FIM : installer Microsoft Password Change Notification Service (PCNS)

    Cet article décrit comment installer PCNS (Password Change Notification Service) dans une infrastructure Microsoft.

    PCNS permet de synchroniser les mots de passe réinitialisés depuis Active Directory (AD) vers Forefront Identity Manager (FIM).

    Prérequis et recommandations

    Avant d'installer PCNS, il est nécessaire de disposer des droits sur :

    • le/les contrôleur(s) de domaine
    • le serveur FIM (droits pour accéder au moteur de synchronisation et configurer les Management Agent)
    • les binaires pour PCNS (32 ou 64 bits) disponibles sur le site de Microsoft ou directement sur le .ISO de l'installeur FIM

     

    Détails des droits :

    OperationsPermissions accordées
    Installation de PCNSSi le schéma Active Directory doit être mis à jour, vous devez être membre des groupes Administrateurs du schéma ou Administrateurs de l'entreprise. Si le schéma Active Directory est déjàà jour, vous devez être membre du groupe Administrateurs du domaine
    Synchronisation de mot de passe entre deux forêtIl doit y avoir une approbation de forêt bidirectionnelle établie entre les forêts Active Directory

     

    Ports à ouvrir :

    ServiceProtocolPort
    RPC Endpoint mapperTCP135
    Dynamic RPC ports (PCNS)TCP5000 - 5100
    Dynamic RPC ports (management agent for Active Directory)TCP57500 - 57520

     

     

    Voir également les recommandations suivantes :

    • Il est recommandé d'installer PCNS sur tous les contrôleurs de domaine qui seront utilisés pour traiter les réinitialisations de mot de passe
    • Il sera nécessaire de redémarrer les contrôleurs de domaine après l'installation PCNS (il sera donc interessant de disposer de deux contrôleur de domaine afin de ne pas occasionner de coupure de service)

     

     

    Etendre le schéma Active Directory pour prendre en compte le service PCNS (sur la forêt)

    Dans un premier temps, il est nécessaire d'étendre le schéma Active Directory. L'extension de schéma AD est toujours une phase délicate et réfléchie car cela est répercutée sur l'intégralité de la forêt.

    Voici les changement qu'occasionne cette extension de schéma :

     

    Schéma : classe d'objet ajoutée par PCNS

    CN

    ID

    MS-MIIS-PCNS-Target

    1.2.840.113556.1.5.249

    MS-MIIS-PCNS-Service

    1.2.840.113556.1.5.250

     

     Schéma : Attribut ajouté par PCNS

    CN

    ID

    MS-MIIS-PCNS-TargetGUID

    1.2.840.113556.1.4.1895

    MS-MIIS-PCNS-TargetSPN

    1.2.840.113556.1.4.1896

    MS-MIIS-PCNS-TargetServer

    1.2.840.113556.1.4.1897

    MS-MIIS-PCNS-TargetAuthenticationService

    1.2.840.113556.1.4.1898

    MS-MIIS-PCNS-TargetUserNameFormat

    1.2.840.113556.1.4.1899

    MS-MIIS-PCNS-TargetKeepAliveInterval

    1.2.840.113556.1.4.1900

    MS-MIIS-PCNS-TargetDisabled

    1.2.840.113556.1.4.1901

    MS-MIIS-PCNS-TargetEncryptionKey

    1.2.840.113556.1.4.1902

    MS-MIIS-PCNS-ServiceMaxQueueLength

    1.2.840.113556.1.4.1903

    MS-MIIS-PCNS-ServiceMaxQueueAge

    1.2.840.113556.1.4.1904

    MS-MIIS-PCNS-ServiceMaxNotificationRetries

    1.2.840.113556.1.4.1905

    MS-MIIS-PCNS-ServiceRetryInterval

    1.2.840.113556.1.4.1906

    MS-MIIS-PCNS-TargetExclusionSID

    1.2.840.113556.1.4.1908

    MS-MIIS-PCNS-TargetInclusionSID

    1.2.840.113556.1.4.1909

    MS-MIIS-PCNS-TargetQueueWarningLevel

    1.2.840.113556.1.4.1911

    MS-MIIS-PCNS-TargetQueueWarningInterval

    1.2.840.113556.1.4.1912

     

     

    Une fois que vous êtes connecté en administrateur du schéma, exécutez la commande suivante en ciblant le binaire PCNS :

    MSIEXEC.EXE /i "Password Change Notification Service.msi" SCHEMAONLY=TRUE

    Cliquez sur Next.

    L'extension de schéma est maintenant finalisée. Il ne manque plus qu'à redémarrer le DC.

     

     

    Installation de PCNS (sur chaque contrôleur de domaine)

    Il est nécessaire d'installer PCNS sur chaque contrôleur de domaine susceptible de réaliser des réinitialisation de mot de passe.

    Dans le cas ou vous ne le feriez pas, la propagation du mot de passe ne sera pas effective depuis les DCs ou PCNS n'est pas installé.

     

    Exécutez Password Change Notification Service_x64.msi

    Acceptez l'EULA et Next

    Redémarrer le DC et vérifier que le service PCNS est bien démarré.

    Maintenant, le service de synchronisation de mot de passe est installé. Suivez ce tuto concernant la configuration du service PCNS (FIM : configurer Microsoft Password Change Notification Service (PCNS).

     

    Bonne lecture et n'hésitez pas à commenter  ;)

    Joris



    Leave your comments

    Post comment as a guest

    0
    Your comments are subject to administrator's moderation.
      • No comments found

      Menu principal