Les articles publiés sur ce blog, ont pour but de partager des connaissances/concepts techniques et sont tous réalisés dans un environnement de test. Par conséquent, les auteurs dégagent toute responsabilité, de quelque ordre que ce soit, quant aux dommages directs, indirects ou consécutifs résultant de l’utilisation des informations contenus dans ceux-ci.
Cet article est le second de la série sur l’installation de MIM. Le premier correspond à l’installation du moteur de synchronisation : Installation du moteur de synchronisation MIM 2016 SP1 (FIMSync)
Prérequis
Hardware et system
|
Système d’exploitation |
Windows Server 2008 x64 ou plus |
|
Processeur |
Architecture X64 |
|
Mémoire |
2 Go de RAM minimum |
|
Disque Dur |
2 Go d’espace disque disponible |
Le serveur sur lequel l’installation MIM est réalisée dans cet article a les caractéristiques techniques suivantes (VM Hyper-v):
|
Système d’exploitation Software Features |
Windows Server 2022 standard SQL Server 2019 .net framework 4.8 Windows PowerShell 5.1 XPS Viewer |
|
Processeur |
8 vCPu |
|
Mémoire |
4 Go de RAM |
|
Disque Dur |
100 Go d’espace disque disponible |
Le portail MIM utilise SharePoint 2019.
Comptes de service
Les noms des comptes indiqués ci-dessous, sont à titre d’exemple :
|
Nom |
Fonction |
|
Svc_mimadmin |
Compte d’installation du portail MIM (bris de glace) |
|
Svc_mimser |
Exécute le service MIM portal |
|
Svc_mimsp |
Compte de service sharepoint et app pool IIS |
|
Svc_mimMAxx |
Compte de service pour les Managements Agents |
DNS
Créer un enregistrement DNS ayant les caractéristiques suivantes :
- Type : A
- Nom : <fqdn d’accès au portail MIM (ex :mimportal.red.lab)>
- IP : <ip du serveur MIM>
Dans un environnement de production, il peut être judicieux de déployer 2 serveurs MIM. En effet le portail MIM supporte 2 noeuds actifs contrairement au moteur de synchro. Par conséquent, l’enregistrement DNS créé précédemment correspondra au nom de la VIP.
Sharepoint 2019
|
Fichier |
Lien |
|
Microsoft SQL Server 2012 SP4 Native Client |
https://www.microsoft.com/en-us/download/details.aspx?id=56041 |
|
Microsoft Sync Framework Runtime v1.0 SP1 (x64) | |
|
Windows Server AppFabric | |
|
Microsoft Identity Extensions | |
|
Windows Server AppFabric – KB3092423 |
https://www.microsoft.com/en-us/download/details.aspx?id=49171 |
|
Microsoft Information Protection and Control Client | |
|
Microsoft WCF Data Services 5.0 | |
|
Microsoft Sync Framework Runtime v1.0 SP1 (x64) |
Configuration Active Directory
SPN et délégations Kerberos
Tapez les cmdlet suivantes pour configurer les SPN sur les comptes de service sur un contrôleur de domaine:
- FIMService :
Setspn -S FIMService/mimportal.red.lab red\svc_mimser
- Configurez la KCD (Kerberos Constrained Delegation) comme suit :
- IIS:
Setspn -S http/mimportal.red.lab red\svc_mimsp
- Configurez la KCD (Kerberos Contrained Delegation) comme suit :
La configuration de la KCD nécessite la présence d’un SPN. Par ailleurs, il faut indiquer le nom du compte de service sur lequel on veut avoir une délégation.
GPO
Lancez gpmc.msc sur un contrôleur de domaine pour créer/modifier une GPO et la liée à l’OU contenant le serveur MIM:
- Chemin : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
- Paramètres:
- Deny access to this computer from the network: red\svc_mimser
- Deny log on as a batch job: red\svc_mimser
- Deny log on locally: red\svc_mimser
- Deny log on through Remote Desktop Services: red\mimsp, red\svc_mimser
- Log on as a batch job: red\svc_mimsp, red\svc_mimsync
- Log on as a service: red\mimsp,red\svc_mimser, red\mimsync, red\svc_sqlagent, red\svc_sql
Installation SharePoint
Installation des prérequis
Stockez les prérequis indiqués dans la section précédente dans un répertoire requirements
Si SQL 2019 est déjà installé, l’installation du client SQL 2012 SP4 n’est pas nécessaire.
- Lancer Server Manager
- Installez Windows Identity Foundation 3.5
- Ouvrez une console PowerShell en admin
- Rendez-vous dans le répertoire d’installation SharePoint 2019
- Lancez :
.\PrerequisiteInstaller.exe /Syncfile:"C:\_sources\Requirements SharePoint 2019\Synchronization.msi" /AppFabric:"C:\_sources\Requirements SharePoint 2019\WindowsServerAppFabricSetup_x64.exe" /IDFX11:"C:\_sources\Requirements SharePoint 2019\MicrosoftIdentityExtensions-64.msi" /MSIPCClient:"C:\_sources\Requirements SharePoint 2019\setup_msipc_x64 2.1.exe" /KB3092423:"C:\_sources\Requirements SharePoint 2019\AppFabric-KB3092423-x64-ENU.exe" /WCFDataServices56:"C:\_sources\Requirements SharePoint 2019\WcfDataServices 5.6.exe" /MSVCRT11:"C:\_sources\Requirements SharePoint 2019\vcredist_x64 2012.exe" /MSVCRT141:"C:\_sources\Requirements SharePoint 2019\VC_redist.x64 2017.exe"
Installation et configuration
Installation
Ouvrez une session avec le compte de service svc_mimadmin (qui doit être membre du groupe administrators local du serveur MIM).
Nous préconisons de réaliser l’installation de SharePoint 2019 avec le compte de service parce que celui-ci sera automatiquement ajouté en tant qu’admin SharePoint. Ceci afin d’éviter de se retrouver bloqué si le compte admin nominatif utilisé est supprimé,corrompu, etc…
Nous préconisons également de copier les sources SharePoint dans un répertoire sur le serveur MIM.
- Rendez-vous dans le répertoire contenant les binaires d’installation de SharePoint 2019
- Lancez setup.exe
- Entrez la clé de licence et acceptez l’EULA
- Cliquez sur Installa Now
- Cliquez sur Close
- Cliquez sur Yes
- Redémarrage du serveur
- Se loguez sur le serveur PAM avec le compte svc_mimadmin
- Sélectionnez Next
- Sélectionnez Yes
Sélectionnez create a new server farm
- Specify Configuration Database Settings
- Database server: MIM-PAM\MIMPAM
- Username : red\svc_mimsp
- Password : <password>
- Specify Farm Security Settings :
- Passphrase : <passphrase>
- Confirm passphrase : <passphrase>
- Specify Server Role
- Sélectionnez Front-end
- Configure SharePoint Central Administration Web Application
- Specify port number: 91
- Configure Security Settings: NTLM
Completing the SharePoint Products Configuration Wizard
Si vous rencontrez une erreur à cette étape, il faut :
- Aller dans les propriétés du fichier WcfDataServices 5.6.exe
- Vérifier que la case unblock est décochée
- Relancer l’installation de WcfDataServices 5.6.exe
- Sélectionner Repair
- Relancer l’installation de SharePoint 2019
Configuration Successful
- Ne pas exécuter le wizard
- Sélectionnez Cancel
Configuration
- Lancez SharePoint 2019 Management Shell en run as Administrator
2. Création de la web application :
$SPManagedAcc = Get-SPManagedAccount -identity red\svc_mimspNew-SPWebApplication -Name "MIM Admin Portal" -ApplicationPool "MIMAdminAppPool" -ApplicationPoolAccount $SPManagedAcc -AuthenticationMethod "Kerberos" -Port 80 -Url http://mimportal.red.lab3. Création de la collection de site associée à la web application :
$t = Get-SPWebTemplate -compatibilityLevel 15 -Identity "STS#1"$w = Get-SPWebApplication http://mimportal.red.labNew-SPSite -Url $w.Url -Template $t -OwnerAlias red\svc_mimsp -CompatibilityLevel 15 -Name "MIM Portal"$s = SpSite($w.Url)$s.CompatibilityLevel4. Désactivation SharePoint server-side viewstate
$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService;$contentService.ViewStateOnServer = $false;$contentService.Update();Get-SPTimerJob hourly-all-sptimerservice-health-analysis-job | disable-SPTimerJob
$w.BlockedASPNetExtensions.Remove("ashx")
$w.Update()
$w.BlockedASPNetExtensions5. Site Collection Administrators
Nous préconisons de rajouter le compte svc_mimadmin en tant qu’administrateur secondaire de la collection de site. Pour ce faire il faut :
Lancer SharePoint 2019 Central Administration site
- Allez dans Application Management > Change site collection Administrators
- Ajouter le compte red\svc_mimadmin dans le champ Secondary Site Collection Administrator
Configuration Internet Explorer
Afin de ne pas être prompté lors de l’accès au portail MIM, il faut ajouter *.red.lab dans les trusted sites d’Internet Explorer : Internet Options > Security tab > Local intranet > Sites > Advanced > Add:http://*.red.lab > close > OK > OK
Installation du portail MIM
- Montez l’iso de MIM 2016 SP1
- Allez dans le répertoire Service and Portal
- Lancez en tant qu’administrateur setup.exe
- Acceptez l’EULA
- Custom Setup, sélectionnez :
- MIM Service
- MIM Portal
- Configure the MIM database connection
- Database Server : MIM-PAM\MIMPAM
- Database Name : FIMService
- Create a new database
- Configure mail server connection (la configuration messagerie peut être réalisée plus tard):
- Mail server : exchange.red.lab
- Use SSL
- Configure service certificate : Generate a new self-issued certificate
- Configure the MIM service account:
- Service Account Name: svc_mimser
- Service Account Password: <password>
- Service Account Domain: RED
- Service Email Account: svc@red.lab
- Configure the MIM Service and Portal synchronization:
- Synchronization Server: MIM-PAM
- MIM Management Agent Account: RED\svc_FIMServiceMA
- Configure connection to the MIM Service:
- MIM Service Server address: mimportal.red.lab
- Sharepoint site collection URL: http://mimportal.red.lab
- Sharepoint Timer: Next
- Password registration portal: Next
- Security changes:
- Open ports 5725 and 5726
- Grant authenticated users access to the MIM Portal site
- MIM Password portals: Next
- Install
- Une fois l’installation terminée, lancez votre navigateur web et tapez http://mimportal.red.lab/identitymanagement
Check post-install PAM
Loguez-vous sur le serveur MIM avec le compte de service RED\svc_pamadmin
Connectez-vous au portail MIM via l’URL : http://mimportal.red.lab/IdentityManagement/
Vérifiez que la rubrique Privileged Access Management est présente sur le portail
Sélectionnez Management Policy Rules
Tapez User management dans la zone de recherche (en haut à droite de la fenêtre)
Cliquez sur 
Sélectionnez “User management: Users can read attributes of their own”
Décochez Policy is disabled
OK
Submit
Assurez-vous que tous les services requis sont démarrés
Afin de maintenir votre infra MIM/PAM à jour, il est recommandé d’installer les MAJ que vous trouverez sur cette URL : https://learn.microsoft.com/en-us/microsoft-identity-manager/reference/version-history
Les udaptes sont cumulatifs.
L’article est un peu long, mais il a l’avantage de contenir toutes les étapes nécessaires pour pouvoir installer le portail MIM.
A ciao & have fun !!!