IdM実験室: [MIM]同一サーバにMIM Service/PortalとSynchronization Serviceを同居する際の注意点

2015年10月10日土曜日

[MIM]同一サーバにMIM Service/PortalとSynchronization Serviceを同居する際の注意点

こんにちは、富士榮です。

本番環境ではMicrosoft Identity Manager（MIM）Synchronization ServiceとMIM Service/Portalは分離すると思うので、あまり問題になることはありませんが、開発や検証環境では一台のサーバ上に環境を作ることも多いと思います。

しかし、本番環境になるべく近い構成にするためにMIM Service/PortalのベースとしてStandard/Enterprise EditionのSharePointをインストールすると、同梱されているUser Profile Service（実体はFIM Synchronization Service）がインストールされてしまいます。

このことにより、MIM Synchronization Serviceの構成が壊れてしまうので、検証環境等でMIM Synchronization ServiceとMIM Service/Portal（およびベースとなるSharePoint）を同一のサーバにインストールする場合は注意が必要です。
（SharePoint FoundationにはUser Profile Serviceが入っていないので問題は起きません）

Microsoft Identity Manager 2016 のポータル

早速見ていきましょう。

◆発生条件
・MIM Synchronization ServiceとMIM Service/Portalを一台のサーバに同居する
・Standard/EnterpriseエディションのSharePointを利用する

◆発生する不具合
・MIM Synchronization Serviceをインストールした後でSharePointをインストールするとSynchronization Service Managerが起動しなくなる。
　・サービス実行ファイルのパスがSharePoint側のFIM Synchronization Serviceになってしまう

　・サービス実行アカウントが「\」となってしまう

　・サービス起動設定が無効化となってしまう
　・アカウントをSynchronization Service用に設定しなおしてもAccess Deniedエラーが出てサービスが起動しない

◆対策
結局のところ、サービスの設定のパス関係がすべて置き換わってしまっているので修正をする必要があります。
レジストリをガンガン触りますので、基本自己責任です。

①レジストリのサービス関連ファイルのパス修正

対象キー①
HKLM\SYSTEM\CurrentControlSet\Services\FIMSynchronizationServive\ImagePath

修正前）
"C:\Program Files\Microsoft Office Servers\15.0\Synchronization Service\Bin\miiserver.exe"
修正後）
"C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\Bin\miiserver.exe"

対象キー②
HKLM\SYSTEM\CurrentControlSet\Services\FIMSynchronizationServive\Parameters\Path

修正前）
C:\Program Files\Microsoft Office Servers\15.0\Synchronization Service\
修正後）
C:\Program Files\Microsoft Forefront Identity Manager\2010\Synchronization Service\

※その他、Management Agent関連のパスも修正が必要になる場合もあります。

②サービス実行ユーザの修正
「\」となっているのでSynchronization Service実行ユーザに変更する

③パーミッションの変更
上記①、②でサービス自体の修正は終わりなのですが、どうやらPeopleILMなどSharePoint側の設定で消えないものがあるらしく、Synchronization Service起動ユーザにSharePoint側のSynchronization Serviceのパスへの読み取り・実行権限を与える必要があります。

C:\Program Files\Microsoft Office Servers\15.0\Synchronization Service\

一応ここまでで使えるようになります。

◆他の解決方法
インストールする順番をSharePoint⇒MIM Synchronization Serviceの順にすることでSharePoint側の設定を逆にMIMが上書きするのでレジストリの修正は不要になります。
が、やはりPeopleILM関係の問題は出るので、上記③の権限付与は必要です。

◆根本的な解決方法
「SharePoint Foundationを使う」。これに限ります。
基本は同居構成の場合はSharePoint Foundationを使いましょう。

0 件のコメント:

コメントを投稿

IdM実験室

2015年10月10日土曜日

[MIM]同一サーバにMIM Service/PortalとSynchronization Serviceを同居する際の注意点

0 件のコメント:

IdM実験室 - 別館（MSDN/Channel9）など

Translate

ブログアーカイブ

Twitter Updates

オススメ書籍

FIM / AD 関連リソース

Identity関連Blog

FIM/ILM関連Blog

AD FS/WIF/ACS関連Blog

Award

Award

自己紹介

プライバシーポリシー

IdM実験室

2015年10月10日土曜日

[MIM]同一サーバにMIM Service/PortalとSynchronization Serviceを同居する際の注意点

0 件のコメント:

IdM実験室 - 別館（MSDN/Channel9）など

Translate

ブログ アーカイブ

Twitter Updates

オススメ書籍

FIM / AD 関連リソース

Identity関連Blog

FIM/ILM関連Blog

AD FS/WIF/ACS関連Blog

Award

Award

自己紹介

登録

プライバシーポリシー

ブログアーカイブ