FIM : installer Microsoft Password Change Notification Service (PCNS)

Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM).

Prérequis et recommandations

Avant d'installer PCNS, il est nécessaire de disposer des droits sur :

  • le/les contrôleur(s) de domaine
  • le serveur FIM (droits pour accéder au moteur de synchronisation et configurer les Management Agent)
  • les binaires pour PCNS (32 ou 64 bits) disponibles sur le site de Microsoft ou directement sur le .ISO de l'installeur FIM

 

Détails des droits :

Operations Permissions accordées
Installation de PCNS Si le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjà à jour, vous devez être membre du groupe Administrateurs du domaine
Synchronisation de mot de passe entre deux forêt Il doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory

 

Ports à ouvrir :

Service Protocol Port
RPC Endpoint mapper TCP 135
Dynamic RPC ports (PCNS) TCP 5000 - 5100
Dynamic RPC ports (management agent for Active Directory) TCP 57500 - 57520

 

 

Voir également les recommandations suivantes :

  • Il est recommandé d'installer PCNS sur tous les contrôleurs de domaine qui seront utilisés pour traiter les réinitialisations de mot de passe
  • Il sera nécessaire de redémarrer les contrôleurs de domaine après l'installation PCNS (il sera donc interessant de disposer de deux contrôleur de domaine afin de ne pas occasionner de coupure de service)

 

 

Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)

Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.

Voici les changement qu'occasionne cette extension de schéma :

 

Schéma : classe d'objet ajoutée par PCNS

CN

ID

MS-MIIS-PCNS-Target

1.2.840.113556.1.5.249

MS-MIIS-PCNS-Service

1.2.840.113556.1.5.250

 

 Schéma : Attribut ajouté par PCNS

CN

ID

MS-MIIS-PCNS-TargetGUID

1.2.840.113556.1.4.1895

MS-MIIS-PCNS-TargetSPN

1.2.840.113556.1.4.1896

MS-MIIS-PCNS-TargetServer

1.2.840.113556.1.4.1897

MS-MIIS-PCNS-TargetAuthenticationService

1.2.840.113556.1.4.1898

MS-MIIS-PCNS-TargetUserNameFormat

1.2.840.113556.1.4.1899

MS-MIIS-PCNS-TargetKeepAliveInterval

1.2.840.113556.1.4.1900

MS-MIIS-PCNS-TargetDisabled

1.2.840.113556.1.4.1901

MS-MIIS-PCNS-TargetEncryptionKey

1.2.840.113556.1.4.1902

MS-MIIS-PCNS-ServiceMaxQueueLength

1.2.840.113556.1.4.1903

MS-MIIS-PCNS-ServiceMaxQueueAge

1.2.840.113556.1.4.1904

MS-MIIS-PCNS-ServiceMaxNotificationRetries

1.2.840.113556.1.4.1905

MS-MIIS-PCNS-ServiceRetryInterval

1.2.840.113556.1.4.1906

MS-MIIS-PCNS-TargetExclusionSID

1.2.840.113556.1.4.1908

MS-MIIS-PCNS-TargetInclusionSID

1.2.840.113556.1.4.1909

MS-MIIS-PCNS-TargetQueueWarningLevel

1.2.840.113556.1.4.1911

MS-MIIS-PCNS-TargetQueueWarningInterval

1.2.840.113556.1.4.1912

 

 

Une fois que vous êtes connecté en administrateur du schéma, exécutez la commande suivante en ciblant le binaire PCNS :

MSIEXEC.EXE /i "Password Change Notification Service.msi" SCHEMAONLY=TRUE

Cliquez sur Next.

L'extension de schéma est maintenant finalisée. Il ne manque plus qu'à redémarrer le DC.

 

 

Installation de PCNS (sur chaque contrôleur de domaine)

Il est nécessaire d'installer PCNS sur chaque contrôleur de domaine susceptible de réaliser des réinitialisation de mot de passe.

Dans le cas ou vous ne le feriez pas, la propagation du mot de passe ne sera pas effective depuis les DCs ou PCNS n'est pas installé.

 

Exécutez Password Change Notification Service_x64.msi

Acceptez l'EULA et Next

Redémarrer le DC et vérifier que le service PCNS est bien démarré.

Maintenant, le service de synchronisation de mot de passe est installé. Suivez ce tuto concernant la configuration du service PCNS (FIM : configurer Microsoft Password Change Notification Service (PCNS).

 

Bonne lecture et n'hésitez pas à commenter  ;)

Joris


Please publish modules in offcanvas position.