Configuración de un dominio

Windows Server »

Microsoft Identity Manager (MIM) funciona con el dominio de Active Directory (AD). Ya debería tener AD instalado, asegúrese de que tiene un controlador de dominio en su entorno para un dominio que pueda administrar.

Este artículo le guiará por los pasos para preparar el dominio para que funcione con MIM.

Creación de grupos y cuentas de usuario

Todos los componentes de la implementación de MIM necesitan sus propias identidades en el dominio. Esto incluye los componentes de MIM, como Service y Sync, así como SharePoint y SQL.

Nota

Este tutorial usa los valores y nombres de ejemplo de una empresa llamada Contoso. Reemplácelos con sus propios valores. Por ejemplo:

• Nombre del controlador de dominio: corpdc
• Nombre de dominio: contoso
• Nombre de servidor del servicio MIM: corpservice
• Nombre del servidor de sincronización de MIM: corpsync
• Nombre de SQL Server: corpsql
• Contraseña: Pass@word1

1. Inicie sesión en el controlador de dominio como administrador de dominio (p. ej., Contoso\Administrador).

2. Cree las siguientes cuentas de usuario para servicios MIM. Inicie PowerShell y escriba el siguiente script de PowerShell para actualizar el dominio.

   import-module activedirectory
   $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force
   New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL
   Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp
   Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName MIMMA –name MIMMA
   Set-ADAccountPassword –identity MIMMA –NewPassword $sp
   Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName MIMSync –name MIMSync
   Set-ADAccountPassword –identity MIMSync –NewPassword $sp
   Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName MIMService –name MIMService
   Set-ADAccountPassword –identity MIMService –NewPassword $sp
   Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName MIMSSPR –name MIMSSPR
   Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp
   Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName SharePoint –name SharePoint
   Set-ADAccountPassword –identity SharePoint –NewPassword $sp
   Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName SqlServer –name SqlServer
   Set-ADAccountPassword –identity SqlServer –NewPassword $sp
   Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
   New-ADUser –SamAccountName BackupAdmin –name BackupAdmin
   Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
   Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
   New-ADUser –SamAccountName MIMpool –name MIMpool
   Set-ADAccountPassword –identity MIMPool –NewPassword $sp
   Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1
   

3. Cree grupos de seguridad para todos los grupos.

   New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins
   New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators
   New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners
   New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse
   New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet
   Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
   Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService
   Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstall
   

4. Adición de SPN para habilitar la autenticación Kerberos de cuentas de servicio

   setspn -S http/mim.contoso.com Contoso\mimpool
   setspn -S http/mim Contoso\mimpool
   setspn -S http/passwordreset.contoso.com Contoso\mimsspr
   setspn -S http/passwordregistration.contoso.com Contoso\mimsspr
   setspn -S FIMService/mim.contoso.com Contoso\MIMService
   setspn -S FIMService/corpservice.contoso.com Contoso\MIMService
   

5. Durante la instalación, es necesario agregar los siguientes registros "A" de DNS para la adecuada resolución de los nombres.

• mim.contoso.com punto a la dirección ip física de corpservice
• passwordreset.contoso.com punto a la dirección ip física de corpservice
• passwordregistration.contoso.com punto a la dirección ip física de corpservice

Windows Server »