PCNS

  • FIM : configurer Microsoft Password Change Notification Service (PCNS)

    Cet article décrit comment configurer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

    PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM). FIM, propage ensuite le mot de passe sur les Management Agent configurés.

    Prérequis et recommandations

    La première étape consiste à installer PCNS sur les contrôleurs de domaine.

    Pour cela, je vous invite à suivre l'article suivant : FIM : installer Microsoft Password Change Notification Service (PCNS)

     

    Configuration de PCNS sur le DC

    La première étape consiste à placer le Service Principal Name (SPN).

    Voici la commande à passer :

    setspn -A PCNSCLNT/srv-fimengine.main.consulting.com main\svc_fimsync

     

    Il est nécessaire de réaliser la même commande si vous disposez d'un second serveur FIM (PRA / Haute Dispo en mode dégradé...).

    Vérifiez la bonne création du SPN, soit en ligne de commande, soit directement en interface graphique.

    setspn -L main\svc_fimsync

  • FIM : installer Microsoft Password Change Notification Service (PCNS)

    Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

    PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM).

    Prérequis et recommandations

    Avant d'installer PCNS, il est nécessaire de disposer des droits sur :

    • le/les contrôleur(s) de domaine
    • le serveur FIM (droits pour accéder au moteur de synchronisation et configurer les Management Agent)
    • les binaires pour PCNS (32 ou 64 bits) disponibles sur le site deMicrosoftou directement sur le .ISO de l'installeur FIM

     

    Détails des droits :

    Operations Permissions accordées
    Installation de PCNS Si le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjà à jour, vous devez être membre du groupe Administrateurs du domaine
    Synchronisation de mot de passe entre deux forêt Il doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory

     

    Ports à ouvrir :

    Service Protocol Port
    RPC Endpoint mapper TCP 135
    Dynamic RPC ports (PCNS) TCP 5000 - 5100
    Dynamic RPC ports (management agent for Active Directory) TCP 57500 - 57520

     

     

    Voir également les recommandations suivantes :

    • Il est recommandé d'installer PCNS sur tous les contrôleurs de domaine qui seront utilisés pour traiter les réinitialisations de mot de passe
    • Il sera nécessaire de redémarrer les contrôleurs de domaine après l'installation PCNS (il sera donc interessant de disposer de deux contrôleur de domaine afin de ne pas occasionner de coupure de service)

     

     

    Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)

    Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.

  • FIM : liste des erreurs du service PCNS

    Résumé des erreurs remontées par le service Password Change Notification Service (PCNS).

    Liste des erreurs

    EventSeverityDescription

    6919

    Information

    The password synchronization set operation was not performed because the timestamp was out of date.

    6921

    Error

    The password synchronization set operation was not performed because password management is not enabled on the target management agent.

    6922

    Error

    The password synchronization set operation was not performed because password management is not configured on the target management agent.

    6923

    Warning

    The password synchronization set operation was not performed because the target connector space object could not be found in the connected data source.

    6927

    Error

    The password synchronization set operation failed because the password does not satisfy the password policy of the target connected data source.

    6928

    Error

    The password synchronization set operation failed because the password extension for the target management agent is not configured to support password set operations.

     

    Bonne lecture et n'hésitez pas à commenter  ;)

    Joris

  • FIM et le mécanisme de synchronisation de mot de passe

     

    Voici un article qui traite du mécanisme de synchronisation de mot de passe proposé par Forefront Identity Manager 2010 / R2 / R2 sp1.

    Article :  http://www.itpro.fr/a/fim-mecanisme-synchronisation-mot-passe/

     

    Une fois que vous aurez lu cet article, il ne restera plus qu'à mettre en place cette fonctionnalité :-)

    1.  Installation : http://www.it-channels.com/microsoft/forefront-identity-manager/134-fim-installer-microsoft-password-change-notification-service-pcns

    2.  Configuration : http://www.it-channels.com/microsoft/forefront-identity-manager/135-fim-configurer-microsoft-password-change-notification-service-pcns

    3.  Debug (éventuel) : http://www.it-channels.com/microsoft/forefront-identity-manager/136-fim-liste-des-erreurs-du-service-pcns 

     

    Bonne lecture et bonne installation.

    Joris

  • Forefront Identity Manager : Un correctif cumulatif (version 4.1.3634.0)

    Microsoft vient de sortir un CU pour FIM 2010 R2 SP1 : version 4.1.3634.0

    Lien de téléchargement : Télécharger le CU
     

    Joris

Qui est en ligne ?

Nous avons 93 invités et aucun membre en ligne

Please publish modules in offcanvas position.