Installation

Folgende Anleitung führt Sie durch den Installationsprozess von Specops Password Sync.

Wichtigste Komponenten

Alt-Text für dieses Bild

Specops Password Sync besteht aus folgenden Komponenten und erfordert keine zusätzlichen Server oder Ressourcen in Ihrer Umgebung. Die obige Architekturübersicht zeigt die Kommunikation zwischen den Komponenten beim Abschluss einer Kennwortsynchronisierung.

Password Change Notifier: Liest die vom Domain-Controller vorgenommenen Kennwortänderungen und sendet Kennwortsynchronisierungsanforderungen an den Sync-Server.

Sync-Server: Synchronisiert neue Kennwörter mit den angeschlossenen Systemen.

Verwaltungstools: Sie konfigurieren die zentralen Aspekte der Lösung und aktivieren die Erstellung von Specops Password Sync-Einstellungen in Gruppenrichtlinienobjekten.

Anforderungen

Die Umgebung Ihres Unternehmens muss folgende Systemanforderungen erfüllen:

Komponente Anforderung
Password Change Notifier
  • Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • Domain-Controller mit Schreibzugang
Sync-Server
  • Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
Verwaltungstools
  • Windows 10/11 oder Windows Server 2016/2019/2022
  • Gruppenrichtlinien-Verwaltungskonsole (GPMC)
  • .Net Framework 4.7.2 or later

Der Specops Setup-Assistent hilft Ihnen, die Systemanforderungen zu erfüllen.

Installation von Specops Password Sync

Während der Installation startet Specops Password Sync den Setup-Assistenten. Der Setup-Assistent enthält Installationsinformationen für alle Produkte der Specops Password Management-Lösung, einschließlich Specops Password Sync, Specops Password Policy und Specops Password Reset. Sie müssen nur die Schritte für Specops Password Sync befolgen.

Der Setup-Assistent unterstützt Sie bei der Installation der folgenden Komponenten für Specops Password Sync:

  • Password Change Notifier
  • Sync-Server
  • Verwaltungstools
  1. Laden Sie den Setup-Assistenten herunter.
  2. Speichern Sie den Setup-Assistenten und führen Sie ihn auf Ihrem Server aus.
    HINWEIS
    Standardmäßig wird die Datei nach C:\temp\SpecopsPasswordPolicy_Setup_[Versionsnummer] extrahiert
  3. Doppelklicken Sie auf SpecopsPasswordSync_Setup_[VersionNumber].exe, um den Setup-Assistenten zu starten.
  4. Klicken Sie zu Beginn Sie im Dialogfeld des Specops Setup-Assistenten auf Installation starten und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.

Installation des Password Change Notifier

Der Kennwortänderungsmelder muss auf allen Domain-Controllern in Ihrem Active Directory installiert werden. Sie können den Kennwortänderungsmelder über den Setup-Assistenten installieren oder über die Gruppenrichtlinien-Softwareinstallation (GPSI) bereitstellen, um sicherzustellen, dass neue Domain-Controller den Melder automatisch erhalten.

  1. Klicken Sie im Einrichtungsassistenten auf Kennwortänderungsmelder.
  2. Vergewissern Sie sich, dass auf dem Computer ein gültiges Serverbetriebssystem läuft.
  3. Klicken Sie auf Installieren.

Bereitstellen des Kennwortänderungsmelders über GPSI

  1. Kopieren Sie die MSI-Pakete für den Password Change Notifier auf eine Dateifreigabe in Ihrer Netzwerkinfrastruktur.
    HINWEIS
    • Standardmäßig wird die Datei extrahiert nach: C:\Temp\SpecopsPasswordSync_Setup_<ver>\Products\SpecopsPasswordSync
    • Specops empfiehlt die Verwendung von DFS-Freigaben, da diese eine gute Lastverteilung und Standortunabhängigkeit ermöglichen.
  2. Erstellen Sie in Ihrer Domain ein neues GPO und verknüpfen Sie es mit der Domain-Controller-Organisationseinheit.
  3. Geben Sie einen Namen für das GPO ein und klicken Sie auf OK.
  4. Klicken Sie mit der rechten Maustaste auf das neu erstellte GPO und dann auf Bearbeiten.
  5. Erweitern Sie Computerkonfiguration, Richtlinien, Softwareeinstellungen.
  6. Klicken Sie mit der rechten Maustaste auf Software-Installation und wählen Sie Eigenschaften.
  7. Navigieren Sie zum Speicherplatz des msi-Pakets.
  8. Aktivieren Sie die Bereitstellungsoption Zuweisen.
  9. Klicken Sie auf OK, um das Paket zu speichern.
  10. Starten Sie die Domain-Controller neu.

Installation des Sync-Servers

Der Sync-Server synchronisiert die neuen Kennwörter mit allen Systemen, für die der Benutzer die Synchronisierung über die Einstellungen der Specops Password Sync-Gruppenrichtlinienobjekte konfiguriert hat. Je nach Anzahl der Benutzer in Ihrer Umgebung und der Häufigkeit ihrer Kennwortänderungen benötigen Sie möglicherweise mehr als einen Sync-Server.

  1. Klicken Sie im Setup-Assistenten auf Sync Server.
  2. Überprüfen Sie, ob Sie alle Voraussetzungen erfüllen. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise Folgendes tun:
    • Installieren Sie .NET Framework 4 oder höher.
    • Vergewissern Sie sich, dass Sie ein gültiges Betriebssystem verwenden.
  3. Klicken Sie auf Auswählen, um das Zertifikat auszuwählen, das zur Überprüfung der Identität des Sync-Servers für die Komponente Password Change Notifier verwendet wird.
    HINWEIS
    • Die gesamte Kommunikation zwischen dem Password Change Notifier und dem Sync-Server ist SSL-verschlüsselt und verwendet das gleiche Zertifikat.
    • Sie können ein von den Active Directory-Zertifikatsdiensten generiertes Zertifikat oder ein selbstsigniertes Zertifikat verwenden. Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie folgendes tun:
      • Aktualisieren Sie das Zertifikat, sobald es abläuft (das Zertifikat wird nicht automatisch erneuert).
      • Importieren Sie das Zertifikat in den vertrauenswürdigen Stamm-Container auf allen Domain-Controllern.
  4. Klicken Sie auf Installieren. Der Setup-Assistent verwendet automatisch das richtige msi-Paket für die lokalen Systeme und installiert die entsprechende Sync Server-Version.
  5. Klicken Sie im Assistenten zur Einrichtung des Sync-Servers auf Weiter.
  6. Nun können Sie die Sync-Anbieter auszuwählen, die Sie auf dem Sync-Server installieren möchten. In der Standardeinstellung werden alle Anbieter installiert, die mit dem Produkt mitgeliefert werden. Wenn Sie einen Anbieter nicht verwenden möchten, klicken Sie auf das Symbol an seiner Seite und wählen Sie Gesamte Funktion ist nicht verfügbar aus.
    HINWEIS
    Wenn Sie Ihre eigenen Sync-Anbieter für die in Ihrem Unternehmen verwendeten Systeme entwickeln möchten, wenden Sie sich bitte an den Specops-Support.
  7. Klicken Sie auf Weiter.
  8. Klicken Sie auf Fertigstellen.

Installieren der Verwaltungstools

Durch die Installation der Verwaltungstools werden das Specops Password Sync-Verwaltungstool und das GPMC-Snap-In installiert. Mit dem Verwaltungstool können Sie Systemeinstellungen wie Sync-Geltungsbereiche, -Server und -Punkte konfigurieren. Sie können das GPMC-Snap-In verwenden, um Specops Password Sync-Richtlinien in einem Gruppenrichtlinienobjekt zu konfigurieren. Das GPO kann dann auf Ihre gesamte Domain oder einen Teil Ihrer Domain angewendet werden.

Die Verwaltungstools sollten auf dem Computer installiert sein, von dem aus Sie das Produkt verwalten möchten.

  1. Wählen Sie im Setup-Assistenten die Option Verwaltungstools.
  2. Überprüfen Sie, ob Sie alle Voraussetzungen erfüllen. Wenn Sie die Voraussetzungen nicht erfüllen, müssen Sie möglicherweise Folgendes tun:
    • Installieren Sie .NET Framework 4 oder höher.
    • Stellen Sie sicher, dass der Benutzer, der den Setup-Assistenten ausführt, ein Unternehmens- oder Domain-Administrator ist.
  3. Klicken Sie auf Installieren.

Konfiguration nach der Installation

Nach der Installation von Specops Password Sync müssen Sie folgende Konfigurationseinstellungen vornehmen.

Importieren Ihres Lizenzschlüssels

Geben Sie Ihren Lizenzschlüssel im Feld Specops Password Sync-Verwaltungstool ein.

  1. Öffnen Sie das Specops Password Sync-Verwaltungstool.
  2. Sie werden aufgefordert, Ihren Lizenzschlüssel zu importieren. Navigieren Sie zum Speicherort der entsprechenden TXT-Datei und klicken Sie auf Öffnen.

Vergewissern Sie sich, dass der Password Change Notifier auf allen Ihren Domain-Controllern installiert wurde.

HINWEIS
Ihre Domain-Controller müssen nach der Installation neu gestartet werden.

Vergewissern Sie sich, dass die auf dem oder den Sync-Servern verwendeten Zertifikate von den Domain-Controllern als vertrauenswürdig eingestuft werden.

Hinzufügen von Mitgliedern zu den lokalen Specops Password Sync-Sicherheitsgruppen

Verwenden des Einrichtungsassistenten, um eine Grundkonfiguration zu erstellen

Mit dem Einrichtungsassistenten auf der Willkommensseite des Verwaltungstools können Sie die Grundeinstellungen für die Synchronisierung von Kennwörtern schnell erstellen und konfigurieren.

Zum Erstellen einer Grundkonfiguration klicken Sie auf Setup-Assistent.

Einen Sync-Geltungsbereich erstellen

Synchronisierungs-Geltungsbereiche werden verwendet, um grundlegende Verwaltungseinheiten für die Kennwortsynchronisierung zu erstellen. Der Geltungsbereich ist an eine Ebene in Ihrer Active Directory-Struktur gebunden und ermöglicht die Anwendung von Specops Password Sync auf die Benutzerobjekte unterhalb der ausgewählten Ebene.

In großen Umgebungen, in denen die Benutzerverwaltung an mehreren Standorten stattfindet, sollten Sie mehrere Sync-Geltungsbereiche erstellen.

  1. Geben Sie einen Namen für den Sync-Geltungsbereich ein.
  2. Klicken Sie auf Durchsuchen, um den Benutzerverwaltungsgeltungsbereich auszuwählen.
    HINWEIS
    • Das System weist standardmäßig den Domain-Stamm als Verwaltungsgeltungsbereich zu. Sie sollten den Verwaltungsgeltungsbereich ändern, wenn Sie eine engere Auswahl von Benutzern benötigen.
    • Die Kennwortsynchronisierung erfolgt, nachdem die Gruppenrichtlinieneinstellungen für alle Synchronisierungspunkte konfiguriert wurden.
  3. Klicken Sie auf Weiter.

Konfigurieren der systemweiten E-Mail-Einstellungen

Sie müssen die Standard-E-Mail-Einstellungen konfigurieren, die das System zum Senden von E-Mails verwendet. Sie können die systemweiten Einstellungen in jedem Sync-Geltungsbereich außer Kraft setzen.

  1. Geben Sie in das Feld SMTP-Servername den Namen des SMTP-Servers ein.
  2. Geben Sie in das Feld E-Mail-Absenderadresse die E-Mail-Adresse ein, von der aus das System die E-Mails versenden soll.
  3. Geben Sie in das Feld Admin-E-Mail-Adresse die administrative E-Mail-Adresse ein, die E-Mails vom System erhalten soll.
  4. Klicken Sie auf Weiter.

Erstellen eines Sync-Punkts mit einem Sync-Server und einem Sync-Anbieter

Die Sync-Punkte steuern die Einstellungen, die bei der Synchronisierung eines Kennworts mit einem anderen System verwendet werden.

Sie benötigen einen Sync-Punkt für jedes System, mit dem Sie sich synchronisieren möchten. Sie müssen mehrere Sync-Punkte für die Synchronisierung mit demselben externen System konfigurieren, wenn Ihr Unternehmen unterschiedliche Synchronisierungseinstellungen für verschiedene Arten von Benutzern benötigt.

Der Sync-Punkt gibt auch an, welcher oder welche Synchronisationsserver für die Synchronisation verwendet werden sollen, so dass Sie separate Sync-Punkte mit unterschiedlichen Servereinstellungen für verschiedene Bereiche Ihrer Organisation erstellen können.

  1. Wählen Sie aus der Dropdownliste der Sync-Server den Server aus, den Sie mit dem Sync-Punkt verwenden möchten.
  2. Wählen Sie in der Anbieterliste den Sync-Anbieter aus, den Sie mit Ihrem Sync-Punkt verwenden möchten. Der Anbieter ist das System, mit dem Sie Kennwörter synchronisieren möchten.
  3. Klicken Sie auf Weiter.

Konfigurieren der Synchronisationseinstellungen eines Anbieters

Sie müssen den von Ihnen gewählten Anbieter mit den erforderlichen Einstellungen konfigurieren, um eine Verbindung zum Fernsystem herstellen und Kennwörter synchronisieren zu können. Die konfigurierbaren Einstellungen variieren zwischen den einzelnen Sync-Anbietern.

Erstellen eines GPO mit Specops Password Sync-Einstellungen

Wenn Sie den Anbieter mit den Synchronisierungseinstellungen konfiguriert haben, können Sie das GPO in Ihrer Domain automatisch erstellen. Wenn Sie das GPO automatisch erstellen, wird es mit der gleichen Ebene in Active Directory verknüpft wie der für den Sync-Geltungsbereich ausgewählte Verwaltungsbereich.

Sie können es auch manuell über die Verwaltungskonsole für Gruppenrichtlinien erstellen.