Replication access was denied su Forefront Identity Manager (FIM) per allineamento Utenze
Ultimamente mi sto imbattendo sempre più di frequente in un problema legato alla sincronizzazione dei profili utente in ambienti in cui coesistono SharePoint 2010 e Forefront Identity Manager (FIM) 2010.
L'errore in questione veniva generato durante la fase di creazione di una stringa di connessione verso AD per la sincronizzazione dei profili utente infatti, una volta agganciato dalla console SharePoint il dominio AD di riferimento e popolata la lista di OU su cui puntare il profile sync, la procedura di population falliva e FIM generava un errore di Replication così come in figura:
Per sbloccare la situazione sono stati necessari due step senza i quali non è possibile avviare il servizio di sync:
Step 1: Assegnare a livello di dominio la proprietà Replicate Directory Changes all’utenza di servizio,
Step 2: Assegnare la stessa proprietà ad un Container Name (CN), nello specifico CN=Configuration
Il punto focale è proprio lo Step 2, illustrato anche sul TechNet https://technet.microsoft.com/en-us/library/ee721049.aspx#prereqs in cui si evince che:
Active Directory Domain Services (AD DS)
The synchronization account for a connection to Active Directory Domain Services (AD DS) must have the following permissions:
- It must have Replicate Directory Changes permission on the domain that you will synchronize with. See Grant Replicate Directory Changes permission on a domain for instructions to grant this permission.
- If the domain controller is running Windows Server 2003, the synchronization account must be a member of the Pre-Windows 2000 Compatible Access built-in group. See Add an account to the Pre-Windows 2000 Compatible Access group for instructions to grant this permission.
- If the NetBIOS name of the domain differs from the domain name, the synchronization account must have Replicate Directory Changes permission on the cn=configuration container. See Grant Replicate Directory Changes permission on the cn=configuration container for instructions to grant this permission.
- If you will export property values from SharePoint Server to AD DS, the synchronization account must have Create Child Objects (this object and all descendants) and Write All Properties (this object and all descendants) permissions on the organizational unit (OU) that you are synchronizing with. See Grant Create Child Objects and Write permission for instructions to grant this permission.