Active Directory skeemi värskendamine. Active Directory skeemi laiendamine

Teatavasti ei kesta miski igavesti, kõik muutub, eriti sellises tööstusharus nagu IT. Kui infrastruktuur on kasutusele võetud, areneb see pidevalt, laieneb ja täiustatakse ning saabub hetk, mil teie Active Directory nõutav domeenikontrolleri sisestamiseks, mida haldab rohkem kui hilisem versioon operatsioonisüsteem.

Näib – milles probleem? Kuid nagu praktika näitab, tekivad probleemid, peamiselt seetõttu, et süsteemiadministraatoritel on vähe teadmisi teooriast ja nad on ausalt öeldes segaduses. see küsimus. Seetõttu on aeg välja mõelda, mis see on AD skeem ja kuidas see meie juhtumiga seotud on.

AD vooluring nimetatakse kõigi kataloogiobjektide ja nende atribuutide kirjelduseks. Põhimõtteliselt peegeldab diagramm põhistruktuur kataloogi ja on selle nõuetekohaseks toimimiseks ülimalt oluline.

OS-i uued versioonid sisaldavad uusi objekte ja atribuute, nii et selleks, et need domeenikontrolleritena korralikult toimiksid, peame skeemi värskendama.

See näib olevat selge, kuid mitte täielikult, nii et liigume edasi levinud vigade ja väärarusaamade juurde.

Skeemi värskendamine on vajalik Windowsi uuemaid versioone kasutavate arvutite kaasamiseks domeeni. See pole tõsi, isegi kõige rohkem uusimad versioonid Windows võib domeenis üsna edukalt töötada Windowsi tase 2000 ilma skeemi värskenduseta. Kuigi skeemi värskendamisel ei juhtu midagi hullu.

Uuemat OS-i kasutava kontrolleri kaasamiseks domeeni peate domeeni (metsa) uuendama. See pole samuti tõsi, kuid erinevalt eelmisest juhtumist muudab see toiming võimatuks domeenikontrollerite kasutamise, mis töötavad selle töörežiimist madalamas operatsioonisüsteemis. Seetõttu peate vea korral oma AD-struktuuri varukoopiast taastama.

Samuti juhime teie tähelepanu metsa ja domeeni töörežiimile. Metsa kaasatud domeenid võivad olla erinevad režiimid tööd, näiteks üks domeenidest võib töötada Windowsi režiim 2008 ja ülejäänud Windows 2003 režiimis. Metsa tööskeem ei saa olla kõrgem kui vanima domeeni tööskeem. Meie näites ei saa metsa töörežiim olla kõrgem kui Windows 2003.

Samas ei takista metsa madalam töörežiim kuidagi rohkem kasutamist kõrge režiim domeenis töötades on vaja ainult skeemi värskendada.

Olles teooriaga kurssi viinud, liigume edasi praktiline näide. Oletame, et meil on Windows 2000 taseme domeen (segarežiim) – kõige rohkem madal tase AD - mille all on kontroller Windowsi juhtimine 2003 ja meie eesmärk on luua ebaõnnestunud kontrolleri asemele uus.

Uues serveris töötab Windows 2008 R2. Pange tähele, et meil ei olnud lubamisel raskusi sellest serverist olemasolevale domeenile.

Kui aga proovime lisada uut domeenikontrollerit, saame veateate:

Uuemat OS-i versiooni kasutava kontrolleri edukaks lubamiseks peame värskendama metsaskeemi ja domeeniskeemi. Erandiks on Windows Server 2012, mis uuendab skeemi uue domeenikontrolleri lisamisel iseseisvalt.

Skeemi värskendamiseks kasutage utiliiti Adprep, mis asub kaustas \support\adprep peal paigaldusketas Windows Server. Alates Windows Server 2008 R2-st on see utiliit vaikimisi 64-bitine; kui teil on vaja kasutada 32-bitist versiooni, peaksite selle käivitama adprep32.exe.

Metsaskeemi värskendamiseks see utiliit tuleks käivitada Skeemi omanik ja domeeni skeemi värskendamiseks Infrastruktuuri omanik. Et teada saada, millistel kontrolleritel on vajalikud FSMO rollid, kasutage käsku:

Netdomi päring FSMO

Windows 2008 ja uuemates versioonides on see utiliit vaikimisi installitud ja Windows 2003 puhul tuleb see installida kataloogis olevalt kettalt \support\tööriistad

Selle käsu väljundiks on kõigi loend FSMO rollid ja kontrollerid, kellel on järgmised rollid:

Meie puhul on kõik rollid samas kontrolleris, seega kopeerime kausta \support\adprep peal HDD(meie puhul draivi C: juure) ja jätkake metsaskeemi värskendamisega. Toimingu edukaks lõpuleviimiseks peab teie konto kuuluma järgmistesse rühmadesse:

Skeemi administraatorid
Ettevõtte administraatorid
Selle domeeni administraatorid, kus skeemi omanik asub

Metsaskeemi värskendamiseks käivitage käsk:

C:\adprep\adprep /forestprep

Lugege standardhoiatust ja jätkake, klõpsates C, siis Sisenema.

Algab skeemi värskendamise protsess. Nagu näete, muutub selle versioon 30-lt (Windows 2003) 47-ks (Windows 2008 R2).

Pärast metsaskeemi värskendamist peate värskendama domeeniskeemi. Enne seda peaksite veenduma, et domeen töötab vähemalt Windows 2000 režiimis (native mode). Nagu mäletame, töötab meie domeen segarežiimis, seega peaksime domeeni töörežiimi muutma esmaseks või uuendama selle Windows 2003-ks. Kuna selles domeenis pole meil Windows 2000 töötavaid kontrollereid, oleks kõige mõistlikum domeen uuendada. režiimis.

Domeeniskeemi edukaks värskendamiseks tuleks see toiming läbi viia Infrastruktuuri omanik ja neil on õigused Domeeni administraator. Täidame käsu:

C:\adprep\adprep /domainprep

Ja lugege hoolikalt kuvatavat teavet. Kui uuendate domeeniskeemi operatsioonisüsteemist Windows 2000 või Windows 2003, peate muutma õigusi failisüsteem Sest rühmapoliitika. Seda toimingut tehakse üks kord ja edaspidi, näiteks uuendades skeemi 2008. aasta tasemelt 2008. aasta R2-le, tuleb seda teha. GPO õiguste värskendamiseks sisestage käsk:

C:\adprep\adprep /domainprep /gpprep

AD versioonides ilmusid alates Windows 2008-st uut tüüpi Domeenikontrollerid: kirjutuskaitstud domeenikontroller (RODC), kui kavatsete sellist kontrollerit juurutada, peate koostama skeemi. Üldiselt soovitame seda teha seda operatsiooni olenemata sellest, kas kavatsete lähitulevikus RODC-i installida või mitte.

Seda toimingut saab teha mis tahes domeenikontrolleriga, kuid peate olema selle liige Ettevõtte administraatorid Ja Nimede panemise meister Ja Infrastruktuuri meister peab olema saadaval.

C:\adprep\adprep /rodcprep

Nagu näete, ei tekita domeeniskeemi värskendamine, kui see on õigesti planeeritud, raskusi, kuid igal juhul peaksite meeles pidama, et see on pöördumatu toiming ja vajalikud varukoopiad on käepärast.
Allikas http://interface31.ru/tech_it/2013/05/obnovlenie-shemy-active-directory.html

Active Directory domeenikeskkonna baasil ehitatud võrkude jaoks on raske alahinnata "Active Directory skeemi" tähtsust. See on AD-tehnoloogia alus ja väga oluline on õigesti mõista selle toimimise põhimõtteid. Enamus süsteemiadministraatorid nad ei pööra skeemile piisavalt tähelepanu, kuna sellega tuleb kokku puutuda üsna harva. Selles artiklis räägin teile, mis on vooluringi versioon, miks me peame seda teadma ja mis kõige tähtsam, kuidas seda vaadata praegune versioon. Kõigepealt paar sõna skeemi enda kohta; igal Active Directorys loodud objektil, olgu see siis kasutaja või arvuti, on teatud parameetrid, mida nimetatakse atribuutideks. Kõige lihtne näide võib olla kasutajaobjekti atribuut "Perekonnanimi". Skeem määrab, milliseid objekte saame Active Directorys luua ja millised atribuudid neil on.Active Directory võimaldab kasutada ühes organisatsioonis mitut baasil ehitatud domeenikontrollerit erinevad versioonid Windows OS. Nimelt - peal Windowsi baasil Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Kuna need versioonid anti välja erinevatel aastatel ja igaüks uus versioon sisaldab rohkem funktsioone kui eelmine; igal operatsioonisüsteemil on skeemist oma arusaam. Seega, kui lisate uue Windows Server 2008-põhise kontrolleri organisatsiooni, kus olemasolevad kontrollerid ehitatud Windows Server 2003-le, pidite käivitama Adprep“. Seega olete värskendanud oma organisatsiooni diagrammi tasemele, millega see töötab Windows Server 2008.

Skeemi värskendamise protsess viidi läbi enne esimest installimist Windowsi kontroller Server 2008 ja tegelik protseduur uue kontrolleri installimiseks ei pruugi olla tehtud. Kui te alles alustate koostööd Active Directory organisatsiooniga ja ei tea, milliseid tegevusi enne teie saabumist läbi viidi, peate struktuuri terviklikkuse mõistmiseks teadma, millisel tasemel praeguse organisatsiooni skeem töötab.

Postituse sponsor

Kõik uued väljalasked, viimaste aastate parimad filmid. Parimad lemmikfilmid saidil 5ic.ru

Ahela võimalikud versioonid:

13 – Windows 2000 Server
30 – Windows Server 2003 RTM, Windows 2003 koos Hoolduspakett 1, Windows 2003 koos hoolduspaketiga 2
31 – Windows Server 2003 R2
44 – Windows Server 2008 RTM

Isegi kui kõik teie organisatsiooni kontrollerid töötavad opsüsteemis Windows Server 2003 R2 ja ahela versioon näitab "44", ei tohiks te olla üllatunud, see näitab, et vooluahel on juba värskendatud Windows Server 2008 RTM tasemele, kuid kontroller ise millegipärast polnud põhjust seda paigaldada.

Skeemi versiooni vaatamiseks on mitu võimalust. Lihtsaim meetod on DSQuery utiliidi kasutamine. Selleks sisestage käsureale järgmiste parameetritega käsk:

"dsquery * cn=skeem,cn=konfiguratsioon,dc=domeeninimi,dc=local -scope base -attr objectVersion"

Loomulikult osas " dc= domeeninimi dc= kohalik" peate oma domeeninime asendama. (Näide: dc= Microsoft, dc= com )

Käsu sisestamise tulemuseks on atribuudi " Objekti versioon“, mis on vooluringi versiooninumber:

Riis. 1 Skeemi versiooni hankimine DSQuery utiliidi kaudu.

Teine meetod on pikem ja hõlmab " ADSIEredigeeri. msc“ . Skeemi versiooni vaatamiseks peate looma ühenduse Active Directory skeemi partitsiooniga.

“CN = skeem, CN = konfiguratsioon, DC = domeen, DC = kohalik“

Ja leidke atribuudi väärtus " objectVersion“.

Joonis 2 Skeemi versiooni hankimine läbi " ADSIEredigeeri. msc“.

Teades skeemi versiooni, võite alati julgelt öelda, kas skeemi on vaja uuendada ja kui vaja, siis millisele tasemele.

Tuleb märkida, et skeemi värskendusi saab teha tarkvaraga, mis on tihedalt integreeritud Active Directoryga. Enamik särav eeskuju Microsoft Exchange Server. Ja sageli organisatsiooni planeerimisel Vahetuse rakendamine Server, peate välja selgitama, kas skeem on koostatud? Ja kui jah, siis milline Exchange Serveri versioon. Peal Sel hetkel Active Directoryga töötavad Exchange'i kolm versiooni, kuid skeemi muutmiseks on kuus võimalust.

Saate aru saada, kas server on Active Directory Exchange'i skeemi muutnud, kasutades atribuuti " vahemikUpper", mis võtab järgmise väärtused:

4397 – Exchange Server 2000 RTM
4406 – Exchange Server 2000 koos hoolduspaketiga 3
6870 – Exchange Server 2003 RTM
6936 – Exchange Server 2003 hoolduspaketiga Service Pack 3
10628 – Exchange Server 2007
11116 – Exchange 2007 hoolduspaketiga 1

Nagu näete, toimub skeemi värskendus ka Exchange Server 2000/2003 ja SP1 Exchange 2007 jaoks mõeldud SP3 värskenduskomplekti installimisel.

Kuva atribuudi väärtus " vahemikÜlemine" Saate kasutada DSQuery utiliiti:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=skeem, cn=konfiguratsioon, dc=domeeninimi, dc=local -scope base -attr rangeUpper"

Riis. 3 Atribuudi hankimine " vahemikÜlemine" DSQuery utiliidi kaudu.

Kui pärast selle käsu sisestamist tagastatakse vastus, mis näitab atribuudi puudumist " vahemikÜlemine" võime järeldada, et skeemi pole muudetud.

Skeemi värskendamise protsess on väga oluline punkt igaühele Aktiivsed organisatsioonid Kataloog, seetõttu peaksite vältima tarbetuid, põhjendamatuid toiminguid. Atribuutide olemuse mõistmine " objectVersion"Ja « vahemikÜlemine" annab spetsialistile eelise Active Directoryga töötades võõras organisatsioonis ning on ka abivahendiks probleemide lahendamisel.

Active Directory võimaldab kasutada ühes organisatsioonis mitut domeenikontrollerit, mis on ehitatud Windows OS-i erinevatele versioonidele. Nimelt Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 baasil. Kuna need versioonid ilmusid erinevatel aastatel ning igal uuel versioonil on eelmisest rohkem funktsionaalsust, siis on igal operatsioonisüsteemil oma arusaam skeem. Seega, kui lisasite uue Windows Server 2008-põhise kontrolleri organisatsioonile, kus olemasolevad kontrollerid ehitati Windows Server 2003-le, tuli käivitada " Adprep" Seega olete värskendanud oma organisatsiooni diagrammi tasemele, millega see töötab Windows Server 2008.

Skeemi värskendamise protsess viidi läbi enne esimese Windows Server 2008 kontrolleri installimist ja tegelik protseduur uue kontrolleri installimiseks ei pruugi olla tehtud. Kui te alles alustate koostööd Active Directory organisatsiooniga ja ei tea, milliseid tegevusi enne teie saabumist läbi viidi, peate struktuuri terviklikkuse mõistmiseks teadma, millisel tasemel praeguse organisatsiooni skeem töötab.

Ahela võimalikud versioonid:

13 – Windows 2000 Server
30 – Windows Server 2003 RTM, Windows 2003 hoolduspaketiga Service Pack 1, Windows 2003 hoolduspaketiga Service Pack 2
31 – Windows Server 2003 R2
44 – Windows Server 2008 RTM

Skeemi versiooni vaatamiseks on mitu võimalust. Lihtsaim meetod on DSQuery utiliidi kasutamine. Selleks sisestage käsureale järgmiste parameetritega käsk:

“dsquery * cn=skeem, cn=konfiguratsioon, dc=domeeninimi, dc=local -scope base -attr objectVersion”

Loomulikult osas " dc= domeeninimi dc= kohalik" peate oma domeeninime asendama. (Näide: dc= Microsoft, dc= com )

Käsu sisestamise tulemuseks on atribuudi hankimine " Objekti versioon", mis on skeemi versiooninumber:

Riis. 1 Skeemi versiooni hankimine DSQuery utiliidi kaudu.

Teine meetod on pikem ja hõlmab " ADSIEredigeeri. msc» . Skeemi versiooni vaatamiseks peate looma ühenduse Active Directory skeemi partitsiooniga.

"CN = skeem, CN = konfiguratsioon, DC = domeen, DC = kohalik"

Ja leidke atribuudi väärtus " objectVersion".

Joonis 2 Skeemi versiooni hankimine lisandmooduli kaudu " ADSIEredigeeri. msc».

Teades skeemi versiooni, võite alati julgelt öelda, kas skeemi on vaja uuendada ja kui vaja, siis millisele tasemele.

Tuleb märkida, et skeemi värskendusi saab teha tarkvaraga, mis on tihedalt integreeritud Active Directoryga. Kõige säravam Microsofti näide Exchange Server. Ja sageli on Exchange Serveri juurutamist plaanivas organisatsioonis vaja uurida, kas skeem on koostatud? Ja kui jah, siis milline Exchange Serveri versioon. Praegu on Exchange'i kolm versiooni, mis töötavad koos Active Directoryga, kuid skeemi muutmiseks on kuus võimalust.

Et mõista, kas muudatusi tehti
Exchange serveri Active Directory skeemi leiate atribuudiga " vahemikUpper", mis võtab järgmise väärtused:

4397 – Exchange Server 2000 RTM
4406 – Exchange Server 2000 hoolduspaketiga Service Pack 3
6870 – Exchange Server 2003 RTM
6936 – Exchange Server 2003 hoolduspaketiga Service Pack 3
10628 – Exchange Server 2007
11116 – Exchange 2007 hoolduspaketiga 1

Nagu näete, toimub skeemi värskendus ka Exchange Server 2000/2003 ja SP1 Exchange 2007 jaoks mõeldud SP3 värskenduskomplekti installimisel.

Kuva atribuudi väärtus " vahemikÜlemine" Saate kasutada DSQuery utiliiti:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=skeem, cn=konfiguratsioon, dc=domeeninimi, dc=local -scope base -attr rangeUpper"

Riis. 3 Atribuudi hankimine " vahemikÜlemine" DSQuery utiliidi kaudu.

Kui pärast selle käsu sisestamist tagastatakse vastus, mis näitab atribuudi puudumist " vahemikÜlemine" võime järeldada, et skeemi pole muudetud.

Skeemi uuendamise protsess on iga Active Directory organisatsiooni jaoks väga oluline hetk, seega tuleks vältida tarbetuid ja põhjendamatuid tegevusi. Atribuutide olemuse mõistmine " objectVersion"Ja« vahemikÜlemine" annab spetsialistile eelise Active Directoryga töötades võõras organisatsioonis ning on ka abivahendiks probleemide lahendamisel.

07.04.2011 Brian Desmond

Ajalooliselt on Active Directory (AD) administraatorid ja IT-juhid AD-skeemi laiendamise suhtes tavaliselt ettevaatlikud. Suur osa hirmust tuleneb Microsofti dokumentatsioonist. Windowsi ajad 2000, milles skeemi laiend on kujutatud kui keeruline operatsioon mis nõuavad äärmist ettevaatust. Mõistliku planeerimise korral on aga skeemi laiendamine täiesti riskivaba

AD skeem määratleb kataloogis salvestatud andmete struktuuri. AD toetab natiivselt mitut tüüpi objekte (nt kasutajad) ja atribuute (nt ees- ja perekonnanimi). Kui AD põhiskeem ei sobi hästi andmetega, mida soovite kataloogis salvestada, saate seda täiendada kohandatud objektide ja atribuutidega.

Tavaliselt laiendatakse AD skeemi mitmel põhjusel, millest kõige levinum paljudes organisatsioonides on rakenduse juurutamine, mis nõuab skeemi laiendamist. Hea näide - Microsoft Exchange. Mõnikord tarnijad tarkvara nõuda skeemi laiendamist, et see ühilduks nende rakendustega. Skeemi laiendatakse sageli rakenduste jaoks enda areng või ettevõtte andmete AD-s salvestamise mugavuse huvides.

Salvestusvalikud

Kui plaanite skeemi laiendada, eriti sisemised rakendused, kõigepealt tuleb välja selgitada, kas andmed sobivad AD-s salvestamiseks. Eriti mugav on AD-s salvestada suhteliselt staatilisi (harva muutuvaid) andmeid, mida kasutatakse kogu ettevõttes (paljutatakse üle domeenipiiride) ja mis ei ole konfidentsiaalsed (näiteks pole soovitatav AD-sse salvestada sünnikuupäevi, kaardinumbreid sotsiaalkindlustus jne.).

Kui andmed ei vasta nendele kriteeriumidele, kuid need tuleb siiski paigutada LDAP-kataloogi, on teine võimalus optimaalne. AD kergekaalulised kataloogiteenused (AD LDS, varem ADAM) on AD-i eraldiseisev versioon, mis võib töötada teenusena domeeni liikmeserveris (või domeenikontrolleris – DC) ja käsitleda sarnaselt AD-ga LDAP-le suunatud päringuid. AD domeenikontrollerite hostimise vajadus autentimise ja rakenduste toe jaoks ei ole tüütu piirang, vaid pigem võimalus täpselt kontrollida, kes saab andmeid lugeda ja andmete replikatsiooni suunda, paigutades AD LDS-i eksemplarid sobivatesse asukohtadesse.

Andmesalvestuse primitiivid

AD skeemi mõistmiseks on võtmetähtsusega kaks terminit: klass ja atribuut. Kõik AD elemendid, sealhulgas skeem, on määratletud klasside ja atribuutide alusel. Klassid on andmetüübid, mida tuleb salvestada. Näiteks kasutaja on AD-s klass, nagu arvutigi. Atribuudid on klasside omadused. Kasutajaklassil on eesnime atribuut (givenName) ja perekonnanime atribuut (sn). Klassil "arvuti" on atribuut "operatsioonisüsteem". AD skeem on määratletud kahe klassi alusel: classSchema klasside jaoks ja atribuutide skeem.

Et kasutada analoogiat tüüpilise andmebaasiga, saate klasse võrrelda andmebaasi tabelitega ja atribuute tabeli veergudega. Kuid pidage meeles, et AD kataloogi teabepuu (DIT) andmebaasi struktuur on tegelikult üsna erinev.

Uut tüüpi andmete salvestamise probleemi lahendamisel AD-s tuleb mõelda andmete vastendamisele klassidesse ja atribuutidesse. Kõige rohkem tüüpilised juhtumid Piisab atribuudi lisamisest olemasolevasse klassi (näiteks kasutaja või grupp). Kui soovite lihtsalt salvestada objekti kohta uusi andmeid olemasolevat tüüpi(näiteks kasutaja), proovige esmalt leida sobivaid atribuute AD-s saadaolevate hulgast. Skeem sisaldab tuhandeid atribuute, millest enamikku ei kasutata. Seetõttu näiteks teabe salvestamiseks postiaadress kasutaja, saate rakendada atribuutiphysicalDeliveryOfficeName.

Atribuudi ümberkasutamine muudel eesmärkidel kui selle algne kasutamine on halb lähenemine. Kujutage ette, et atribuut on ümber määratud ja seejärel ostetakse rakendus, mis kasutab seda atribuuti algsel eesmärgil. Peame seda tegema kahekordne töö, sest peate migreerima atribuuti kasutava pärandrakenduse ja seejärel andmed teisaldama. Üldiselt on alati kindlam lisada spetsiaalne atribuut.

Kuid mõnikord on võimalik ainult klassipõhine lähenemine. Kahel juhul on mugavam diagrammi lisada uus klass atribuutide kasutamise asemel. Esimene neist on vajadus jälgida kataloogis uut andmetüüpi. Kui soovite näiteks AD-s firmaautosid jälgida, saate skeemis määrata uue klassi “auto”. Teine juhtum on üks-mitmele kaardistamine.

Ideaalne näide on Microsoft Exchange Server 2010. Iga ActiveSynci abil Exchange'iga sünkroonitud mobiilseade salvestatakse kataloogis spetsiaalse msExchActiveSyncDevice objektiklassi eksemplarina. Need mobiilseadmed salvestatakse kasutaja, seadme omaniku alamobjektidena. See struktuur pakub võrdlust suur number atribuudid (iga seadme jaoks) ühele kasutajale.

Skeemilaienduse sisendandmed

Skeemilaienduse ettevalmistamiseks peate koguma hulga sisendeid. Alles siis saab spetsiaalset atribuuti või klassi arenduskeskkonnas rakendada. Paljud sisendid peavad olema globaalselt ainulaadsed, seega on seda oluline teha vajalik ettevalmistus. Hooletus võib sel juhul põhjustada ohtlikke tagajärgi.

Kõigepealt valige klassi või atribuudi nimi. Nime kõige olulisem osa on eesliide. Atribuutide ja klasside nimed skeemis (ja ostja skeemis kolmanda osapoole rakendus) peab olema kordumatu, nii et eesliite lisamine tagab, et atribuudi ID-de vahel ei teki konflikte.

Tavaliselt kasutatakse eesliitena lühendatud ettevõtte nime. Näiteks kasutan meie ettevõtte atribuutide eesliitena sõna bdcLLC, Brian Desmond Consulting LLC. ABC Corporationi puhul saate kasutada eesliidet abcCorp. Veenduge, et eesliide oleks ainulaadne, kuna puudub üldine eesliidete register. Kui teie ettevõttel on üldine või lühendatud nimi, mõelge välja, kuidas anda sellele ainulaadne pöördepunkt.

Kui nimi on valitud, peate atribuudile või klassile määrama Object Identifier (OID). OID-d - lisakomponent, mis peab olema globaalselt unikaalne. AD (üldisemalt LDAP) ei ole ainus raamistik, mis kasutab identifikaatorina OID-d, nii et Interneti-organisatsioon Määratud numbrite asutus (IANA) määrab ettevõtte päringu alusel kordumatud OID-puud. Ettevõttele omase OID-puu osaks oleva eraettevõtte numbri taotlus töödeldakse tasuta ligikaudu 10 minutiga. Enne kohandatud skeemilaiendite loomise alustamist peate selle hankima. Eraettevõtte numbrit saate taotleda veebisaidil www.iana.org/cgi-bin/assignments.pl.

Kui teil on eraettevõtte number, saate luua ja korraldada praktiliselt piiramatul arvul kordumatuid OID-sid. Joonisel on näidatud meie ettevõtte eraettevõtte numbri OID-puu struktuur. OID-d luuakse puule harude lisamisega, nii et paljud ettevõtted alustavad AD skeemi haru loomisega (joonisel 1.3.6.1.4.1.35686.1) ja seejärel klassiharu ja selle alla atribuudiharu. Kõigi nende harude all määratakse igale uuele atribuudile või klassile OID-d. Joonisel on OID (1.3.6.1.4.1.35686.1.2.1), mis on määratud kasutaja atribuudile myCorpImportantAttr. Väga oluline on ette valmistada sisemine jälgimismehhanism (nt elektrooniline Exceli tabel või SharePointi loend), tagades OID-de ainulaadsuse.

Joonistamine. OID-de hierarhia

Microsoft pakub skripti, mis aitab teil luua OID-d juhuslik väärtus, kuid pole mingit garantiid, et see on ainulaadne. Parim viis- Taotlege IANA organisatsioonis ainulaadset filiaali ja kasutage seda skeemilaiendite jaoks. See protsess on nii lihtne, et te ei pea kasutama Microsoft OID genereerimisskripti.

Ülejäänud kaks sisendparameeter on atribuutidele spetsiifilised ja sõltuvad nende tüübist. Äärmiselt kasulikke lingiatribuute kasutatakse AD objektide vaheliste linkide salvestamiseks. Need salvestatakse AD-andmebaasi viidetena, nii et viiteid uuendatakse kohe, lähtudes objekti asukohast metsas. Kaks tüüpiline näide seotud atribuudid – grupi kuulumine (member ja memberOf) ja juhi/töötaja suhe (manager/directReports). Lingitud atribuutide puhul kehtivad edasi- ja tagasilinkide kontseptsioonid. Edasilink on atribuutidevahelise seose redigeeritav osa. Näiteks grupi liikmesuse puhul on grupi liikmeatribuudiks edasilink; Kasutaja atribuut MemberOf on tagasilink. Grupi liikmesuse redigeerimisel tehakse muudatused liikme atribuudis (edasilink), mitte liikmeobjekti atribuudis memberOf (tagasilink).

AD-s lingitud atribuutide määratlemiseks peate määratlema kaks atribuuti (edasilink ja tagasilink) ning lisama igale neist atribuutidest lingi identifikaatori (linkID). Lingi ID-d peavad olema metsa sees kordumatud ja kuna lingi ID-sid vajavad ka teised skeemi laiendust nõudvad rakendused, tuleb need muuta globaalselt unikaalseks. Minevikus Microsofti ettevõte avaldatud lingi identifikaatorid kolmandate osapoolte organisatsioonid, kuid alates Windows Server 2003-st tutvustas AD selle asemel spetsiaalset osutit, mis võimaldab teil genereerida unikaalseid lingiidentifikaatoreid, kui lisate atribuudipaariga lingitud skeemi.

AD eeldab, et linkide ID-d on järjestikused numbrid. Täpsemalt on edasilingi atribuut paarisarv ja sellele järgnev number määratakse atribuudile tagasilink. Näiteks liikme ja memberOf (grupi liikmesus) puhul on liikme lingi ID 4 ja memberOf lingi ID 5. Kui laiendatud skeem peab ühilduma Windows 2000 metsaga, peate määratlema staatilised lingi ID-d sellisel viisil. kirjeldatud. Vastasel juhul peaksite kasutama automaatset lingi ID genereerimise protsessi, mis on juurutatud Windows Server 2003-s. Kasutamiseks automaatne protsess Lingi ID-de loomisel järgige skeemilaiendi määratlemisel allolevaid juhiseid. Skeemi laiendusprotsessi ajal, nagu artiklis hiljem kirjeldatud, on seotud atribuutide (kui need on laienduse osa) koostamiseks vajalikud järgmised sammud.

Esmalt valmistage ette edasilink, kasutades lingi ID-d 1.2.840.113556.1.2.50. Pange tähele, et kuigi antud väärtus Link ID on OID, Microsoft reserveerib selle OID väärtuse lihtsalt automaatse lingi ID loomiseks.

Seejärel laadige skeemi vahemälu uuesti. Pärast seda looge edasisuunalise lingi atribuudi lingi ID abil tagasilingi atribuut ja laadige uuesti skeemi vahemälu.

Teine unikaalne (ja ka valikuline) atribuudielement on MAPI identifikaator. MAPI identifikaatorid on Exchange Serveri funktsioon. Kui teil pole Exchange'i või peate atribuuti näitama globaalses aadressiloendis (GAL), võite selle jaotise vahele jätta. MAPI identifikaatoreid kasutatakse atribuutide kuvamiseks ühel atribuutide lehel aadressiraamat, näiteks mall Üldised kasutajaandmed (vt ekraani). Näiteks kui soovite GAL-is kuvada töötajate klassifikatsiooni (täistööajaga töötaja või lepinguline töötaja), määrake MAPI identifikaatoriks sobiv atribuut. Kui MAPI ID on atribuudile määratud, saate Exchange'i üksikasjade mallide redaktori abil sisestada atribuudi andmed Office Outlooki GAL-i vaatesse.

MAPI identifikaatorid peavad olema kordumatud, nagu ka OID-d ja viiteidentifikaatorid. Varem ei olnud võimalik luua kordumatuid MAPI identifikaatoreid, seega olid need identifikaatorid alati nõrk koht skeemi laiendamisel. Õnneks tutvustas Windows Server 2008 võimalust luua kataloogis automaatselt kordumatuid MAPI ID-sid, et vähendada MAPI ID-de dubleerimise ohtu. Selle funktsiooni kasutamiseks määrake atribuudi loomisel MAPI ID atribuudile väärtus 1.2.840.113556.1.2.49. AD genereerib atribuudile kordumatu MAPI ID pärast skeemi vahemälu uuesti laadimist. Pange tähele, et kuigi see väärtus on OID, on see AD-s reserveeritud selleks, et näidata MAPI ID-de automaatset genereerimist, sarnaselt ülalkirjeldatud lingi ID-de automaatsele genereerimisele.

Tehke kokkuvõte. Ahela laiendamise kavandamisel tuleb arvestada kolme kriitilise sisendparameetriga. Esimene on klassi või atribuudi nimi; teine on ainulaadne eesliide, mis on määratud kõikidele klassidele ja atribuutidele; kolmas on OID. OID genereerimiseks peate taotlema IANA organisatsioonilt ainulaadset OID haru. Kui luuakse lingitud atribuutide paar, on vaja unikaalset lingiidentifikaatori paari. Kui soovite atribuuti kuvada Exchange GAL-i loendis, peate kasutama kordumatut MAPI-identifikaatorit. Nii lingi ID-de kui ka MAPI ID-de puhul on staatiliste väärtuste kasutamisele eelistatav kasutada AD-s automaatset genereerimisprotsessi.

Rakendamise planeerimine

Kohandatud skeemilaienduse juurutamisel või pakkuja atribuutide ja klassidega skeemi laiendamisel peate oma AD-metsa terviklikkuse kaitsmiseks tegema esialgseid planeerimistoiminguid. Esimene samm on kontrollida skeemi laiendit.

Kohandatud skeemi laienduse ettevalmistamisel kasutage ajutist arenduskeskkonda. AD Lightweight Directory Service (AD LDS) on lauaarvuti jaoks tasuta allalaadimiseks saadaval Windowsi jaamad XP ja Windows 7. Sees tööjaam saate luua AD LDS-i eksemplari, ehitada sisse skeemilaiendi isoleeritud keskkond ja seejärel eksportige see laiendus hilisemaks importimiseks test AD metsa. AD LDS-skeem ühildub AD-ga, nii et saate eksportimiseks kasutada LDIFDE-d. Saate importida lõpetatud skeemi laienduse test AD-metsa ja seejärel kontrollida, kas importimine õnnestus ja kriitilisi rakendusi see ei mõjutanud. AD puhul peaksite plaanima testida, kas importimine õnnestus ja kas replikatsioon oli testkeskkonnas õige.

Kui testite skeemilaiendit AD testmetsas, peab selle skeem ühtima tootmismetsaga. Sel juhul viiakse testimine lõpule. Kahe AD metsa vahelise skeemierinevuste tuvastamiseks saate kasutada tööriista AD Schema Analyzer (osa AD LDS-ist). TechNeti artiklis "Active Directory skeemide eksport, võrdlemine ja sünkroonimine" (http://technet.microsoft.com/en-us/magazine/2009.04.schema.aspx) kirjeldatakse skeemilaiendite importimist ja eksportimist ning kasutamist. AD Schema Analyzeri tööriist. Pange tähele, et disainilahenduste võrdlemisel võib esineda mõningaid erinevusi, olenevalt hoolduspakettidest ja Windowsi versioonid, eelkõige atribuutide indekseerimisel ja kustutamismärkide salvestamisel.

Muudest allikatest hangitud skeemilaiendite jaoks (näiteks koos kaubanduslik rakendus), on vaja tagada, et kaasnevad muudatused ei sisalda riske. Lisaks kõikidele ülalkirjeldatud sisendandmetele pöörake kindlasti tähelepanu mitmetele muudele asjaoludele. Allpool on võtmeparameetrid asjad, mida kontrollida:

tarnitakse LDIF-failina (mitu LDIF-faili);
atribuutide eesliidete õigsus;
registreeritud OID-d;
registreeritud/automaatselt genereeritud lingi identifikaatorid;
automaatselt genereeritud MAPI identifikaatorid.

LDIF-failid on tööstusharu standard: kõik skeemilaiendid tuleb edastada selles vormingus. Rakendustel on skeemilaiendite jaoks lubatud LDIFDE asemel kasutada spetsiaalset impordimehhanismi. Kuid kui laiendus tarnitakse muus vormingus, tekib kahtlus selle õigsuses ja tarnija usaldusväärsuses. B näitab LDIF-i näidist AD-skeemis atribuudi loomiseks, et salvestada teavet kasutaja kinga suuruse kohta. Tuleb märkida järgmisi funktsioone selle näidisskeemi laiendi kohta.

Atribuudi eesliide põhineb teenusepakkuja ettevõtte nimel (Brian Desmond Consulting, LLC: bdcllc).
Atribuudi kordumatu OID väljastatakse müüja registreeritud eraettevõtte numbri abil.
Atribuut on indekseeritud (otsingu lipud: 1) ja saadaval globaalses kataloogis (isMemberOfPartialAttributeSet: TRUE).

Kui atribuuti kasutatakse LDAP-i otsingufiltrites, peate ka veenduma, et atribuut on saadaval osalise atribuudikomplekti (PAS) globaalses kataloogis ja et atribuudi jaoks loodud indeksid on õiged. Samuti on kasulik tagada, et atribuudis salvestatud andmed on AD jaoks vastuvõetavad eespool käsitletud piirangute ja juhiste kontekstis.

Kui skeemilaiendit on testitud ja see on tootmiseks valmis, peaksite valima õige aeg selle operatsiooni jaoks. Tavaliselt saab selle täita tööajal. Skeemiviisardi käivitamisel suureneb protsessori koormus märgatavalt ja muudatusi kopeerivate domeenikontrollerite koormus suureneb veidi. IN suured ettevõtted Kui lisate osalisele PAS-i atribuudikomplektile atribuute, võib domeenikontrollerite vaheline replikatsioon katkeda nelja kuni kuue tunni jooksul. Pausidega kaasnevad veateated, mis viitavad probleemidele objektidega, kuid tavaliselt võib neid ignoreerida ja need kaovad iseenesest. Kui domeenikontrollerid on olnud replikatsioonist pikemaks ajaks lahti ühendatud, peaksite alustama tõrkeotsingut.

Süstemaatiline lähenemine

Kui võtate kasutusele elementaarsed ettevaatusabinõud, pole AD-skeemi laiendamisel ohtu. Uute skeemilaiendite kavandamisel ja kohandatud atribuutide ja klasside kontrollimisel kolmandatest osapooltest tarnijad Märkige iga klassi või atribuudi jaoks ainulaadne identifitseerimisteave ja veenduge, et see on globaalselt kordumatu.

Pärast selle terviklikkuse kontrollimist portige uus laiendus tüüpilisse testkeskkonda ja veenduge, et testkeskkond töötab õigesti ja kriitilised rakendused. Seejärel saate skeemi laienduse oma tootmiskeskkonda importida.

Nimekiri. LDIF-kirjete näidised

Dn: CN=bdcllcShoeSize,CN=skeem, CN=konfiguratsioon,DC=X muudatuse tüüp: lisa objektiklass: top objectClass: atribuutSchema cn: sfsuLiveServiceEntitlements atribuudi ID: 1.3.6.1.4.1.35686.1.4.1.35686.1.4.1.35686.1.4.1.35686.1.4.1.35686.1.4.1.35686.1.4.1.35686.1.4.1.35686.100.1.2.s.syntax5. : VALE showInAdvancedViewOnly: TRUE adminDisplayName: bdcllcShoeSize adminDescription: salvestab kasutaja kinga suuruse oMSyntax: 64 search Lipud: 1 lDAPDisplayName: bdcllcShoeAUSize nimi: bdcllcShoeAUSize nimi: bdcllcShoeSize:MassW6Mass3:SkeemW6Mass:ShemaSize: = isMemberOfPartialAttribute Set: TRUE

FSMO rolliskeemi juht ( Skeemimeister) on üks kahest tasemel tegutsevast rollist metsad Aktiivne Kataloog. See tähendab, et kogu AD metsas peab olema ainult üks skeemide juht.

Active Directory põhiartikkel on . Lugege ka teisi artikleid operatsioonimeistrite rollide kohta -.

Kui olete huvitatud Windows Serveri teemadest, soovitan vaadata jaotist minu ajaveebis.

Skeemi juht – Active Directory skeemi juht

Kas teadsite, et kui AD skeem on kahjustatud, peate taastama kõik CD-d kogu metsas? Kuid see on tõesti tõsi, mistõttu olge vooluringis muudatuste tegemisel väga ettevaatlik. Seniks aga natuke teooriat.

teooria

Kuna skeemide juht on metsataseme roll, on see alati igas AD metsas olemas ühes eksemplaris. Teisisõnu, on ainult üks domeenikontroller, millel on õigus skeemis muudatusi/värskendusi teha, kuid igal domeenikontrolleril on skeemi koopia ja vajadusel saab selle rolli sunniviisiliselt kinni võtta mis tahes DC , aga sellest pikemalt hiljem. Praktikas tehakse vooluringis muudatusi äärmiselt harva, näiteks paigaldamisel Exchange'i server või muud rakendused, mis salvestavad osa oma andmetest (nt konfiguratsiooniobjektid) AD-s.

Ikkagi mis on AD skeem? See on peamiselt objektide ja nende atribuutide kogum, mida kasutatakse andmete salvestamiseks. See määratlus selgitab midagi vähestele inimestele; ma püüan seda näite abil üksikasjalikumalt selgitada. Mis on objekt? Näiteks on objektid kasutaja- või arvutikontod. IN sel juhul AD skeemis on klass kasutaja, mis määratleb kõik kasutajakonto objekti atribuudid:

Iga Konto domeeni kasutajal on kõik need atribuudid. Kuid atribuutide väärtusi ei pruugita määrata. Saate kontrollida, millised atribuudid ja nende väärtused on minu vastloodud domeeni administraatori kontol. Selleks peate minema konsooli adsiedit.msc ja avage vaikenimede kontekst. Hierarhias leiame kasutajaobjekti ja avame selle omadused:

Näete, et objektil on kõik klassis määratletud atribuudid kasutaja. Kui otsustate ise vaadata, mida ma ütlesin, ja teave on teie jaoks erinev, pöörake tähelepanu nupule Filter, võib-olla ei kuvata kõiki atribuute. Näiteks saate veenduda, et kuvatakse ainult atribuudid, millel on väärtused. Halda objekte kaudu adsiedit.msc pole parim idee, tehke seda sobiva varustuse kaudu.

Lõbu pärast saate vaadata Exchange 2013 serveriobjekti atribuute, sest Exchange tutvustab skeemis palju uusi klasse:

Enamikul juhtudel välditakse küsimusi skeemijuhi kohta ja peate teadma, et see roll vastutab AD-skeemi muudatuste tegemise eest. Skeem loodi aga algselt nii, et igaüks võis selles muudatusi teha. See tähendab, et kolmanda osapoole ettevõtted saavad oma rakendused kujundada nii, et nad salvestavad oma andmed AD-s. Selleks on ametlike allikate kohta palju mahukaid juhendeid, osa neist on saadaval ka vene keeles.

Parimad tavad

AD skeemil on põhimõtteliselt oluline et Active Directory töötaks ja nõuab seetõttu asjakohast haldust, kuigi enamasti unustatakse see lihtsalt ära. Allpool on sõnastatud parimad tavad skeemi haldamine.

1) Enne skeemi muutmist alati teha varukoopia . Enne skeemi muutmise protsessi saate loomulikult keelata kõik domeenikontrollerid, välja arvatud üks, mis on selle rolli omanik. Pärast seda tehke domeenikontrollerist varukoopia, tehke kõik vajalikud muudatused ja kui kõik läks hästi, lülitage lihtsalt varem keelatud DC-d sisse. Kui midagi läheb valesti, võtke lihtsalt varukoopiast välja ainus sel ajal töötav kontroller, lülitage teised sisse ja uurige probleemi edasi;

Metsatasemel peavad skeemi juht ja domeeninimede andmise juhtrollid asuma samas domeenikontrolleris (neid kasutatakse harva ja neid tuleks rangelt kontrollida). Lisaks peab domeeninimede ülemrollile määratud kontroller olema ka server globaalne kataloog. Vastasel juhul võivad mõned toimingud, mis kasutavad domeeninime peamist nimetust (nt alamdomeenide loomine), ebaõnnestuda.

Seetõttu peab skeemi pearolli toetav domeenikontroller vastutama ka domeeninimede pearolli eest ja olema globaalne kataloog.

3) Kui olete mingil põhjusel skeemi hostserveri kaotanud, saate selle rolli jõuga haarata mis tahes muus domeenikontrolleris, kuid pidage meeles, et pärast seda skeemi omanik ei tohiks võrku ilmuda.

4) Kui see pole tingimata vajalik ärge tehke skeemi muudatusi käsitsi. Kui teil on seda siiski vaja teha, vaadake punkti 1.

Liigume sujuvalt teoorialt praktikale.

Skeemi haldamine

Kõigepealt tasub öelda, et skeemi haldamiseks peavad teil olema vähemalt õigused Skeemi administraator. muud volitatud kasutajad neil on kirjutuskaitstud õigused, kuigi põhimõtteliselt saab õigusi muuta. Enamik haldustoiminguid tehakse Active Directory skeemihalduse lisandmoodulis, mis pole vaikimisi saadaval ja nõuab selle lubamiseks teegi registreerimist. schmmgmt.dll. Selleks käivitame käsurida administraatori õigustega ja käivitage:

Visual Basic

regsvr32 schmmgmt.dll

regsvr32 schmmgmt . dll

Saame teate:

Pärast seda konsoolis MMC varustuse leiate Active Directory skeem. Käsk tuleb käivitada igas domeenikontrolleris, millel kavatsete skeemi administreerida.

Oletame, et teil on kaks domeenikontrollerit ja soovite üle kanda skeemi pearolli DC01-st DC02-sse:

Avage varustus DC01-s, paremklõps kliki Active Directory skeem ja vali Vaheta kontrollerit domeen Aktiivne Kataloog;
Järgmiseks vali domeenikontroller, kuhu tahame rolli üle kanda (minu jaoks on selleks DC02, vaikimisi on alati valitud server, mis rolli omab). Kinnitame hoiatuse;
Paremklõpsake uuesti Active Directory skeem, aga me juba valime Operatsiooni omanik...;
Klõpsake nuppu Muuda.

Pärast seda peate oma valikut kinnitama ja saama teate rolli eduka üleviimise kohta.

See lõpetab fsmo rolliskeemi omaniku ülevaate, võib-olla lähiajal täiendan artiklit juhistega, kuidas sundida rolli teiste domeenikontrollerite poolt kinni võtma.