Einrichten eines Identitätsverwaltungsservers: Windows Server 2019 oder höher

« Vorbereiten einer DomäneSQL Server »

Hinweis

In diesem Leitfaden werden Beispielnamen und Werte aus einem Unternehmen namens Contoso verwendet. Ersetzen Sie diese durch Ihre eigenen. Beispiel:

  • Domänencontrollername – corpdc
  • Domänenname – contoso
  • MIM-Dienstservername - corpservice
  • MIM-Synchronisierungsservername – corpsync
  • SQL Server-Name – corpsql
  • Kennwort - Pass@word1

Fügen Sie Windows Server 2019 zu Ihrer Domäne hinzu

Starten Sie mit einem Windows Server 2019-Computer mit mindestens 8 bis 12 GB RAM. Geben Sie bei der Installation die Edition "Windows Server 2019 Standard/Datacenter (Server with a GUI) x64" an.

  1. Melden Sie sich als Administrator beim neuen Computer an.

  2. Geben Sie dem Computer mithilfe der Systemsteuerung eine statische IP-Adresse im Netzwerk. Konfigurieren Sie diese Netzwerkschnittstelle, um DNS-Abfragen an die IP-Adresse des Domänencontrollers im vorherigen Schritt zu senden, und legen Sie den Computernamen auf CORPSERVICE fest. Für diesen Vorgang ist ein Serverneustart erforderlich.

  3. Öffnen Sie die Systemsteuerung, und verbinden Sie den Computer mit der Domäne, die Sie im letzten Schritt konfiguriert haben, contoso.com. Dieser Vorgang umfasst das Bereitstellen des Benutzernamens und der Anmeldeinformationen eines Domänenadministrators wie Contoso\Administrator. Nachdem die Willkommensmeldung angezeigt wurde, schließen Sie das Dialogfeld, und starten Sie diesen Server erneut.

  4. Melden Sie sich beim Computer CORPSERVICE als Domänenkonto mit dem administrator des lokalen Computers an, z. B. Contoso\MIMINSTALL.

  5. Starten Sie ein PowerShell-Fenster als Administrator, und geben Sie den folgenden Befehl ein, um den Computer mit den Gruppenrichtlinieneinstellungen zu aktualisieren.

    gpupdate /force /target:computer

    Nach nicht mehr als einer Minute wird die Meldung "Das Computerrichtlinienupdate wurde erfolgreich abgeschlossen" erscheinen.

  6. Fügen Sie die Webserver- und Anwendungsserverrollen, die Features .NET Framework 3.5, 4.0 und 4.5 sowie das Active Directory-Modul für Windows PowerShell hinzu.

    Abbildung der PowerShell-Features

  7. Geben Sie in PowerShell die folgenden Befehle ein. Beachten Sie, dass möglicherweise ein anderer Speicherort für die Quelldateien für .NET Framework 3.5-Features angegeben werden muss. Diese Features sind in der Regel nicht vorhanden, wenn Windows Server installiert wird, aber sie sind im Side-by-Side (SxS)-Ordner auf dem Installationsdatenträger des Betriebssystems verfügbar, z. B. "*d:\Sources\SxS*".

    import-module ServerManager
Install-WindowsFeature Web-WebServer, Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Application-Server,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS

Konfigurieren der Serversicherheitsrichtlinie

Richten Sie die Serversicherheitsrichtlinie ein, damit die neu erstellten Konten als Dienste ausgeführt werden können.

Hinweis

Je nach Konfiguration müssen Sie nur einzelne Server(alle-in-1) oder verteilte Server hinzufügen, basierend auf der Rolle des Mitgliedscomputers, z. B. Synchronisierungsserver.

  1. Starten des Programms für lokale Sicherheitsrichtlinien

  2. Navigieren Sie zu „Lokale Richtlinien > Benutzerrechte-Zuweisung“.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf "Als Dienst anmelden", und wählen Sie "Eigenschaften" aus.

    Abbildung der lokalen Sicherheitsrichtlinie

  4. Wählen Sie Benutzer oder Gruppe hinzufügen und geben Sie im Textfeld folgendes auf Grundlage der Rolle contoso\MIMSync; contoso\MIMMA; contoso\MIMService; contoso\SharePoint; contoso\SqlServer; contoso\MIMSSPRein, wählen Sie Namen überprüfen und klicken Sie auf OK.

  5. Wählen Sie "OK " aus, um das Fenster "Anmelden als Diensteigenschaften " zu schließen.

  6. Klicken Sie im Detailbereich mit der rechten Maustaste auf " Zugriff auf diesen Computer verweigern" aus dem Netzwerk, und wählen Sie "Eigenschaften" aus.>

  7. Wählen Sie "Benutzer oder Gruppe hinzufügen" aus, und klicken Sie im Textfeldtyp contoso\MIMSync; contoso\MIMService auf "OK".

  8. Wählen Sie OK aus, um das Fenster 'Zugriff auf diesen Computer vom Netzwerk verweigern – Eigenschaften' zu schließen.

  9. Klicken Sie im Detailbereich mit der rechten Maustaste auf Deny log on locally, und wählen Sie Eigenschaften aus.

  10. Wählen Sie "Benutzer oder Gruppe hinzufügen" aus, und geben contoso\MIMSync; contoso\MIMService Sie im Textfeld "OK" ein.

  11. Wählen Sie OK, um das Fenster Protokolle zu lokalen Eigenschaften verweigern zu schließen.

  12. Schließen Sie das Fenster "Lokale Sicherheitsrichtlinie".

Softwareanforderungen

Stellen Sie vor der Installation von MIM 2016 SP3-Komponenten sicher, dass Sie alle Softwarevoraussetzungen installieren:

  1. Installieren Sie Visual C++ 2013 Redistributable Packages.

  2. Installieren Sie .NET Framework 4.6.

  3. Auf dem Server, auf dem MIM-Synchronisierungsdienst gehostet wird, erfordert DER MIM-Synchronisierungsdienst SQL Server Native Client.

  4. Auf dem Server, auf dem MIM-Dienst gehostet wird, erfordert MIM-Dienst .NET Framework 3.5.

  5. Wenn Sie optional DEN TLS 1.2- oder FIPS-Modus verwenden, erfahren Sie mehr dazu unter MIM 2016 SP3 in „nur TLS 1.2“ oder FIPS-Modus-Umgebungen.

Ändern des IIS-Windows-Authentifizierungsmodus bei Bedarf

  1. Öffnen Sie ein PowerShell-Fenster.

  2. Beenden von IIS mit dem Befehl iisreset /STOP

    iisreset /STOP
C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /START

« Vorbereiten einer DomäneSQL Server »

  • Last updated on