Forefront Identity Manager 2010高效身份管理 (03): Forefront Identity Manager 2010 安装过程概述（下）

本系列文章由ghjconan创作，转载自ITECN。尊重原创，分享精彩。

 

首先各位可以在下载中心下载FIM 2010的测试版软件。然后将下载后的文件解压缩，双击运行其中的FIMSplash.htm，可以注意到安装向导会以左右两栏的形式显示，在本系列课程中，主要关注四个组件，Identity Manager Service and Portal，Password Change Notification Service，Identity Manager Synchronization Service，Identity Manager Clients, Add-ins and Extensions.

首先需要在CNSHFIMSVR01这台服务器上安装的是Identity Manager Synchronization Service，在单击FIMSplash.htm中对应的链接之后，会出现安装向导，接下来只需要按照向导的提示进行配置即可。当然各位可能会担心出现各种不可预知的情况，那么也可以用msiexec /i /lv* 的形式来启用安装日志，当异常发生时可以进行排错。这里给出几张截图，以及一些需要注意的地方。

在确认完一些常规事项后，首先需要连接远程数据库。这里如果大家是用fimadmin而非administrator这个帐号安装的话，需要注意授予fimadmin相应的数据库权限。因为是测试环境，我授予的是sysadmin权限，在生产环境中需要根据安全策略进行调整。包括接下来的SQL Instance的选择，也需要根据实际情况来确定。我这里使用默认的命名实例。

然后是配置Synchronization Service的服务帐号，因为已经提前准备完成，所以这里直接输入对应的帐号及密码即可。

然后确认勾选了启用入站RPC通讯的防火墙策略。

然后需要创建一个备份文件夹，用于备份加密密钥。

至此，FIM 2010的一个核心组件，Synchronization Service便安装完成，稍后还需要安装补丁，不过接下来还是先来安装FIM 2010 Service and Portal组件。

同样这里可以从FIMSplash.htm或者以msiexec /i /lv*来启动安装程序，我这里选择从FIMSplash.htm中直接安装。等安装程序启动，确认完EULA和CEIP之后，出现在各位面前的是选择自定义组件，这里我们暂时先不安装FIM Password Reset Portal，因为自助密码重设是可以单独成篇的一个组件，到时涉及到后会再启用。

当出现数据库选择界面后，注意选择对应的数据库，然后单击下一步。

之后会出现Exchange服务器信息配置界面，这里需要填写测试环境中可用的Exchange 2010服务器，并清除"USE SSL"以及"Mail Server is Exchange Server 2007"选项前的复选框，然后单击下一步继续安装。接下来的一个页面是服务证书，这里需要注意到一点，FIM 2010所需要的证书有着特殊的选项，因此选择创建自签名证书即可。

接下来还需要按照向导配置相应的帐号信息，截图如下：

安装完成后，接下来我们需要安装补丁，各位可以使用关键词“Forefront Identity Manager 2010”，从Microsoft Update目录下载相应的补丁文件。至于FIM 2010的版本历史变更信息可以参考TechNet上的这篇Wiki。

补丁的安装过程就不在详述了，唯一需要注意到的一点是，打补丁之前需要停止FIM 2010的两个后台服务，这个任务可以通过使用命令来完成：

sc stop FIMService

sc stop FIMSynchronizationService

接下来，需要执行一些后续配置任务，如果大家对照着测试环境搭建指南的话，会发现我这边省略了一些步骤，这主要是因为，有些步骤我已经在创建帐号的时候已经完成了，因此还请大家留意。

首先，我们需要将FIMService加入本地管理员组，这是一件相当轻松的活，一行命令就可以搞定：

net localgroup FIMSyncAdmins corp\fimservice /add

接下来，需要关闭FIM Portal的NTLM验证，同样的我们需要编辑网站根目录下的web.config文件。为此我还是为大家准备了PowerShell脚本来完成这项工作：

Copy-Item C:\inetpub\wwwroot\wss\VirtualDirectories\80\web.config C:\inetpub\wwwroot\wss\VirtualDirectories\80\web.config.backup

$webConfig = Get-Content C:\inetpub\wwwroot\wss\VirtualDirectories\80\web.config

$webConfig = $webConfig -replace "timeoutInMilliseconds=`"60000`" />","timeoutInMilliseconds=`"60000`" requireKerberos=`"true`" />"

Set-Content -Value $webConfig -Path C:\inetpub\wwwroot\wss\VirtualDirectories\80\web.config -Force

iisreset

接下来由于FIM Portal是基于SharePoint的，在默认安装的情况下，SharePoint会在后台进行爬网，并对数据进行索引。但是对于FIM Portal来说并不需要启用这项功能，因此需要通过SharePoint 3.0 Central Administration关闭索引服务。

在打开SharePoint 3.0 Central Administration之后，依次单击Operations，Global Configuration下的Timer Job Definations，“SharePoint Services Search Refresh”，然后单击禁用按钮。

接下来，还需要强化FIM Portal的安全，也就是为网站启用SSL。这里我采取的方法和测试环境搭建指南中的步骤有些不同，因为会使用到所谓的SAN证书。对熟悉Exchange配置的朋友来说，这项工作肯定不陌生。实际上总结起来，就是使用特殊的证书模板，基于这个模板的证书允许用户使用多个地址来访问网站，浏览器中也不会提示错误。这里我并不想详述相关的配置过程，有需要的朋友可以自己找下资料来研究下。这里提醒一点，千万别忘记在证书模板的安全选项卡上赋予相应的权限，因为我们正在使用fimadmin这个帐号进行操作。当然你也可以使用其他账号来申请证书，这取决于企业内的证书申请流程。这里只是提醒一下各位留意下这个问题。

由于Windows Server 2008 R2中本地计算机的证书管理单元得到了极大的增强，因此我们可以通过这个管理单元来申请证书。具体操作步骤就是，打开一个空白的管理单元控制台，然后添加本地计算机证书管理单元。接着在Certificates(Local Computer)>Personal>Certificates节点上单击右键，然后选择申请新的证书。

申请完证书后，只需要在IIS管理控制台中配置一下即可，然后再在IE中进行验证。

接下来，各位需要将相关地址加入到Intranet Sites中。完成之后，还需要修改User Administrators集，保证只有少数人员才有管理员权限。具体操作步骤，各位可以参考测试环境配置指南"Restrict Membership in the User Administrators Set"一节的内容，这里只给出相应的配置截图：

最后，整个安装步骤的最后一步是调整FIM Service DB和FIM Synchronization Service DB的初始数据库大小，因为根据最后实际情况来调整数据库大小，从而优化性能。而修改是否成功我们也可以通过T-SQL来确认。

好了，本次关于FIM 2010测试环境的安装及配置说明就到此结束了，从下次开始将要深入了解FIM 2010的一些核心概念。

这里再引用Exchange MCM Hanbing Yang同志的一席话，“en, 要搞这个产品，得比较清楚 ILM, AD (包括SPN, Kerberos, Certificates), Exchange, Sharepoint, SQL, Domino, .Net编程, Web Service, WCF... 遇到异种系统，甚至还要熟悉 Sun, Oracle, SAP。简直不是一个人能玩得下来的东西，的确很有意思的啊。”

如果你做好心理准备的话，那敬请期待。