Permalink

1

Forefront Identity Manager-Falle bei SharePoint 2010 User Profile Synch

Microsoft hat auf TechNet zwar ausführlich dokumentiert wie man den User Profile Synch konfiguriert, jedoch wird nirgends drauf eingegangen was zu tun ist, wenn es nicht läuft. Mittlerweile gibt es allerhand Dokumentation im Web wie man den Synch Service zu Laufen bekommt und welche Rechte der User benötigt um den AD Synch durchzuführen. Hierbei ist die Rede von „Replication Directory Changes“. Einen sehr ausführlichen Blogeintrag findet man hier.

Steffen Fischer und ich bearbeiteten zusammen genau ein solches Problem. Die Synchronisation war über das UI konfiguriert, aber nichts bewegte sich. Als die Synchronisation Connection erstellt war und den Synch das erste Mal gestartet, erhielten wir folgenden Fehler im Eventlog.

Alle Quellen im Web besagen, dies liegt an mangelnden Rechten im AD. Das ist aber nicht ganz richtig.

Wie man sieht sind die FIM Dienste richtig gestartet. Dieser User hat im AD auch die Replication Rechte – es funktioniert aber dennoch nicht.

Schauen wir uns mal näher die Konfiguration des Forefront Identity Managers (FIM) an.

Unter „Management Agents“ rechts Klick auf unseren erstellten Synch Connection und dann auf Properties.

Hier finden wir nun unter „Configure Directory Partitions“ einen Eintrag, den wir nicht erstellt haben, dass System jedoch selbst zusätzlich generiert hat.

CN=Configuration,DC-dev,DC=local

Bei diesem ersten Eintrag das Häkchen entfernen und OK klicken.

Als nächstes wird bemängelt, dass ein Attribut nicht mehr unterstützt wird.

Unter „Configure Attribute Row“ das markierte Attribut entfernen und mit OK bestätigen.

Öffnet man die Properties erneut, wird nun nur noch der konfigurierte Eintrag angezeigt.

Es wurde jedoch auch noch an einer anderen Stelle doppelte Einträge erstellt, die noch bereinigt werden müssen. Dazu unter „Management Agents“ rechts Klick auf unseren erstellten Synch Connection und dann auf „Configure Run Profiles“.

Im folgenden Dialog in allen Profilen außer dem ersten (DS_EXPORT) den „Step 1“ entfernen (Klick Delete Step) und mit OK bestätigen. Dieser entspricht dem fehlerhaften Eintrag bei den Properties.

Bei allen Profilen sollte nun nur noch ein „Step1“ vorhanden sein.

Startet man in der UI nun den AD Synch, läuft er auch so wie er soll.

Hoffen wir das Microsoft an dieser Stelle noch etwas Fine Tuning betreibt. Denn Transparent ist das wirklich nicht.

Autor: Christoph Müller

Christoph Müller ist Consultant, Blogger und Podcaster rund ums Thema SharePoint, Digital Transformation, Cloud, Mobile und Netzpolitik.