Mit dem Betrieb der Standardinstallation eines SharePoint 2010 wird schnell auffallen, dass der User-Account-Abgleich zum zugundeliegenden Active Directory nicht automatisch eingerichtet ist. In ein paar Schritten lässt sich das aber in der Regel problemlso nachrüsten.
1. Vorbereitungen
1.1 Synchronisationsaccount erstellen
Zuerst muss ein Account erstellt werden, der den AD Sync durchführen soll. Der Name kann frei gewählt werden z.B.: sp_ad-sync
1.2 Berechtigungen im Active Directory
Unter Start > Administrative Tools > Active Directory Users and Computers die Domäne anwählen und per Rechtsklick Delegate Control ausführen.
Hier ist der neu angelegte Account auszuwählen.
Auf der Tasks to Delegate Seite ist mit Create a custom task to delegate fortzufahren.
Darauf ist die Option This folder, existing objects in this folder, and creation of new objects in this folder zu wählen und anschließen im Berechtigungsfeld Replicate Directory Changes anzuhaken.
1.3 Zu “Pre-Windows 2000 Compatible Access” hinzufügen
Der just erstellte Account muss noch der Gruppe Pre-Windows 2000 Compatible Access als Mitglied hinzugefügt werden.
1.4 Berechtigungen im AD-Schema
Den ADSIEdit aufrufen und die Configuration Partition der zu bearbeitenden Domäne/Domain Controller wählen.
Den Configuration-Knoten aufklappen und CN=Configuration,DC=… rechtsklicken und die Eigenschaften öffnen.
Im Security-Tab den neuen Account hinzufügen und das Recht Replicating Directory Changes geben.
1.5 Forefont Service
(betrifft den Server, der den “User Profile Synchronization Service” ausführt)
Beide Dienste Forefront Identity Manager Service und Forefront Identity Manager Synchronization Service müssen im Run-Modus Automatic laufen.
2. (Optional) vorhandene User Profile Service Application löschen
3. Neue User Profile Service Application anlegen
Unter Central Administration > Application Management > Manage Service Applications aus der Ribbon-Leiste New aufklappen und User Profile Service Application auswählen.
Name: AD Sync – User Profile Service Application
Create new application pool: WSS_ADSYNC
Select security account for this application pool: z.B. den Farm Account
(die Namen/Bezeichnungen können natürlich frei gewählt werden)
4. den AD-Sync Service konfigurieren
Unter Central Administration > System Settings > Manage services on server den User Profile Synchronization Service starten.
Im Konfigurationsfenster die gerade angelegte AD Sync – User Profile Service Application auswählen und das Passwort für das verwendete Service-Account angeben.
Der Dienst wird im Modus Starting hängen bleiben. Jetzt muss unter den Computer Diensten noch einmal verifiziert werden, dass der Forefront Identity Manager Synchronization Service nicht auf Disabled steht (stattdessen Manual oder Automatic. Ist dies gesetzt, starten die Forefront Dienste und auch der User Profile Synchronization Service wird als Started angezeigt.
Jetzt ist im administativen Kontext eine Eingabeaufforderung zu öffnen und folgender Befehl abzusetzen:
IISRESET5. Verbindung und Datenimport aus dem AD konfigurieren
Unter Central Administration > Application Management > Manage Service Applications AD Sync User Profile Service Application auswählen und in der Ribbon-Leiste Manage anklicken.
Hier ist Configure Synchronization Connections auszuwählen und anschließend Create New Connection.
Name: AD Sync ConnectionType: Active Directory
Forest Name: der Name der Zieldomäne
Authentication Provider Type: Windows Authentication
Account name: hier ist der Account aus 1. einzusetzen (ebenso das Passwort)
Port: 389
Im Feld Containers ist der Button Populate Containers zu drücken und anschließend darunter Select All.
Nach Bestätigung der Eingabe wird die Anfrage bearbeitet.
6. (Optional) Synchronisationsoptionen festlegen
7. Profilsynchronisation starten
Unter Central Administration > Application Management > Manage Service Applications AD Sync User Profile Service Application auswählen und in der Ribbon-Leiste Manage anklicken.
Hier ist Start Profile Synchronization auszuwählen und mit Start Full Synchronizaion der Abgleich zu starten.
Jetzt ist der Status der übermittelten Objekte zu sehen und der Taskplan abzulesen. Dieser steht in der Regel auf täglich 01:00.Um dies zu ändern ist unter AD Sync User Profile Service Application in der Ribbon-Leiste Manage anzuklicken und Configure Synchronization Timer Job zu wählen.
