突然ですが、Forefront Identity Manager 2010のFIM Password and Authentication Extensionsの自動インストールの方法を紹介します。
このブログでのHow toの紹介は珍しい…?
FIM2010自体のインストールは下記のブログのカテゴリがとても参考になります。
今回扱うのはFIM2010の機能の一つであるパスワードのセルフサービスリセット。一般的なAD環境の場合、パスワードを忘れたらシステム管理者が逐次対応する必要があるのですが、これによりユーザー自信で「秘密の質問」を使ったパスワードリセットが行えるようになります。
以下の説明はMSDN版のFIM2010をもとに作っているので、製品版では異なる可能性があるのでご注意ください。
この機能の展開時、クライアントにAdd-ins and extensions以下にあるAdd-ins and extensions_ja-JP.msiを展開することになりますが、msiインストール時にFIMサーバーを指定したりする必要があり、そのままではADのGPOを使った自動展開が利用できません。
TechNetには無人インストールの項目がありますが、msiexecのパラメータを追記する方法なので、GPOで出来なくは無いですが、スクリプトを使うことになるので、アンインストール機能が使えなかったりしますし、スマートでは無いです。
Unattended Installation of FIM 2010
とこで、ここにちらっと「Create an MST file」という項目があります。MSTというMSIの差分ファイルを作って無人インストールを行う方法が提案されています。これには、Orcaと呼ばれるMSI編集ツールが用いられるのですが、MSTファイルを作らなくても、そのままMSIファイルを編集しちゃえますので、今回はそちらで行きます。
OrcaはWindows SDKに付属しているOrca.msiからインストールする必要があります。VisualStudioをインストールしている人は大抵付属しているので
C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Bin
(“v7.0A”は環境次第)
あたりを見に行くとOrca.msiがあるかと思います。
Orcaを起動したらOpenから該当するMSIファイルを開きます。この際、上書きしますのでコピーを利用して下さい。
TablesからPropertyを選んで、右側にAdd Rowから以下の情報を追加します。
- ADDLOCAL
- インストールするコンポーネント。今回は”PasswordClient”を指定。
- RMS_LOCATION
- FIMサーバーのアドレスorホストを入力
- SITELOCK_DOMAIN
- パスワードリセットの設定を行うためのActiveXをコントロールを開始するサイトの一覧をセミコロンで区切って入力します。
これらの情報を入力したら、上書き保存します。このMSIをGPOで展開すれば自動的にコンピューターにインストールされます。なお、このMSIをインストール後には再起動が必要なのでご注意ください。
追記 2012/01/28
注意事項として、自動インストールの祭、本来Add-ins and extensions_ja-JP.msiがあるサブディレクトリをmsiexecが読みに行くので、MSIファイルだけでなく、そちらも適切な場所に展開する必要があります。