身份聚合和同步 第 7 章：操作注意事项

show toc
Microsoft 标识和访问管理
身份聚合和同步
第 7 章：操作注意事项
发布日期： 2004年05月11日 | 更新日期： 2006年12月06日
本章描述管理 Contoso 身份和访问管理解决方案所需要的某些活动。其中包括有关管理 Microsoft® Identity Integration Server 2003, Enterprise Edition with Service Pack 1 (MIIS 2003 with SP1) 数据库、监视错误和排除问题的详细信息。
本页内容
管理 MIIS 2003 with SP1 数据库
计划和自动化管理代理运行
监视 MIIS 2003 with SP1 错误
管理 MIIS 2003 with SP1 数据库
MIIS 2003 with SP1 将整个 Metaverse 存储在一个 Microsoft SQL Server™ 数据库中。本节描述一些数据库管理活动。
管理数据库大小
MIIS 2003 with SP1 数据库大小随通过系统处理的对象数量、管理代理数量和多值及引用属性数量而异。但是，运行历史记录数据在增加数据库大小方面的代价是非常昂贵的。
管理运行历史记录
运行历史记录信息非常详细，会消耗大量数据库空间。为了管理数据库的大小，管理 MIIS 2003 with SP1 中的运行历史记录信息是非常重要的。可以使用身份管理器清除运行历史记录，但是管理该信息的最佳方法是按预定义的计划来自动化该过程。
可以使用 Windows Management Instrumentation (WMI) 或使用属于 MIIS 资源工具包一部分的 MIIS_ClearRunHistory.exe 工具来自动化运行历史记录清除操作。有关更多信息，请从Microsoft Identity Integration Server 2003 资源工具包 2.0 页面下载该资源工具包。
管理日志文件
Microsoft SQL Server 数据库的简单与完全恢复模式影响日志文件的大小。MIIS 2003 with SP1 数据库默认设置为简单恢复模式。在大多数 MIIS 2003 with SP1 配置中，由于 MIIS 2003 with SP1 服务器数据的性质和可从现有数据源重新构建该数据的事实，所以不需要完全恢复模式。
简单恢复模式将日志设置设为改写，从而减小了备份之间的时段中的日志文件大小。此外，如果不定期清除运行历史记录信息，则可能会遇到问题；您最终可能必须删除大量的运行历史记录。MIIS 2003 with SP1 在单个删除事务中删除运行历史记录，这意味着即使您在简单恢复模式下运行，执行此事务也会花相当长的时间 — 在日志文件大小增加得非常快的情况下尤其如此。
如果您没有用于处理此类情况的磁盘空间，则日志文件驱动器上可能就会空间不足，从而要求您使用查询分析器来截断日志文件。如果问题变得严重（例如，如果您有大量的累积运行历史记录和很小的驱动器容量而没有用于增加空间大小的资源），您可以使用批处理文件，在两次运行之间以较小的增量清除运行历史记录和截断日志文件。
返回页首
计划和自动化管理代理运行
本节说明如何自动计划 MA 运行。使用 Windows“任务计划”服务，您可以计划一个命令文件来定期运行管理代理。
若要完成此任务并计划 MA 每小时运行一次，请在 MIIS 2003 with SP1 服务器上执行以下任务：
若要创建一个帐户来运行计划任务
1.
单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“计算机管理”。
2.
展开“本地用户和计算机”，然后单击“用户”文件夹。
3.
右键单击并选择“新用户”。
4.
添加以下信息：
•
用户名：MIISScheduler
•
描述：MIIS 计划帐户
5.
在密码框中输入密码。
6.
清除“用户下次登录时须更改密码”复选框。
7.
选中“用户不能更改密码”和“密码永不过期”复选框。
8.
单击“创建”。
9.
单击“关闭”。
若要将 MIISScheduler 帐户添加到适当的组
1.
单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“计算机管理”。
2.
展开“本地用户和计算机”，然后单击“用户”文件夹。
3.
双击“MIISScheduler”用户帐户。
4.
单击“隶属于”选项卡。
5.
单击“添加”。
6.
在“输入对象名称来选择”框中，键入 MIISOperators，然后单击“检查名称”。
7.
该对象应该解析为 FFL-NA-MIIS-01\MIISOperators。
8.
在“输入对象名称来选择”框中，键入 Administrators，然后单击“检查名称”。
9.
该对象应该解析为 FFL-NA-MIIS-01\Administrators。
10.
单击“确定”两次。
注意   为了运行命令或批处理文件（因为它需要使用 cmd.exe），您要么必须是管理员组的成员，要么采用交互式方式运行。如果仅使用 VBScript，您可以将其计划在非管理员的上下文中运行。因此，如果不希望将该用户添加到管理员组，您可以修改现有的 VBScript 来硬编码那些值，或者使用替代方法来传递它们。
若要在 MIIS 服务器上设置 MIISScheduler 帐户的用户权限
1.
在 MIIS 服务器上打开“本地安全策略”。
2.
在控制台树中，在“安全设置”、“本地策略”下面，单击“用户权限管理”。
3.
在详细信息窗格中，双击“作为批处理作业登录”用户权限。
4.
在“用户权限属性”中，单击“添加用户或组”。
5.
添加 MIISScheduler 帐户，然后单击“确定”。
6.
重复步骤 3-5 来限制以下用户权限：
•
拒绝本地登录
•
拒绝通过终端服务登录
注意 MIISScheduler 帐户在创建任务时需要“从网络访问此计算机”用户权限。但是在创建任务之后，运行计划的任务不需要该权限。因此，您可能希望在创建计划的 MA 运行之后限制该帐户，方法是启用 MIISScheduler 用户帐户的“拒绝从网络访问此计算机”用户权限。
若要设置计划的 MA 运行
1.
单击“开始”，指向“所有程序”，指向“附件”，指向“系统工具”，然后单击“任务计划”。
2.
双击“添加任务计划”。当任务计划向导显示出来时，单击“下一步”继续。
3.
在该向导的第二个屏幕上，单击“浏览”按钮。
4.
在文件夹结构中，导航到您提取本系列下载中的文件的 Tools and Templates 文件夹。
5.
选择 MA-Runs.cmd 并单击“打开”。
6.
在“请输入任务的名称”下面，输入“每小时的用户同步”。单击“每天”按钮，然后单击“下一步”。
7.
在“起始时间”下面，使用数值调节钮控件或输入 7:00AM。
8.
在“运行此任务”下面，选择“每天”单选按钮。“起始日期”应该默认为今天。单击“下一步”继续。
9.
在“输入用户名”字段中，以 FFL-NA-MIIS-01\MIISScheduler 格式输入在前一节中创建的任务计划程序帐户。
10.
输入所选帐户的密码两次，然后单击“下一步”继续。
11.
选中“在单击‘完成’时，打开此任务的高级属性”复选框。
12.
单击“完成”以关闭该向导。
13.
在“高级属性”对话框中，在“每小时用户同步”中，单击“计划”选项卡。
14.
单击“高级”按钮。
15.
选中“重复任务”复选框。
16.
在“每”框中，使用下拉列表来选择“1 小时”。
17.
单击“直到”部分，选择“时间”单选按钮，然后选择 10:00PM。
18.
单击“确定”保存更改并关闭对话框。
19.
单击“确定”关闭“每小时用户同步”对话框。
有关配置 Windows“任务计划”服务的更多信息，请在 Windows 帮助和支持中心搜索“计划新任务”。
注意   你可以使用 MIIS 2003 with SP1 资源工具包中的 MASequencer 工具而不是 MA-runs.cmd 文件来计划管理代理。有关更多信息，请下载Microsoft Identity Integration Server 2003 资源工具包 2.0.
返回页首
监视 MIIS 2003 with SP1 错误
MIIS 2003 with SP1 中的所有错误消息都记录在应用程序事件日志中，并在管理代理运行完成时显示统计信息。您可以使用身份管理器中的“操作视图”访问这些统计信息。您可以将每个运行历史记录保存到文件中，并将它们发送到 Microsoft 支持服务部门以帮助诊断系统上的问题。
保存运行历史记录
请执行以下步骤来完成此项任务：
若要保存运行历史记录
1.
打开身份管理器，然后选择“操作视图”。
2.
右键单击您希望保存的操作，然后选择“保存到文件”。
3.
在“文件名”框中，键入一个名称来标识该运行历史记录。
4.
展开“保存类型”列表框，并选择“运行文件 (*.xml)”管理代理。
保存应用程序事件日志
请执行以下步骤来完成此项任务：
若要保存应用程序日志
1.
打开事件查看器，在主菜单上，单击“操作”，然后单击“另存日志文件”。
2.
在“文件名”框中，键入一个名称来标识该应用程序事件日志。
3.
展开“保存类型”列表框，然后选择“事件日志(*.evt)”管理代理。
丢弃日志文件
在运行基于调用的管理代理的导入或导出阶段，您可以丢弃日志文件。您可能希望丢弃日志文件以：
•
在将它们提交到 MIIS 2003 with SP1 或连接目录之前检查更新。
•
检查性能相关的问题。
创建日志文件
当在 MIIS 2003 with SP1 中继续更新连接器空间或连接目录时，使用此设置来丢弃日志文件。当您尝试排除某个问题，并且需要看到出错前处理的最后一个对象时，此设置是非常有用的。此外，您可以使用此设置来跟踪对连接器空间或连接目录的更改。不过，此设置会轻微增加管理代理处理时间，并且还需要磁盘空间来进行存储。
如果计划将日志文件数据保留更长的时间，您需要某种机制来定期对日志文件存档和清除。通常，此审核级别不是必需的，除非您在请求 Microsoft 跟踪某个间歇性的持续问题。然而，有些组织可能具有在此级别跟踪更改的理由。
使用日志文件选项配置运行配置文件
此示例实施完全导入（仅集结）丢弃日志文件选项。但是，您应该在疑难解答过程中为您尝试满足的特定目标配置日志文件设置。
请执行以下步骤来完成此项任务：
若要使用完全导入（仅集结）丢弃日志文件选项
1.
在身份管理器中，单击“管理代理”，在“操作”菜单上，单击“配置运行配置文件”。
2.
单击“新建配置文件”，键入配置文件名称，例如 Full Import – drop file，然后单击“下一步”。
3.
在“指定步骤类型”区域，在“类型”框中，选择“完全导入（仅集结）”。
4.
单击“设置日志文件选项”，选择“创建日志文件”，然后键入日志文件名称，例如 FullImportDrop.xml。
5.
单击“确定”保存日志文件设置，单击“下一步”，然后单击“完成”。
使用 MIIS 2003 with SP1 预览功能
您可以使用 MIIS 2003 with SP1 中的预览功能，在与 Metaverse 同步连接器空间中的对象之前，测试同步过程对该对象的影响。预览对于查看源对象详细信息、导致错误的同步过程中的步骤、连接器筛选器、对象删除、联接和投影规则等可能非常有用。
如需使用预览，您必须作为 MIISAdmins 安全组成员登录。最佳实践是在执行同步前使用预览来测试 MIIS 2003 with SP1 中对任何规则所做的任何更改。当您完成增量或完全导入（仅集结）运行配置文件时，在手动处理之后使用预览功能。
注意   Microsoft 建议在非生产 MIIS 2003 with SP1 环境中测试所有更改。如果更改针对某个 MA，您可以使用 MIIS 2003 with SP1 中的“导出服务器配置”和“导入服务器配置”功能来更新生产系统上的 MA。或者，对于针对自定义扩展的更改，您将移动编译后的 .DLL 文件，在此情况下您将考虑使用诸如 Visual SourceSafe (VSS) 之类的版本控制系统。
若要使用预览功能来测试同步
1.
在“工具”菜单上，单击“管理代理”，然后单击某个具有关联连接器空间的管理代理。
2.
在“操作”菜单上，单击“搜索连接器空间”。
3.
在“搜索结果”中，单击某个连接器空间对象，然后单击“预览”。
4.
在“选择预览模式”中，选择以下选项之一：
•
若要同步该对象，并且计算该对象上的所有属性和任何适用的规则，请单击“完全同步”。（该同步是模拟的：并不发生实际的完全同步。）
•
若要同步该对象，并且仅计算自从上次同步以来已更改的那些属性，请单击“增量同步”。（该同步是模拟的：并不发生实际的增量同步。）
5.
单击“生成预览”，然后在“内容”中，单击某个页面以显示详细信息。
6.
如需存预览结果，请选中“保存预览结果”复选框，键入名称并为该文件定义位置，然后单击“确定”。
返回页首第 7 页，共 9 页

本文内容
•第 1 章：身份聚合和同步文章简介
•第 2 章：实施身份聚合和同步的方法
•第 3 章：问题和要求
•第 4 章：设计解决方案
•第 5 章：实施解决方案
•第 6 章：测试解决方案
• 第 7 章：操作注意事项
•链接
•致谢

下载
获取微软身份和访问管理系列文章
更新通知
注册以了解有关更新和新版本的信息
反馈
将您的意见和建议发送给我们

 适合打印机打印的版本 通过电子邮件发送此页面
个人信息中心 |联系我们 |新闻邮件
©2008 Microsoft Corporation. 版权所有.  与我们联系 |保留所有权利 |商标 |隐私权声明