久しぶりにFIM2010ネタを。
FIM2010ではMIIS/ILMから引き続き管理エージェント(MA)を使った同期設定・実行を行う
FIM Synchronization Serviceとポータル等のWebサービスを管理する
FIM Serviceの2つのサービスが稼働しています。
同期対象のリソースを設定する際は、
1.Synchronization Service Managerで管理エージェントを作成する
→同期対象のリソースへの接続設定等を行う
2.管理者ポータルで同期規則、ワークフロー、管理ポリシー規則を作成する
→細かな同期条件や属性フロー設定等を行う
という流れになります。
当然1のSynchronization Service Manager(Synchronization Service側)で作った管理エージェントの設定情報が2の管理者ポータル(FIM Service側)に同期されていないと同期規則を正しく設定できません。
正しくシステムが動作している時は2つのサービスの間で管理エージェントの情報のレプリケーションが実行されているのですが、過去に2回ほどいくらSynchronization Service Managerで管理エージェントを作っても管理者ポータルから見えない、という状態になったことがあります。
その状態になった時はイベントログに以下の様な情報が記録されます。
****************************************
管理エージェントまたはメタバースの構成の更新内容を、ターゲットのコネクターディレクトリにレプリケートできませんでした。その結果、このコネクターディレクトリーの管理エージェントまたはメタバース構成は最新の状態ではありません。 エラーの原因である状態を解決して、ターゲット管理エージェントのパスワード情報を更新するこ とで、再同期が行われるようにしてください。
追加情報:
エラー コード: 0x80230709
エラー メッセージ: (The extension operation aborted due to an internal error in FIM Synchronization Service.)
操作: Update MA
レプリケート対象の管理エージェントの名前: AD MA
レプリケート対象の MA の GUID: {C7DB5C1A-8D98-4F1A-8AFE-8C2E198DADEF}
ターゲットの MA の名前: FIM MA
ターゲットの管理エージェントの GUID: {8676CD7A-9ADA-455C-9363-714FAE21CC6D}
****************************************
原因は2つのサービスの間で情報のレプリケーションがうまくいっていないことなのですが、どうやって解消するのか調べているとこんなページが出てきました。
http://idamd.blogspot.com/2010/06/ma-attributes-not-listed-in-fim-sync.htmlどうもうまくいっていないようです。再インストールしかないのか?と思いもう少し調べていると以下のKBにたどり着きました。
Update Package 1 for Microsoft Forefront Identity Manager (FIM) 2010
http://support.microsoft.com/kb/978864要するにFIM ServiceとFIM Synchronization Serviceのパッチのバージョンを合わせる必要があるとのこと。
いわれてみれば当たり前なのですが、はまりポイントはMicrosoft Updateを使う場合、
・FIM Serviceのパッチは
重要な更新・FIM Synchronization Serviceのパッチは
オプション更新である点です。
つまり、Synchronization Service側のパッチは明示的に選択しないとインストールされないので両者の更新状況にズレが発生してしまいます。
運用するうえでは気を付けないといけませんね。
ちなみにSynchronization Service側も更新したら正常にレプリケーションが開始され、ちゃんと管理エージェント情報が管理者ポータルからも参照できるようになりました。