2010年2月27日土曜日

参加してきました「Tech Fielders の集い 特別編 - おかげさまで Active Directory 10周年 セミナー 」

今週はTechDaysもありましたし、本日のAD10周年イベントもあり盛りだくさんでした。

細かい情報はあとからTechFieldersのサイトに載ると思うので、印象に残った点だけ軽く振り返ってみますが、twitterのハッシュタグ#ad10thを見ていて感じたのは、「フェデレーション/ADFS」と「PowerShell」に対する反応の多さが印象的でした。
PowerShellはともかく、これまでフェデレーションって何に使うの?という反応ばかりでしたが、やはりここにきてクラウド連携と関連してみなさんの興味も急上昇、、という感じなのだと思います。

※安納さんのblogでもご紹介いただきましたが、フェデレーションについてTechFieldersのサイトにコラムを書いているので、ご興味があれば見てやってください。

さて、各セッションについてもざっと流してみます。

■Active Directory 10年の歩み/MCS待鳥さん、柿沼さん
・設計の移り変わり
 ADを取り巻く環境(NW、HWスペックや価格)の変化に伴いサイト構成(分散配置から集中配置へ)やDCのサイジング(OSの64bit化に伴う保持オブジェクト数の増加など)が変わってきた、というお話。

・ADの使いこなし例
 3つの例を挙げていました。

 1.Excelで簡単アカウント管理&監査
   VBA+ADSIでオブジェクトの管理台帳を!という使い方です。昔私も作りました。ID管理製品を入れるほどの規模ではない企業の場合これで十分なんだと思います。

 2.パスワード変更情報を取り出す
   PCNSを使ってDCへのパスワード変更をフックする例です。意外とみなさんPasswordChangeNotify()関数をご存知ないようで、twitterのTLには感嘆の声が上がっていました。そう言えば以前パスワードフック関連のポストをしたのですが、いまだにアクセス数が上位です。

 3.見えないサーバで個人情報管理
   IPSecを使って簡易的な検疫をしましょう、というお話。簡単に実装できるのでやってみてもよいかもしれません。

■Active Directory 提案のツボ/SE山崎さん
Windows Server使い倒し塾でおなじみの山崎さんのセッションです。既に今日の資料がポストされているので、詳しくはそちらを見てください。

山崎さんもやはりADの今後、というところではADFS2.0とAzure連携というお話をしておられました。

■Active Directory/Group Policyよくある質問/サポートチーム北川さん
ある意味、今回のセミナの目玉の一つだったのではないでしょうか?
普段は切羽詰まった状態でメールや電話でしかお話できない製品サポートチームのリアルな話でした。

よくある障害の事例として、
 1.DCへアクセスできないケース
   名前解決ができない
   ネットワーク上へアクセスできない
   NATしている(SMBがNAT非対応)
 2.sysvolへSMB通信が失敗するケース
   DFS異常など
 3.低速リンクの検出により一部のポリシーがあたらないケース
   ICMPで検出しているので、ICMPがブロックされていると低速リンクとみなされる
が紹介されたり、一部のDCの破損が起きた場合の復旧手順などが紹介されました。

こちらもしばらくしたらblogに本日の情報をアップしてくださるということなので、細かくはそちらに期待です。

■Active Directoryトラブル解決のツボ/ADSIサポートチーム渡部さん
こちらも上記と同じく濃いセッションです。
いつもお世話になっているADSI/ILMサポートチームの「お父さん」こと渡部さんのセッションです。

こちらは製品というよりもADSIやWMIなどの開発がらみも含めた微妙な領域のサポート部隊なので、プログラミングに依存する問題、環境・構成に依存する問題の切り分け~解決までのアプローチについて紹介していました。ある意味もっとも専門性が要求される部隊なのかも知れません。

細かいアプローチについてはblogへの掲載を期待するとして、紹介されていた事例は以下の通りでした。
 1.ADSIで大量のオブジェクトを操作するとエラーがでるケース
   →リソース(ポート)の枯渇の可能性を疑う(netstatで確認)
 2.ADsOpenObject(OpenDsObject)が特定のDCに対して失敗する
   →名前解決の可能性が高い
   →DSQueryで対象のDCのオブジェクト参照を試す
   →直接IPアドレスを指定する
 3.ASP.NETアプリケーションがADを参照しようとすると認証エラーになる
   →NTLM認証はダブルホップ認証ができないので、KerberosでWindows統合認証を構成する必要がある。(ダブルホップ:ブラウザ→IIS→DCという2段階で認証が行われる構成)

■パネルディスカッション/MVPを含む5人の濃い方々・・
話が盛りだくさんでまとめきれませんが、一言で言うと「ここに歴史あり」という感じでしょうか?
NT5.0と言われていた時代からかかわってこられた方々ばかりで、Active Directoryの成長を実際に支えてこられた方々の生の話でしたので、とても面白かったです。

特に印象に残ったのは、
・Active Directoryは10年間基本設計が変わっていないという点が素晴らしい
・今後認証基盤だけではなくアイデンティティ情報のレポジトリとしても活用されていくのではないか?
という2点でした。

既に登壇されたMVP国井さんがblogに本日の様子をアップしているのでそちらも合わせてご覧ください。

■Active Directoryを広めよう!/プロダクトマネージャ岡本さん
製品マーケティングの視点でActive Directoryを紹介していました。

国内の企業の規模別のActive Directory導入率など、普段は見られない貴重なデータを見ることができ、とても参考になりました。
できれば今後はActive Directoryの各コンポーネント別(DS、RMS、CS、LDS、FS)でも集計が取れると面白いかと思ったりしました。

また、今後の各種イベントの情報や、6月26日に出版される新しい書籍「Active Directory ID管理ガイド」の紹介もありました。(以前出ていたActive Directory ID自動管理ガイドの改定版?)




■そして懇親会!
イベント自体すごい人数が参加していましたので、懇親会もかなりの人数が参加されていたのではないでしょうか?

目玉はこのケーキでした。













他にもこんなお土産をいただきました。




















限定の帯付きの「ひと目でわかるActive Directory(2008R2対応)」















限定200個のメダル



まぁ何にせよ大盛況でしたし、とても役に立ちました。
関係者の皆さんは大変だったと思います。本当にお疲れさまでした!

2010年2月24日水曜日

アイデンティティ視点で見るTechDays2010

昨日(2月23日)、今日(24日)とMicrosoft TechDays 2010に参加してきました。
基本的にデベロッパー向けのイベントなんですが、今回はAzureにフォーカスされているということもあり、クラウドを取り巻く開発・管理・インフラ、、という形でインフラ屋さんにとっても非常に役に立つ話が盛りだくさんでした。

と言いつつ、アイデンティティ視点ということで私が特に注目して聴いたのが、
・T1-304 Windows Identity Foundation によるクラウド連携認証基盤の構築
・T1-309 Windows Azure Platform AppFabric によるオンプレミス/クラウド ハイブリッド アプリケーションの構築
・T4-401 オンプレミス & クラウドにおける Identity 連携の全体像
の3つです。
※セッション一覧はこちらから

内容的に言うと、オンプレミスで用意するIdP(ADFS2.0、AD)とアプリケーション側でクレームをハンドリングするためのライブラリであるWIF(Windows Identity Foundation)、間をつなぐMicrosoft Federation GatewayやAzure Platform AppFabricのアクセスコントロールサービス、というオンプレミスからクラウドにまたがるアイデンティティ&アクセス管理についてを横断的に見てきた、という感じでしょうか。

大きなテーマとしては企業がクラウド上のサービスを使うに当たっての大きな課題であるオンプレミスとクラウドにまたがったシステムをいかに「セキュア」で「便利」に構築するか?その時にベースとなるアイデンティティはどうなるのか?という点をAzureに特化した際の一つの解が示されたと思います。

マイクロソフトの全体的なアイデンティティの方向性については以前紹介したKim Cameron氏のblogアーキテクチャジャーナルに書かれている通りですが、クラウドの台頭というパラダイムシフトによりビジョンの実現に向けて製品への実装が加速した、という感じでしょうか。


詳細はエバンジェリスト安納さんがblogでActive Directoryの歴史と共に語ってくれていますが、以下のような仕組みが製品として提供されてこようとしています。

・企業内のアイデンティティ情報をクラウド(もしくは社外)と連携するための仕組み
 →Active Directory Federation Services 2.0 ( ADFS2.0 )
・Azureの場合に代表してフェデレーションする窓口
 →Microsoft Federation Gateway ( MFG )
・Azure上のサービスのアクセス権管理をする
 →Windows Azure Platform AppFabric/アクセスコントロールサービス
  ※基本的にはWebサービス(WCF)を使う場合の権限管理
・認証/認可モデルの変化(クレームベースのセキュリティモデルへの変更)に伴うアプリケーションの対応※まさにIdentity Metasystem!
 →Windows Identity Foundation ( WIF )































個人的にはMFG、AppFabricのACSは全然触っていないので、少し触ってみようかな?と思えました。
※そう言えばAD Connectorってどこへ行ったんだろうか?

尚、とってもわかりにくいキーワードであるフェデレーションやクレームベースのセキュリティについてTech Fieldersのサイトにコラムを書いたので、よろしければご覧ください。

・TechFieldersインタビュー AD FS 2.0 でアプリケーションの世界が変わる
・TechFieldersコラム システム管理者のためのフェデレーション講座

まぁ何にせよTechDays関係者の皆さんお疲れさまでした!

2010年2月23日火曜日

FIMの技術仕様詳細ドキュメント

FIMに関するマニアック情報って色々とあるんですが、普通に使う分には使い道がなかったり、マニアック過ぎて読み解くのが非常に困難(英語だし)、、ということであまり紹介してきませんでしたが、今回は少し紹介してみます。

MSDNに「Open Specifications Developer Center」というサイトがあります。














ここではマイクロソフト製品に使われている技術仕様が公開されているのですが、その中にFIMに関連する仕様も存在しています。(Windows Protocols→Application Services and .NET Framework Protocolsの中)

タグタイトル説明
MS-UPSCDAPUser Profile Synchronization (UPS): Configuration Database Data Access Protocol Specification構成データベースへのアクセスプロトコル仕様の解説
MS-UPSCDSUser Profile Synchronization (UPS): Configuration Data Structure構成データベースのデータ構造の解説
MS-UPSCPUser Profile Synchronization (UPS): Configuration Protocol Extensionsオブジェクトの作成、変更、削除、列挙をするために使用するSOAPメッセージなどの解説
MS-UPSDBDAPUser Profile Synchronization (UPS): Database Data Access Protocol Specificationデータベースへのアクセスプロトコルの仕様やストアドプロシージャの解説
MS-UPSLDAPUser Profile Synchronization (UPS): Lightweight Directory Access Protocol Version 3 ExtensionsADDSやiPlanetをはじめとする各種ディレクトリサーバへのLDAPアクセスの仕様解説
MS-UPSMODSUser Profile Synchronization (UPS): Management Objects Data Structureデータソースの同期を決定づける管理オブジェクトの構造の解説
MS-UPSSCXPPUser Profile Synchronization (UPS): Schema Exchange Protocol ProfileWS-MetaDataExchangeでのスキーマ交換の仕様解説


さすがに全部は見きれていませんが、エラーメッセージ一覧と意味、発生するトリガーなどがかなり細かく書いてあったり、データベースやオブジェクトの構造、ADDSやiPlanetなどの各種ディレクトリアクセスMAのLDAPアクセスの仕様など、トラブルが起きた時などには非常に役立つ情報ばかりです。(どちらかというとプロダクトサポート向けかも・・・)

他にもコードレスプロビジョニングに関する特許申請文書など色々とマニアック文書が存在していますが、なかなか手がつけられていません。。。気が向いたら解読して紹介したいと思います。(確かにERL/EREやDREなどの思想/仕様を押さえるうえでは役に立つので)

2010年2月17日水曜日

FIM/ADFS関連の情報を扱うページ一覧

このblogを始めたきっかけともなったFIM2010ですが、MIISやILMを含め日本語の情報が非常に少ないのが現状です。
そんなわけで英語のサイトも含め色々と探して情報を収集している日々なのですが、そろそろ見ているサイトの数も管理しきれないくらい多くなってきたので、自分自身の整理の意味も込めて一覧を書いておこうと思います。

おそらく皆様のお役にも立つとも思います。
※尚、製品そのもののページは入れていません。

【FIM/ILM関連のページ】

◆マイクロソフトの日本語サイト
サイト名URL解説
FIM TechCenterhttp://technet.microsoft.com/ja-jp/ilm/default.aspx
フィールドSEあがりの安納ですhttp://blogs.technet.com/junichia/エバンジェリスト安納さんのblog
管理者は見た!~AD と ILM 一家の秘密~http://blogs.technet.com/jpilmblg/default.aspxAD/ILMサポートチームのblog
Windows Sedrver使い倒し塾http://blogs.technet.com/windowsserverjp/default.aspx


◆マイクロソフトの英語サイト
サイト名URL解説
Technetフォーラム Identity Lifecycle Managerhttp://social.technet.microsoft.com/Forums/ja-JP/identitylifecyclemanager/threads
Technetフォーラム Identity Lifecycle Manager 2http://social.technet.microsoft.com/Forums/ja-JP/ilm2/threads
Bobby and Nima's Forefront Identity Manager Bloghttp://blogs.technet.com/doittoit/default.aspx
Identity Managementhttp://blogs.technet.com/identitymanagement/default.aspx製品チームのblog
Identity Management Extensibilityhttp://blogs.msdn.com/imex/default.aspxFIM SDKなどでFIMを拡張する
Anthony Hohttp://blogs.technet.com/aho/default.aspxFIMのパスワードリセット関連
Craig McMurtry's WebLoghttp://blogs.msdn.com/craigmcmurtry/
Mark Gabarra's Bloghttp://blogs.msdn.com/markgabarra/
Shawn's MIIS/ILM/FIM Code Experimenthttp://blogs.msdn.com/therabournidentity/
Darryl Russi's Bloghttp://blogs.msdn.com/darrylru/default.aspxサイジングとかパフォーマンスとか


◆その他サイト
サイト名URL解説
Always on the clockhttp://sophiakunii.spaces.live.com/MVP国井さん
1dent1ty cHa0shttp://www.identitychaos.com/ensynch所属のMVP
Identity Management Crisishttp://www.idmcrisis.com/
Jorge 's Quest For Knowledge!http://blogs.dirteam.com/blogs/jorge/default.aspxMVP
missmiishttp://www.wapshere.com/missmiis/Technet Forumでも活躍しているCarolさんのblog
The new Puttyq.comhttp://puttyq.com/blog/MVP
ILM Best Practiceshttp://www.ilmbestpractices.com/blog/blogger.htmlMVP
CSHARKhttp://c--shark.blogspot.com/FIM関連のツールとか
Apollo Jackhttp://www.apollojack.com/
IdM for Realhttp://bobbradley.spaces.live.com/default.aspx
Microsoft IDMhttp://www.microsoftidm.com/MVP
MMSUGhttp://tech.groups.yahoo.com/group/MMSUG/MIISのYahooGroup
microsoft.public.metadirectoryhttp://www.archivum.info/microsoft.public.metadirectory/NewsGroup
Identity Management at CERN https://espace.cern.ch/idm/default.aspxCERNのIdM。。天使と悪魔以外でCERNの名前を聞くとは思ってもみませんでした(笑)



【AD/ADFS関連のページ】

◆マイクロソフトの日本語サイト
サイト名URL解説
Active Directory TechCenterhttp://technet.microsoft.com/ja-jp/activedirectory/default.aspx
Shigeya Tanabe's bloghttp://blogs.technet.com/stanabe/エバンジェリスト田辺さん


◆マイクロソフトの英語サイト
サイト名URL解説
Kim Cameron's Identity Webloghttp://www.identityblog.com/言わずと知れたChief Architect of Identity
Ask the Directory Services Teamhttp://blogs.technet.com/askds/default.aspxADサポートチーム
“Geneva” Team Bloghttp://blogs.msdn.com/card/default.aspx
Vibro.NEThttp://blogs.msdn.com/vbertocci/default.aspx
ADFS Documentation Bloghttp://blogs.technet.com/adfs_documentation/default.aspx
Eugenio Pacehttp://blogs.msdn.com/eugeniop/default.aspx


◆その他サイト
サイト名URL解説
des on Federated Identity … less is morehttp://identity-des.com/
ZULFIQAR'S WEBLOGhttp://www.zamd.net/default.aspx
Matias Woloski’s Bloghttp://blogs.southworks.net/mwoloski/
Jackson's Identity Management & Active Directory Reality Tour Travelblog http://jacksonshaw.blogspot.com/



【その他、マイクロソフト関連のIdentity関連の情報を扱うページ】

サイト名URL解説
Mike Jones: self-issuedhttp://self-issued.info/Identity関連のニュースなど
identityjunkie.comhttp://blog.identityjunkie.com/MVP
Identity Sanderhttp://identitysander.wordpress.com/Identity関連のニュースなど

2010年2月8日月曜日

FIMパスワードリセットのアーキテクチャの紹介

おさらいになりますがFIMの全体アーキテクチャは下図のようになっています。
















FIMがMIIS/ILMと大きく違う点は、IdMプラットフォームとしてWebサービス基盤であるFIM Serviceが新たに追加されたことです。
このことにより、WS-*の標準的なプロトコルでのやり取りが可能になり、FIM PortalはもちろんOutLookをはじめ、今回のテーマであるパスワードリセットなどクライアントソリューションに幅が広がりました。

さて、本題ですがFIMにはWindowsログオンに統合されたパスワードリセット機能があります。他のIdM製品やアクセス管理製品にもパスワードリセット/リマインド機能をもつものも多数存在しますが、現実的には特に企業における導入が中々進んでいない状態です。
これは、企業でIdMを導入する際に当然情報システムへの入り口となるWindowsログオン(たいていはActive Directory)のアカウントのライフサイクルも管理することになるのですが、いざIDやパスワードを忘れた、となってもそもそもPCにログオンできなければブラウザが開けないのでパスワードリマインダ画面へ到達できなかったり、メールも見ることができないので新しいパスワードの通知も出来ない、という状態に陥るためです。
これを回避するために、パスワードリセット画面しか開けないようにグループポリシーで厳密に管理されたヘルプデスクユーザをドメイン上に用意しておいて、無理やりセルフリセットを行う、などという工夫が必要になってきてしまいます。

その点、FIMではクライアントモジュールのインストールは必要ですが、パスワードリセット機能がWindowsログオン画面にプラグインされているので、パスワードを忘れたときWindowsにログオンできなくてもあらかじめ設定した秘密の質問に答えられればパスワードのリセットが可能です。

実装の方法の解説などはそのうち紹介しようかと思いますが、今回はどうやってこのモジュールが動いているのか?について仕組みを解説したいと思います。

下の図がパスワードリセット時のメッセージの流れの全体像です。
















順番に解説していきます。

まず、関連するFIMのモジュールと役割は下記の通りです。

区分名称役割/概要
FIM ClientGate FrameworkLogonUIへのプラグイン(XP以前でいうところのカスタムGINA)。
Password Proxyを経由してFIM Serviceと通信する。
アンマネージドコードで書かれたモジュール。
Password ProxyFIM Serviceと実際のやり取りを行うWebサービスクライアント。
マネージドコードで書かれたモジュール。
FIM Service[MPR]Anonymous users can reset their passwordパスワードリセット要求があった際に呼び出されるMPR(Managed Policy Rule)。
認証ワークフローのPassword Reset AuthN WorkflowとアクションワークフローのPassword Reset Action Workflowが設定されている。
[AuthN WF]Password Reset AuthN Workflowパスワードリセットを実行する前に実施される認証ワークフロー。
Active Directoryによる認証、ロックアウトゲート、QAゲートが含まれる。
[Action WF]Password Reset Action Workflow実際にパスワードをリセットするためのアクションワークフロー。
WMI経由でFIM Synchronization ServiceのAD MAを呼び出す。
FIM Synchronization ServiceAD MA(Active Directory MA)実際にActive Directoryのパスワード属性を変更する。


次に実際にパスワードリセットが行われる際のシーケンスは下記の通りです。

項番モジュール動作概要
1Gate Frameworkユーザからのパスワードリセット要求を受けてPassword Proxyを呼び出す
2Password ProxyFIM Serviceに対して「User.ResetPassword」属性の変更を要求する
3FIM Service項番2をトリガーにMPR「Anonymous users can reset their password」を呼び出す。(Anonymousで呼び出す)
4Password Reset AuthN WorkflowAnonymousでの呼び出しなので認証失敗となり、AuthNRequestFaultを返却する。この際、FIM ServiceのSTS(Security Token Service)のエンドポイントアドレスを返却する。
5Password ProxyFIM ServiceのSTSへ入力されたユーザ名を渡す。
6FIM Service STS当該ユーザに設定されている質問リストを返却する。
7Password ProxyGate Frameworkを経由してLogonUIに質問リストを表示する。
8Gate Frameworkユーザが入力した質問への回答をPassword Proxyへ渡す
9Password ProxyFIM ServiceのSTSへ入力された質問への回答を渡す。
10FIM Service STS回答があっていれば、セキュリティトークンを発行する
11Password ProxyMPRへ取得したセキュリティトークンを渡し、ワークフローの実行が継続される。
12Password Reset Action Workflow新しいパスワードを使い、WMI経由でFIM Synchronization ServiceのSetPasswordを呼び出す。(FIM Service Accountユーザの権限)
13Active Directory MAActive Directory上の当該ユーザのパスワード属性をリセットする。(AD MAに設定されたユーザの権限)



この通り、それなりに複雑な手順を踏んでパスワードがリセットされることを鑑み、
・FIM Serviceの冗長化(可用性の維持、パフォーマンスの考慮)
・FIM Synchronization Serviceの冗長化(MIIS/ILMの頃のように一日一回のバッチ処理専用サーバではなくなっていることを意識)
を考慮したサイジング、トポロジ設計が必要になります。
※当然のことですが、AD MAは絶対に作成することも必要。

フロント(クライアントからの要求を処理するため)のFIM Serviceとバッチ処理に対応するためのFIM Serviceを分離することも可能なので、またシステム構成の考え方と対応する実装方法についてはご紹介したいと思います。

ちなみに、今回のエントリを含めFIMのSSPR(Self Service Password Reset)に関してはAnthony Ho氏のblogが詳しいです。

2010年2月3日水曜日

[SAP NetWeaver Identity Management]スクリプトのデバッグ方法

久しぶりにSAP NetWeaver Identity Managementについてです。。
SAP NetWeaver IdMでは基本的にロジックの実装はVBScriptやJava Scriptで行うのですが、微妙に製品に組み込まれているので製品のAPIも含めたデバッグは苦労するポイントです。

そのあたりの方法がこの動画で解説されています。

右上のDownload Mediaでmp4ファイルがダウンロードできます。

デバッグ用のGUIを起動するためのバッチファイルを作成しないといけないのが面倒ですが、実際に開発をする際は必須なのでこの方法でやるしかないですね。


またこの記事を書いているOliver Noconさんですが、他にもReportingに関する動画なども公開しています。



なかなか情報が少ない製品ですが、メーカもある程度開発者向けの情報をDeveloper Networkで公開しているので、眺めてみると発見があるかも知れません。(少なくともMaXware時代よりは情報が公開されている気がします)

2010年2月2日火曜日

ILM2007FP1 Service Pack1(build 3.3.1139.2)

FIMのリリースを目前に控え、Hands-on Labなど各種イベントなども本国では企画されているようですが、まだまだ現役なILM2007FP1にService Packがリリースされています。

更新内容ですが、大きな点はExchange2010へのプロビジョニングのサポートです。
具体的には、GALSync MA もしくはAD MAでExchange Server 2010 へのプロビジョニングが可能になっています。※ドロップダウンボックスでExchange2010か2007かを選択できるようになっています。

ただし、この機能を使うための条件が数点。
  • ILM2007のサービスアカウントがドメインアカウントであること
  • ILM2007サーバドメインに参加していること(プロビジョニング対象のドメインでなくてもOK)
  • ILM2007サーバにPowerShell2.0がインストールされていること(このことにより、ILMサーバのローカルにExchange管理コンソールをインストールしなくてもOKになっています)
  • Exchange2010で使われるmsExchHomeServerName属性を操作するためにはExchangeUtils.CreateMailboxメソッドを使うこと

尚、前のエントリで紹介したとおり、ほぼ同時期にリリースされたFIM2010RC1 Update3についても同様の機能が追加されています。基本的にILM2007とFIM Synchronization Serviceはほぼ同じものなので、しばらくは並行してUpdateされることになるのかも知れません。

2010年2月1日月曜日

FIM2010RC1 Update3リリース

月末~月初ということで更新が滞っていましたが、その間にFIM関連も少々情報UPDATEがありましたので、お知らせします。

本題ですが、本UPDATEがリリース前の最終UPDATEだそうです。
connectサイトにて配布が開始されています。

UPDATE内容は下記の通りです。

1.前提となる環境
  ※このUPDATEから必要となる環境が変わっているので注意が必要です。
  • Windows Installer 4.5
  • FIM Service : SQL Server 2008 Service Pack 1
  • Outlook用Add-In : Outlook 2007 Service Pack 2

2.新しくサポートされた環境
  
 ◆FIM Certificate Management向け
  • Windows Server 2008 R2
  • Windows Server Datacenter Edition
 ◆プロビジョニング先として
  • Exchange2010
 ◆その他
  • SQL ServerのFailOver Clusterのサポート
  • FIM Serviceを停止しない状態でのデータベースバックアップのサポート

3.改善点(中心はFIM Synchronization Service)

  • バグ修正(マルチマスタ属性関連)
  • FIM MAがexport中のエラーメッセージを保持する様に修正(FIM Synchronization Serviceのイベントログを見る必要性がなくなった)
  • リソースの削除を行う権限を持つMAを複数持つことを可能とした
  • 以下の2つのプロビジョニング用の関数を追加した
  • 1)NULL
  • 2)ReplaceString
  • GAL MAのサポート(ILM2007 FP1 SP1と同様の改善)
  • Forestまたぎのグループ管理用にDomainSynchronizationActivityの代わりにビルトインロジックの導入

4.新しいMPRタイプの追加

  • Set Transition MPR(Setのメンバシップの変更時に適用するポリシーの作成を簡単にすることが可能)

尚、このアップデートを適用することにより、グループ管理ワークフローの定義を削除してしまうので、注意が必要です。