none
Добавление пользователей из дружественного домена RRS feed

  • Вопрос

  • Здравствуйте!

    А вот не сталкивался ли кто с необходимостью добавить пользователя из дружественного домена? Два домена, доверие настроено. Как в линке искать пользователей в другом домене ?

    25 января 2012 г. 10:23

Ответы

  • Через GUI вы этого не сделаете ;) .

    Суть процесса состоит в следующем:

    1. Берётся пользователь в лесу учётных записей и у него копируется значение атрибута "objectSid".

    2. В ресурсном лесу создаётся пользователь-заглушка.

    3. Этому пользователю в атрибут "msRTCSIP-OriginatorSID" вставляется скопированное ранее значение.

    После этих манипуляций, пользователь леса учётных записей входит в Lync со своими учётными данными...

    Для автоматизации данного процесса можете воспользоваться этим средством, а для более глубокого понимания почитайте информацию в окрестностях.

    • Помечено в качестве ответа gurd63 31 января 2012 г. 9:18
    26 января 2012 г. 6:30
    Модератор

Все ответы

  • А никак ;) . Разве что, вы будете руками создавать соответствующие контакты в обоих лесах или автоматизируете это с помощью FIM'а.

    25 января 2012 г. 11:04
    Модератор
  • Давайте уточним: Lync server установлен в обоих доменах или только в одном?
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    25 января 2012 г. 12:50
    Модератор
  • Только в одном, то есть федерацию настраивать не надо. Идея была такой - что бы не вносить изменения в схему домена поставить линк на дружественный домен, но , похоже, никак..
    25 января 2012 г. 13:00
  • Аааа, так вы ресурсную топологию организовать хотите?
    25 января 2012 г. 13:11
    Модератор
  • Не понял вопроса
    25 января 2012 г. 13:14
  • Lync ставится один на весь лес и если ваши домены в одном лесу, то все будет работать.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    25 января 2012 г. 14:23
    Модератор
  • Так, во-первых - у ва один лес и разные домены или разные домены в разных лесах?

    Во-вторых - ресурсная топология - это, когда, учётные записи находятся в одном лесу, а сам ресурс (Lync, Exchange и что угодно) в другом. Такой подход, обычно, применяется, когда люди не хотят расширять схему основного домена или когда хотят жёстко разделить администрирование. Я, например, использую это для выполнение Cross-Forest-миграций.

    25 января 2012 г. 14:58
    Модератор
  • Разные домены в разных лесах.
    Вот как раз тот случай, который Вы описываете - не хочется вносить изменений в схему. Расскажите, пожалуйста, как вы это настраивали ? Как заставить линк искать пользователей для одобрения в другом домене ?
    25 января 2012 г. 19:04
  • мы решили это путем ввода в поиск полного e-mail адреса и решили далее не заморачиваться. ) нашел нужный контакт добавил его в контакт-лист и счастье пользователю )

    26 января 2012 г. 5:57
  • Через GUI вы этого не сделаете ;) .

    Суть процесса состоит в следующем:

    1. Берётся пользователь в лесу учётных записей и у него копируется значение атрибута "objectSid".

    2. В ресурсном лесу создаётся пользователь-заглушка.

    3. Этому пользователю в атрибут "msRTCSIP-OriginatorSID" вставляется скопированное ранее значение.

    После этих манипуляций, пользователь леса учётных записей входит в Lync со своими учётными данными...

    Для автоматизации данного процесса можете воспользоваться этим средством, а для более глубокого понимания почитайте информацию в окрестностях.

    • Помечено в качестве ответа gurd63 31 января 2012 г. 9:18
    26 января 2012 г. 6:30
    Модератор
  • Пробую пользоваться "этим " средством - получаю странное

    domenA.adm - тот, в котором развёрнут lync

    domenB.adm - домен с пользователями, пользователи в контейнере Lync

    на сервере c lync делаю

    C:\Program Files\Microsoft Lync Server 2010\ResKit\LcsSync>sidmap.wsf /OU="Lync"
    ,dc=domenB,dc=adm /query
    Сервер сценариев Windows (Microsoft R) версия 5.7
    c Корпорация Майкрософт (Microsoft Corp.), 1996-2001. Все права защищены.
    
    Failed to query Active Directory LDAP://DC=domenA,DC=adm
    вот почему domenA ?



    30 января 2012 г. 7:53
  • Скажу сразу - лично я SIDMapping'ом никогда не пользовался, ибо писал для этого свои собственные скрипты с необходимыми тонкостями. Тут, наверное, идёт попытка сопоставить пользователя из одного леса пользователю из другого. Для начала, вы просто сделайте это для парочки пользователей вручную через ADSIEdit, дабы убедиться, что у вас всё правильно настроено и работает ;) ...
    30 января 2012 г. 20:06
    Модератор
  • Понятно ) Спасибо! В ручном режиме работает нормально!
    31 января 2012 г. 9:18
  • Александр, день добрый!

    Посоветуйте пожалуйста, куда "копать".

    Ситуация.

    На сервере (не контроллере) в домене main на 2 виртуальных машинах, как в вашем примере с Иглизом, установлен Lync 2010 Standart в домене test.com и там (на виртуалках) все работает.

    Захотелось попробовать на тестовых пользователях в реальной среде. Домены "подружены", все друг друга видят, пользователи main заходят в клиенты с именами пользователей из test.com, но при отправке сообщений или иной активности выдаются сообщения об ошибах (в основном 504) и пользователь перелогиниваются. (сообщения все же иногда проходят). 

    ---------
    Забыл сказать, домены в разных лесах.
    • Изменено D_I_N 31 января 2012 г. 10:52
    31 января 2012 г. 10:47
  • Для начала, создайте свою тему - нехорошо раздувать чужую, да ещё и вопрос, как я его понял, у вас совершенно иного характера ;) .
    31 января 2012 г. 13:47
    Модератор