Installation

Der folgende Inhalt führt Sie durch den Prozess der Installation von Specops Password Sync.

Hauptkomponenten

Alt text for this image

Specops Password Sync besteht aus den folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung. Die oben gezeigte Architekturübersicht zeigt die Kommunikation zwischen den Komponenten bei der Durchführung einer Passwortsynchronisation.

Password Change Notifier: Liest Passwortänderungen, die vom Domänencontroller durchgeführt wurden, und sendet Anfragen zur Passwortsynchronisation an den Sync Server.

Sync Server: Synchronisiert neue Passwörter mit verbundenen Systemen.

Administration Tools: Konfiguriert die zentralen Aspekte der Lösung und ermöglicht die Erstellung von Specops Password Sync-Einstellungen in Gruppenrichtlinienobjekten.

Anforderungen

Die Umgebung Ihrer Organisation muss die folgenden Systemanforderungen erfüllen:

Komponente	Anforderung
Password Change Notifier	Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher Beschreibbarer Domänencontroller
Sync Server	Windows Server 2016/2019/2022 .Net Framework 4.7.2 oder höher
Administration Tools	Windows 10/11 oder Windows Server 2016/2019/2022 Group Policy Management Console (GPMC) .Net Framework 4.7.2 oder höher

Der Specops Setup-Assistent hilft Ihnen, die Systemanforderungen zu erfüllen.

Installation von Specops Password Sync

Während der Installation wird Specops Password Sync den Setup-Assistenten starten. Der Setup-Assistent enthält Installationsinformationen für alle Produkte der Specops Password Management-Lösung, einschließlich Specops Password Sync, Specops Password Policy und Specops Password Reset. Sie müssen nur die Schritte für Specops Password Sync abschließen.

Der Setup-Assistent hilft Ihnen, die folgenden Komponenten für Specops Password Sync zu installieren:

Password Change Notifier
Sync Server
Administration Tools

Laden Sie den Setup-Assistenten herunter.
Speichern und führen Sie den Setup-Assistenten auf Ihrem Server aus.

Hinweis

Standardmäßig wird die Datei extrahiert nach C:\temp\SpecopsPasswordSync_Setup_[VersionNumber]
Doppelklicken Sie auf SpecopsPasswordSync_Setup_[VersionNumber].exe, um den Setup-Assistenten zu starten.
Um zu beginnen, klicken Sie im Dialogfeld Specops Setup-Assistent auf Installation starten und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.

Installation des Password Change Notifier

Der Password Change Notifier muss auf allen Domänencontrollern in Ihrem Active Directory installiert werden. Sie können den Password Change Notifier über den Setup-Assistenten installieren oder den Password Change Notifier über die Gruppenrichtlinien-Softwareinstallation (GPSI) bereitstellen, um sicherzustellen, dass neue Domänencontroller den Notifier automatisch erhalten.

Klicken Sie im Setup-Assistenten auf Password Change Notifier.
Überprüfen Sie, ob der Computer ein gültiges Serverbetriebssystem ausführt.
Klicken Sie auf Installieren.

Bereitstellung des Password Change Notifier über GPSI

Kopieren Sie die MSI-Pakete für den Password Change Notifier auf einen Dateifreigabeort in Ihrer Netzwerk-Infrastruktur.
Hinweis
- Standardmäßig wird die Datei extrahiert nach: C:\Temp\SpecopsPasswordSync_Setup_<ver>\Products\SpecopsPasswordSync
- Specops empfiehlt die Verwendung von DFS-Freigaben, da diese Lastverteilung und Standortunabhängigkeit ermöglichen.
Erstellen Sie in Ihrer Domäne ein neues GPO und verknüpfen Sie es mit der Organisationseinheit der Domänencontroller.
Geben Sie einen Namen für das GPO ein und klicken Sie auf OK.
Klicken Sie mit der rechten Maustaste auf das neu erstellte GPO und wählen Sie Bearbeiten.
Erweitern Sie Computer Configuration, Policies, Software Settings.
Klicken Sie mit der rechten Maustaste auf Softwareinstallation und wählen Sie Eigenschaften.
Navigieren Sie zum Speicherort des MSI-Pakets.
Aktivieren Sie die Bereitstellungsoption Zuweisen.
Klicken Sie auf OK, um das Paket zu speichern.
Starten Sie die Domänencontroller neu.

Installation des Sync Servers

Der Sync Server synchronisiert neue Passwörter mit allen Systemen, zu denen der Benutzer konfiguriert wurde, um sie zu synchronisieren, durch die Specops Password Sync-Gruppenrichtlinieneinstellungen. Abhängig von der Anzahl der Benutzer in Ihrer Umgebung und der Häufigkeit, mit der sie ihre Passwörter ändern, benötigen Sie möglicherweise mehr als einen Sync Server.

Klicken Sie im Setup-Assistenten auf Sync Server.
Überprüfen Sie, ob Sie die Voraussetzungen erfüllt haben. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise Folgendes tun:
- Installieren Sie .NET Framework 4 oder höher.
- Überprüfen Sie, ob Sie ein gültiges Betriebssystem ausführen.
Um das Zertifikat auszuwählen, das zur Überprüfung der Identität des Sync Servers gegenüber der Password Change Notifier-Komponente verwendet wird, klicken Sie auf Auswählen.
Hinweis
- Alle Kommunikationen zwischen dem Password Change Notifier und dem Sync Server sind SSL-verschlüsselt und verwenden dasselbe Zertifikat.
- Sie können ein von den Active Directory-Zertifikatsdiensten generiertes Zertifikat oder ein selbstsigniertes Zertifikat verwenden. Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie:
  - Das Zertifikat aktualisieren, sobald es abläuft (das Zertifikat wird nicht automatisch erneuert).
  - Das Zertifikat in den Container der vertrauenswürdigen Stammzertifikate auf allen Domänencontrollern importieren.
Klicken Sie auf Installieren. Der Setup-Assistent verwendet automatisch das richtige MSI-Paket für die lokalen Systeme und installiert die entsprechende Version des Sync Servers.
Klicken Sie im Setup-Assistenten des Sync Servers auf Weiter.
Sie haben die Möglichkeit, auszuwählen, welche Sync Provider Sie auf dem Sync Server installieren möchten. Die Standardeinstellung ist, alle mit dem Produkt gelieferten Provider zu installieren. Wenn Sie einen Provider nicht verwenden möchten, klicken Sie auf das Symbol neben dem Provider und wählen Sie Gesamtes Feature wird nicht verfügbar sein.

Hinweis

Wenn Sie Ihre eigenen Sync Provider für die von Ihrer Organisation verwendeten Systeme entwickeln möchten, kontaktieren Sie Specops Support.
Klicken Sie auf Weiter.
Klicken Sie auf Fertigstellen.

Installation der Administration Tools

Die Installation der Administration Tools installiert das Specops Password Sync-Administrationstool und das GPMC-Snap-In. Sie können das Administrationstool verwenden, um Systemeinstellungen wie Sync Scopes, Sync Servers und Sync Points zu konfigurieren. Sie können das GPMC-Snap-In verwenden, um Specops Password Sync-Richtlinien in einem Gruppenrichtlinienobjekt zu konfigurieren. Das GPO kann dann auf Ihre gesamte Domäne oder einen Teil Ihrer Domäne angewendet werden.

Die Administration Tools sollten auf dem Computer installiert werden, von dem aus Sie das Produkt verwalten möchten.

Wählen Sie im Setup-Assistenten Administration Tools.
Überprüfen Sie, ob Sie die Voraussetzungen erfüllt haben. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise Folgendes tun:
- Installieren Sie .NET Framework 4 oder höher.
- Überprüfen Sie, ob der Benutzer, der den Setup-Assistenten ausführt, ein Enterprise- oder Domänenadministrator ist.
Klicken Sie auf Installieren.

Nach der Installation Konfiguration

Sie müssen die folgenden Konfigurationseinstellungen abschließen, nachdem Sie Specops Password Sync installiert haben.

Importieren Sie Ihren Lizenzschlüssel

Geben Sie Ihren Lizenzschlüssel im Specops Password Sync-Administrationstool ein.

Öffnen Sie das Specops Password Sync-Administrationstool.
Sie werden aufgefordert, Ihren Lizenzschlüssel zu importieren. Navigieren Sie zum Speicherort der TXT-Datei und klicken Sie auf Öffnen.

Überprüfen Sie, ob der Password Change Notifier auf allen Ihren Domänencontrollern installiert wurde

Hinweis

Ihre Domänencontroller müssen nach der Installation neu gestartet werden.

Überprüfen Sie, ob die auf Ihrem Sync Server verwendeten Zertifikate von den Domänencontrollern vertrauenswürdig sind

Fügen Sie Mitglieder zu den lokalen Sicherheitsgruppen von Specops Password Sync hinzu

Verwenden Sie den Setup-Assistenten, um eine grundlegende Konfiguration zu erstellen

Der Setup-Assistent auf der Willkommensseite des Administrationstools kann Ihnen helfen, schnell die grundlegenden Einstellungen zu erstellen und zu konfigurieren, die zur Synchronisierung von Passwörtern erforderlich sind.

Um eine grundlegende Konfiguration zu erstellen, klicken Sie auf Setup-Assistent.

Erstellen Sie einen Sync Scope

Sync Scopes werden verwendet, um eine grundlegende Verwaltungseinheit für die Passwortsynchronisation zu erstellen. Der Scope ist an eine Ebene in Ihrer Active Directory-Struktur gebunden und ermöglicht die Verwendung von Specops Password Sync auf den Benutzerobjekten unterhalb der ausgewählten Ebene.

In großen Umgebungen, in denen die Benutzerverwaltung an mehreren Standorten erfolgt, sollten Sie mehrere Sync Scopes erstellen.

Geben Sie einen Namen für den Sync Scope ein.
Klicken Sie auf Durchsuchen, um den Benutzerverwaltungsbereich auszuwählen.
Hinweis
- Das System weist standardmäßig die Domänenwurzel als Verwaltungsbereich zu. Sie sollten den Verwaltungsbereich ändern, wenn Sie eine engere Auswahl an Benutzern benötigen.
- Die Passwortsynchronisation erfolgt, nachdem die Gruppenrichtlinieneinstellungen für jeden Sync Point konfiguriert wurden.
Klicken Sie auf Weiter.

Konfigurieren Sie systemweite E-Mail-Einstellungen

Sie müssen die standardmäßigen E-Mail-Einstellungen konfigurieren, die vom System zum Versenden von E-Mails verwendet werden. Sie können die systemweiten Einstellungen in jedem Sync Scope überschreiben.

Geben Sie im Feld SMTP-Servername den SMTP-Servernamen ein.
Geben Sie im Feld E-Mail-Absenderadresse die E-Mail-Adresse ein, von der das System E-Mails senden soll.
Geben Sie im Feld Admin-E-Mail-Adresse die administrative E-Mail-Adresse ein, die E-Mails vom System erhalten soll.
Klicken Sie auf Weiter.

Erstellen Sie einen Sync Point mit einem Sync Server und Sync Provider

Die Sync Points steuern die Einstellungen, die verwendet werden, wenn ein Passwort mit einem anderen System synchronisiert wird.

Sie benötigen einen Sync Point für jedes System, mit dem Sie synchronisieren möchten. Sie konfigurieren mehrere Sync Points, um mit demselben externen System zu synchronisieren, wenn Ihre Organisation unterschiedliche Synchronisationseinstellungen für verschiedene Benutzertypen benötigt.

Der Sync Point gibt auch an, welche Sync Server für die Synchronisation verwendet werden sollen, sodass Sie separate Sync Points mit unterschiedlichen Servereinstellungen für verschiedene Teile Ihrer Organisation erstellen können.

Wählen Sie im Dropdown-Menü des Sync Servers den Sync Server aus, den Sie mit dem Sync Point verwenden möchten.
Wählen Sie in der Providerliste den Sync Provider aus, den Sie mit Ihrem Sync Point verwenden möchten. Der Provider ist das System, mit dem Sie Passwörter synchronisieren möchten.
Klicken Sie auf Weiter.

Konfigurieren Sie den Provider mit Synchronisationseinstellungen

Sie müssen Ihren ausgewählten Provider mit den erforderlichen Einstellungen konfigurieren, um eine Verbindung zum entfernten System herzustellen und Passwörter zu synchronisieren. Die konfigurierbaren Einstellungen variieren zwischen den einzelnen Sync Providern.

Erstellen Sie ein GPO mit Specops Password Sync-Einstellungen

Sobald Sie den Provider mit Synchronisationseinstellungen konfiguriert haben, können Sie das GPO automatisch in Ihrer Domäne erstellen. Wenn Sie das GPO automatisch erstellen, wird es auf derselben Ebene in Active Directory verknüpft wie der Verwaltungsbereich, der für den Sync Scope ausgewählt wurde.

Sie können es auch manuell über die Group Policy Management Console erstellen.