大家好,今天我接着和大家分享如何使用FIM 2010进行高效身份管理,看过上次课程的朋友可能已经正在摩拳擦掌准备跃跃欲试了吧,那么今天我就要和大家分享如何搭建一套FIM 2010的测试环境。
根据官方的测试环境搭建指南,我们的安装过程分为以下几个部分:
基础实验环境准备
为了完成FIM 2010的典型场景的实验,需要完成以下基础环境的配置。比如每台虚拟机的网络配置,在我的环境中,我专门在Hyper-V虚拟网络管理器中新建了网络类型为内部的虚拟网络,所有FIM 2010测试环境的虚拟机都将使用这个虚拟网络来进行通信。随后我们需要准备以下几台虚拟机:
|
虚拟机名称 |
服务器角色 |
|
CNSHADDSDC01 |
域控制器 |
|
CNSHADCSCA01 |
证书服务器 |
|
CNSHE14SVR01 |
Exchange邮件服务器 |
|
CNSHSQLSVR01 |
数据库服务器 |
|
CNSHTSTSVR01 |
测试服务器(充当客户端) |
|
可选服务器 |
|
|
CNSHLYCSVR01 |
Lync 2010 标准版服务器 |
|
CNSHMOSSVR01 |
SharePoint Server 2010 服务器 |
这里域控制器和证书服务器的准备应该是比较简单的,相信每个SE都应该掌握这两种服务器安装。接下来是Exchange 2010服务器,这对部分人来说,可能从来没有接触过,但么大家可以按照这篇测试环境安装指南来完成Exchange 2010 服务器的安装,包括安装SP1补丁。Exchange 2010安装完成之后可以开启一个测试帐号来验证Exchange服务器是否工作正常,包括OWA的访问及服务器证书的配置。接下来是SQL服务器的配置,由于FIM 2010需要利用SQL Server 2008中的一些新特性,因此我们需要安装SQL Server 2008,并且安装最新的Service Pack补丁包。至于是否要安装Northwind示例数据库,大家可以视自己的情况而定,我们可以使用Northwind中的员工信息数据库来模拟一家企业中的HR数据库,也可以使用在后续介绍中会提到的另一篇测试指南中的SQL语句来创建示例数据库。接下来是是测试服务器,虽然大家可以使用Windows 7作为测试平台,但是为了方便两位终端用户同时进行登录,这里还是推荐大家使用Windows Server 2008 R2。
接下来是可选服务器Lync 2010和SharePoint Server 2010,即使没有这两台服务器,我们也可以了解如何使用FIM 2010来实现用户邮件帐号的自动开启,但是有了这两台服务器,我们可以了解到更多的内容。虽然这两台服务器本身的安装也可以单独成篇,但是这取决于各位目前是否有精力去准备,因此这里将这两台服务器标记为可选。
安装FIM 2010 的先决条件(组件)
接下来,我们就来看下安装FIM 2010的具体步骤,使用到的服务器是CNSHFIMSVR01。以下安装步骤,我根据具体的安装过程做了相应的调整,和测试环境安装指南有细微差异,大家注意区别。虽然我认为写的步骤可能更加顺畅一点。当然我还是建议大家有时间的话,通读英文原版文档。
首先要做的就是安装一些必要软件(服务器组件)。首先需要安装 .NET Framework 3.5.1, IIS 7.5 以及Windows PowerShell ISE.
由于实验环境中使用的操作系统是Windows Server 2008 R2,因此我们可以非常轻松的使用以下命令完成这些组件的安装。这里需要注意IIS 7.5并不需要安装所有组件,详细的组件列表请大家参阅测试环境安装指南。然后我们来看看具体命令:
Import-Module ServerManager
Add-WindowsFeature NET-Framework,PowerShell-ISE
Add-WindowsFeature Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Http-Redirect
Add-WindowsFeature Web-Asp-Net,Web-Net-Ext,Web-ISAPI-Ext,Web-ISAPI-Filter
Add-WindowsFeature Web-Http-Logging,Web-Request-Monitor
Add-WindowsFeature Web-Basic-Auth,Web-Windows-Auth,Web-Filtering
Add-WindowsFeature Web-Stat-Compression,Web-Dyn-Compression
Add-WindowsFeature Web-Mgmt-Console,Web-Scripting-Tools,Web-Metabase,Web-WMI,Web-Lgcy-Scripting,Web-Lgcy-Mgmt-Console
然后我们需要通过Server Manager关闭IE的增强的安全配置(IE ESC)。接下来需要在CNSHFIMSVR01安装Exchange 2010 SP1的控制台,具体过程就在这里省略了,因为毕竟是很简单的一项工作。然后需要安装Windows SharePoint Service 3.0 SP2。大家可以从下载中心下载64位版本的安装程序。由于是测试环境,因此在安装Windows SharePoint Service 3.0 SP2时选择Basic类型即可。安装完成之后,可以打开IE,访问http://cnshfimsvr01确认是否能成功访问。然后,需要在cnshfimsvr01上安装SQL Native Client组件,该组件可以在SQL Server 2008的安装DVD下的\x64\Setup\x64目录下找到。
接下来登录cnshsqlsvr01确认SQL的“全文搜索(Full-Text Search)”组件是否安装。如果没有安装,则需要安装,然后在重新应用SP2补丁。
支持,FIM 2010所需要的必要软件及组件就已经完成了,接下来需要准备准备FIM 2010的服务账号及配置相关程序。具体操作过程如下。
首先可以使用以下命令,准备FIM 2010的服务帐号,因为测试环境中域控制器的操作系统版本是Windows Server 2008 R2,因此可以通过以下PowerShell命令来准备服务帐号。
Import-Module ActiveDirectory
$secuPwd = ConvertTo-SecureString -String "abcd@123" -AsPlainText -Force
$dNSRoot = (Get-ADDomain).DNSRoot
New-ADUser -Name "FIMService" -SamAccountName "FIMService" -UserPrincipalName "FIMService@$dNSRoot" -GivenName "Service" -Surname "FIM" -DisplayName "FIMService" -Description "FIM Service" -AccountPassword $secuPwd -PasswordNeverExpires:$true -Enabled:$true -TrustedForDelegation:$True -OtherAttributes @{'servicePrincipalName'=@("FIMService/CNSHFIMSVR01","FIMService/CNSHFIMSVR01.$dNSRoot")}
New-ADUser -Name "FIMSynchService" -SamAccountName "FIMSynchService" -UserPrincipalName "FIMSynchService@$dNSRoot" -GivenName "SynchService" -Surname "FIM" -DisplayName "FIM SynchService" -Description "FIMSynchService" -AccountPassword $secuPwd -PasswordNeverExpires:$true -Enabled:$true
New-ADUser -Name "FIMMA" -SamAccountName "FIMMA" -UserPrincipalName "FIMMA@$dNSRoot" -GivenName "MA" -Surname "FIM" -DisplayName "FIM MA" -Description "FIM MA" -AccountPassword $secuPwd -PasswordNeverExpires:$true -Enabled:$true
New-ADUser -Name "FIMADMA" -SamAccountName "FIMADMA" -UserPrincipalName "FIMADMA@$dNSRoot" -GivenName "ADMA" -Surname "FIM" -DisplayName "FIM ADMA" -Description "FIM ADMA" -AccountPassword $secuPwd -PasswordNeverExpires:$true -Enabled:$true
New-ADUser -Name "SPService" -SamAccountName "SPService" -UserPrincipalName "SPService@$dNSRoot" -GivenName "Service" -Surname "SP" -DisplayName "SP Service" -Description "SP Service" -AccountPassword $secuPwd -PasswordNeverExpires:$true -Enabled:$true -TrustedForDelegation:$True -OtherAttributes @{'servicePrincipalName'=@("HTTP/CNSHFIMSVR01","HTTP/CNSHFIMSVR01.$dNSRoot")}
接下来,简单说明下这里的命令。看过之前我关于PowerShell AD Module介绍的朋友自然不会对这里所用到的命令感到太陌生。首先因为打开的是一个普通的PowerShell窗口,因此需要导入AD Module。接下来因为创建服务帐号需要密码,这里通过ConvertTo-SecureString生成。接下来,为了使得脚本在各式各样的测试环境(不同的域名)中都能正常运行,这里使用Get-ADDomain命令将当前域名保存到变量中,供后续命令使用。这里还需要注意,某些帐号需要设置ServicePricipalName属性,请大家注意下我在命令里是如何输入的。至于具体说明,还请各位查阅下之前我所写的PowerShell AD Module的命令。
服务帐号创建完成之后,接下来需要为FIMService这个帐号启用邮箱,并根据实验手册中所提到的设置来强化这个邮箱的安全。而这一切,也可以用Exchange Management Shell来完成。具体命令如下:
Enable-Mailbox -Identity 'corp.contoso.com/ServiceAccounts/FIM/FIMService' -Alias 'FIMService'
Get-Mailbox -Identity FIMService | Set-Mailbox -RequireSenderAuthenticationEnabled $true -MaxSendSize 1MB
接下来,我们需要增强FIMService以及FIMSynchService帐号的安全,不允许它们以批处理以及本地方式登录,并拒绝从网络访问。操作本身也是很简单的,在打开本地安全策略控制台(secpol.msc)之后,依次设置即可。
接下来我们需要检查SQL Server Agent是否已经设置为自动启动,并且启动SQL Server Agent。同样的,也可以使用命令来完成这项工作(从CNSHFIMSVR01上进行远程查询,CNSHSQLSVR01是数据库服务器)。
sc \\cnshsqlsvr01 query SQLSERVERAGENT
sc \\cnshsqlsvr01 qc SQLSERVERAGENT
如果SQL Server Agent在安装时没有被设置为自动启动,那么我们可以通过以下命令来设置:
sc \\cnshsqlsvr01 config SQLSERVERAGENT start= auto
sc \\cnshsqlsvr01 start SQLSERVERAGENT
完成SQL Server Agent的设置之后,需要设置SQL服务器上的防火墙例外,允许远程服务器连接数据库。当然如果域内安全策略允许的话,我们可以直接关闭Windows的防火墙。顺带说一句,可以使用netsh设置防火墙例外,具体命令如下:
netsh advfirewall firewall set Rule group Name="File And Printer Shareing" dir=in action=allow
netsh advfirewall firewall Add rule name="Allow SQL TCP Port" dir=in protocol=tcp localport=1433 action=allow
netsh advfirewall firewall Add rule name="Allow SQL UDP Port" dir=in protocol=udp localport=1434 action=allow
最后别忘了开启SQL Server的Named Pipe协议。
接下来,我们要检查SharePoint中的一些设置。首先是用于安装FIM 2010的帐号是否拥有SharePoint站点的管理员权限,虽然实验手册里面用了域管理员帐号(Administrator),但是这里还是推荐大家按照FIM MVP Carol Wapshere的最佳操作实践使用独立账号,比如fimadmin来安装FIM 2010,当然这里也要注意需要授予这个帐号对SQL的管理权限。关于这篇最佳操作实践中涉及到的其它注意事项,我也会在后续的介绍中涉及,请各位到时留意。然后回到SharePoint的设置,在打开SharePoint管理中心后,依次点击Application Management,Site Collection Administrators,并在Site Collection的下拉列表中确保默认站点处于选中站点,然后我们添加fimadmin作为次要站点集管理员。
然后要设置SharePoint默认站点应用程序池的帐号为之前创建的SPService。单击Operations标签之后,再单击Service Accounts连接,打开服务帐号配置页面。然后大家可以参考以下页面的设置。单击OK保存设置后,需要在命令提示符下执行 iisreset 来重启IIS。
接下来是比较tricky的一个地方,我们需要手动修改IIS服务器上的ApplicationHost.config文件,开启对Kerberos协议的支持。ApplicationHost.config改起来比较麻烦,因为是一个XML文件,没有好的编辑器的话,容易改错,导致整个IIS不能正常工作。这里我为各位准备了以下PowerShell命令,减少大家因为配置出错而产生的问题。当然为了防止出现意外,一开始会备份applicationHost.config文件,如有需要大家可以还原。
Copy-Item C:\Windows\System32\inetsrv\config\applicationHost.config C:\Windows\System32\inetsrv\config\applicationHost.config.backup
$appHostConfig = Get-Content C:\Windows\System32\inetsrv\config\applicationHost.config
$appHostConfig = $appHostConfig -replace "windowsAuthentication enabled=`"true`"","windowsAuthentication enabled=`"true`" useKernelMode=`"true`" useAppPoolCredentials=`"true`""
Set-Content -Value $appHostConfig -Path C:\Windows\System32\inetsrv\config\applicationHost.config -Force
iisreset
至此,FIM 2010所需要的各项安装准备工作就此完成,下次将开始正式的安装,敬请期待。