauswertung, die die MIM-Ressourcen verändern. Da für die Anforderung am Punkt der Autorisierung bei der Verarbeitung kein Commit ausgeführt wurde, können alle an den Identitätsinformationen vorgenommenen Änderungen angewendet werden, obwohl die Anforderung möglicherweise zurückgewiesen wird.
Grundlegendes zu FIM-Dienstpartitionen
Das Ziel von MIM ist die Verarbeitung von Anforderungen, die von verschiedenen MIM-Clients wie z.B. dem FIM-Synchronisierungsdienst und den Self-Service-Komponenten gemäß den konfigurierten Geschäftsrichtlinien initiiert werden können. Standardmäßig gehört jede FIM-Dienstinstanz zu einer logischen Gruppe, die aus einer oder mehreren FIM-Dienstinstanzen besteht, was auch als FIM-Dienstpartition bezeichnet wird. Wenn Sie nur eine FIM-Dienstinstanz zur Verarbeitung aller Anforderungen bereitstellen lassen, kann es bei der Verarbeitung zu Verzögerungen kommen. Einige Vorgänge können sogar die standardmäßigen Timeoutwerte überschreiten, die für Self-Service-Vorgänge angemessen sind. FIM-Dienstpartitionen können Ihnen bei der Behebung dieses Problems helfen.
Weitere Informationen finden Sie unter Grundlegendes zu FIM-Dienstpartitionen.