Pagpapalawak ng schema ng Active Directory. Bersyon ng Active Directory Schema

Ang isang schema sa AD DS ay isang hanay ng mga kahulugan para sa lahat ng mga uri ng bagay at ang kanilang mga nauugnay na katangian sa isang direktoryo. Tinutukoy ng schema ang paraan kung paano dapat mag-imbak at mag-configure ang AD DS ng data tungkol sa lahat ng user, computer, at iba pang mga bagay upang magkaroon sila ng karaniwang view sa buong istraktura ng AD DS. Ito ay protektado ng paggamit ng Discretionary Access Control Lists (DACLs) at responsable para sa pagbibigay ng mga posibleng katangian para sa bawat bagay sa AD DS. Sa esensya, ang schema ay ang pangunahing kahulugan ng direktoryo mismo at ang batayan para sa paggana ng kapaligiran ng domain. Ang matinding pag-iingat ay dapat gamitin kapag nagtatalaga ng mga karapatan sa pamamahala ng schema sa isang piling pangkat ng mga administrator dahil ang mga pagbabagong ginawa sa schema ay nakakaapekto sa buong AD DS environment.

Mga bagay sa schema

Ang mga elemento na naka-imbak sa loob ng istraktura ng AD DS, tulad ng mga user, printer, computer, at site, ay tinatawag na mga bagay sa loob ng schema. Ang bawat naturang bagay ay may sariling listahan ng mga katangian na tumutukoy sa mga katangian nito at maaaring magamit upang hanapin ito.

Extension ng schema

Ang isa sa mga pangunahing benepisyo ng disenyo ng AD DS ay ang kakayahang direktang baguhin at palawigin ang schema upang maisama ang mga custom na katangian. Karaniwan, nangyayari ang pagpapalawak ng set ng katangian sa panahon ng pag-install ng system. Microsoft Exchange Server, kung saan pinalawak ang scheme na halos doble ang laki nito. Kapag nagsasagawa ng pag-update mula sa Windows Server 2003 o Windows Server 2008 AD sa Windows Server 2008 R2 AD DS, ang schema ay pinalawak din, bilang resulta kung saan ang mga katangiang partikular sa Windows Server 2008 R2 ay idinagdag dito. marami mga produkto ng ikatlong partido nagbibigay din ng sarili nilang mga paraan ng pagpapalawak ng schema, na nagbibigay sa kanila ng kakayahang magpakita ng sarili nilang mga uri ng impormasyon mula sa catalog.

As you know, nothing lasts forever, everything change, especially in an industry like IT. Kapag na-deploy na, ang imprastraktura ay patuloy na umuunlad, lumalawak, bumubuti, at darating ang panahon na kailangan mong magdagdag ng domain controller na pinamamahalaan ng higit sa isang tao sa iyong Active Directory. mamaya na bersyon operating system.

Mukhang - ano ang problema? Ngunit, tulad ng ipinapakita ng kasanayan, ang mga problema ay lumitaw dahil sa katotohanang iyon mga tagapangasiwa ng system may maliit na utos ng teorya at hayagang nalilito sa ang isyung ito. Samakatuwid, oras na upang malaman kung ano ito AD scheme at kung paano ito nauugnay sa aming kaso.

AD circuit ay tinatawag na isang paglalarawan ng lahat ng mga object ng direktoryo at ang kanilang mga katangian. Mahalagang sumasalamin ang diagram pangunahing istraktura direktoryo at pinakamahalaga para sa wastong paggana nito.

Ang mga bagong bersyon ng OS ay naglalaman ng mga bagong object at attribute, kaya para gumana nang maayos ang mga ito bilang domain controllers, kakailanganin naming i-update ang schema.

Tila malinaw, ngunit hindi ganap, kaya lumipat tayo sa mga karaniwang pagkakamali at maling kuru-kuro.

Ang pag-update ng schema ay kinakailangan upang isama ang mga PC na nagpapatakbo ng mga bagong bersyon ng Windows sa domain. Ito ay hindi totoo, kahit na ang karamihan pinakabagong bersyon Maaaring matagumpay na tumakbo ang Windows sa isang domain Antas ng Windows 2000 nang walang pag-update ng schema. Bagaman, kung i-update mo ang scheme, walang masamang mangyayari.

Upang magsama ng controller na nagpapatakbo ng mas bagong OS sa isang domain, kailangan mong i-upgrade ang domain (kagubatan). Hindi rin ito totoo, ngunit hindi tulad ng nakaraang kaso, gagawing imposible ng operasyong ito na gumamit ng mga domain controller na nagpapatakbo ng OS na mas mababa kaysa sa operating mode nito. Samakatuwid, sa kaso ng isang error, kailangan mong ibalik ang iyong istraktura ng AD mula sa isang backup.

Dadalhin din namin ang iyong pansin sa operating mode ng kagubatan at domain. Maaaring mayroon ang mga domain na kasama sa kagubatan iba't ibang mga mode trabaho, halimbawa ang isa sa mga domain ay maaaring gumana sa Windows mode 2008, at ang natitira sa Windows 2003 mode Ang forest operating scheme ay hindi maaaring mas mataas kaysa sa operating scheme ng pinakalumang domain. Sa aming halimbawa, ang forest operating mode ay hindi maaaring mas mataas kaysa sa Windows 2003.

Kasabay nito, ang mas mababang operating mode ng kagubatan ay hindi sa anumang paraan na pumipigil sa paggamit ng higit pa mataas na mode magtrabaho sa domain, ang kailangan lang ay i-update ang schema.

Ang pagkakaroon ng pamilyar sa ating sarili sa teorya, magpatuloy tayo sa praktikal na halimbawa. Sabihin nating mayroon kaming Windows 2000 level domain (mixed mode) - ang pinaka mababang antas AD - na may controller sa ilalim Kontrol sa Windows 2003, at ang aming layunin ay lumikha ng isang bagong controller upang palitan ang nabigo.

Ang bagong server ay nagpapatakbo ng Windows 2008 R2. Pakitandaan na hindi kami nahirapan sa pag-enable ng server na ito sa isang umiiral na domain.

Sa aming kaso, ang lahat ng mga tungkulin ay nasa parehong controller, kaya kinopya namin ang folder \support\adprep sa hard drive(sa aming kaso sa ugat ng C: drive) at magpatuloy sa pag-update ng schema ng kagubatan. Upang matagumpay na makumpleto ang operasyon, dapat na kasama ang iyong account sa mga sumusunod na grupo:

Mga Administrator ng Schema
Mga administrator ng enterprise
Mga administrator ng domain kung saan matatagpuan ang may-ari ng schema

Upang i-update ang schema ng kagubatan, patakbuhin ang command:

C:\adprep\adprep /forestprep

Basahin ang karaniwang babala at magpatuloy sa pamamagitan ng pag-click C, pagkatapos Pumasok.

Magsisimula ang proseso ng pag-update ng schema. Tulad ng nakikita mo, ang bersyon nito ay magbabago mula 30 (Windows 2003) hanggang 47 (Windows 2008 R2).

Pagkatapos i-update ang forest schema, dapat mong i-update ang domain schema. Bago gawin ito, dapat mong tiyakin na ang domain ay tumatakbo kahit man lang sa Windows 2000 mode (native mode). Tulad ng natatandaan namin, ang aming domain ay gumagana sa mixed mode, kaya dapat naming baguhin ang domain operating mode sa pangunahin o i-upgrade ito sa Windows 2003. Dahil sa domain na ito wala kaming mga controller na nagpapatakbo ng Windows 2000, ito ay magiging pinaka-makatwirang upang i-upgrade ang domain mode.

Upang matagumpay na i-update ang schema ng domain, dapat isagawa ang operasyong ito sa May-ari ng imprastraktura at may karapatan Administrator ng Domain. Isinasagawa namin ang utos:

C:\adprep\adprep /domainprep

At maingat na basahin ang impormasyong ipinapakita. Kapag nag-a-upgrade ng schema ng domain mula sa Windows 2000 o Windows 2003, dapat mong baguhin ang mga pahintulot file system Para sa mga patakaran ng grupo. Isinasagawa ang operasyong ito nang isang beses at sa hinaharap, halimbawa, ang pag-update ng schema mula sa antas ng 2008 hanggang 2008 R2, dapat itong maisagawa. Upang i-update ang mga pahintulot ng GPO, ilagay ang command:

C:\adprep\adprep /domainprep /gpprep

Ang mga bersyon ng AD mula noong Windows 2008 ay nagpakilala ng bagong uri ng domain controller: isang read-only domain controller (RODC), kung plano mong mag-deploy ng naturang controller, kailangan mong maghanda ng diagram. Sa pangkalahatan, inirerekomenda namin ang pagsasagawa ng operasyong ito kahit na plano mong i-install ang RODC sa malapit na hinaharap o hindi.

Maaaring isagawa ang operasyong ito sa anumang domain controller, ngunit dapat ay miyembro ka ng Mga administrator ng enterprise At Master ng pagpapangalan At Master ng Infrastruktura dapat available.

C:\adprep\adprep /rodcprep

Tulad ng nakikita mo, ang pag-update ng schema ng domain, kung maayos na binalak, ay hindi nagdudulot ng anumang mga paghihirap, gayunpaman, sa anumang kaso, dapat mong tandaan na ito ay isang hindi maibabalik na operasyon at may mga kinakailangang backup na kopya sa kamay.

Mahirap maliitin ang kahalagahan ng " Mga aktibong scheme Directory" para sa mga network na binuo sa kapaligiran ng domain ng Active Directory. Ito ang batayan ng teknolohiya ng AD at napakahalagang maunawaan nang tama ang mga prinsipyo ng paggana nito. Karamihan sa mga tagapangasiwa ng system ay hindi binibigyang pansin ang pamamaraan dahil sa katotohanan na bihira nilang harapin ito. Sa artikulong ito sasabihin ko sa iyo kung ano ang isang bersyon ng circuit, kung bakit kailangan nating malaman ito, at higit sa lahat, kung paano tingnan ito kasalukuyang bersyon. Una sa lahat, ang ilang mga salita tungkol sa mismong schema, bawat bagay na nilikha sa Active Directory, maging ito ay isang user o isang computer, ay may ilang mga parameter na tinatawag na mga katangian. Ang pinaka simpleng halimbawa maaaring magsilbi bilang katangiang "Apelyido" ng object ng user. Tinutukoy ng schema kung anong mga bagay ang maaari naming gawin sa Active Directory at kung anong mga katangian ang mayroon ang Active Directory na nagbibigay-daan sa paggamit sa loob ng isang organisasyon ng ilang mga controllers ng domain na binuo sa batayan iba't ibang bersyon Windows OS. Namely - sa Nakabatay sa Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Dahil ang mga bersyon na ito ay inilabas sa iba't ibang taon, at ang bawat bagong bersyon ay may higit na pag-andar kaysa sa nauna, ang bawat operating system ay may sariling pag-unawa sa scheme. Samakatuwid, kapag nagdagdag ka ng bagong controller na nakabatay sa Windows Server 2008 sa isang organisasyon kung saan umiiral na mga controller na binuo sa Windows Server 2003, kailangan mong patakbuhin ang " Adprep“. Kaya, na-update mo ang diagram ng iyong organisasyon sa antas kung saan ito gumagana Windows Server 2008.

Ang proseso ng pag-update ng schema ay isinagawa bago ang unang pag-install Windows controller Ang Server 2008 at ang aktwal na pamamaraan para sa pag-install ng bagong controller ay maaaring hindi naisagawa. Kung nagsisimula ka pa lang magtrabaho sa isang organisasyong Active Directory at hindi mo alam kung anong mga aktibidad ang isinagawa bago ka dumating, upang maunawaan ang pagkakumpleto ng istraktura, kakailanganin mong malaman kung saang antas gumagana ang Schema ng kasalukuyang organisasyon.

Mag-post ng Sponsor

Lahat ng mga bagong release, ang pinakamahusay na mga pelikula ng mga nakaraang taon. Pinakamahusay na mga paboritong pelikula sa 5ic.ru

Mga posibleng bersyon ng circuit:

13 - Windows 2000 Server
30 - Windows Server 2003 RTM, Windows 2003 With Service Pack 1, Windows 2003 With Service Pack 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Kahit na ang lahat ng mga controllers sa iyong organisasyon ay tumatakbo sa Windows Server 2003 R2, at ang bersyon ng circuit ay nagpapakita ng "44", hindi ka dapat magulat, ito ay nagpapahiwatig na ang circuit ay na-update na sa antas ng Windows Server 2008 RTM, ngunit ang controller mismo sa ilang kadahilanan ay walang dahilan upang i-install ito.

Mayroong ilang mga paraan upang tingnan ang bersyon ng schema. Ang pinakasimpleng paraan ay ang paggamit ng DSQuery utility. Upang gawin ito sa command line dapat mong ipasok ang command na may mga sumusunod na parameter:

"dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion"

Natural sa bahaging " dc= domainname dc= lokal" dapat mong palitan ang iyong sariling domain name. (Halimbawa: dc= microsoft, dc= com )

Ang resulta ng pagpasok ng utos ay upang makuha ang katangian na " ObjectVersion", na magiging numero ng bersyon ng circuit:

kanin. 1 Pagkuha ng bersyon ng schema sa pamamagitan ng DSQuery utility.

Ang pangalawang paraan ay mas mahaba at nagsasangkot ng paggamit ng " ADSIEedit. msc“ . Upang tingnan ang bersyon ng schema, kakailanganin mong kumonekta sa partition ng schema ng Active Directory.

“CN=Schema,CN=Configuration,DC=domain,DC=local“

At hanapin ang halaga ng katangian " objectVersion“.

Fig.2 Pagkuha ng bersyon ng schema sa pamamagitan ng “ ADSIEedit. msc“.

Alam ang bersyon ng scheme, maaari mong palaging sabihin nang may kumpiyansa kung ang scheme ay kailangang i-update at, kung kinakailangan, sa anong antas.

Dapat tandaan na ang mga pag-update ng schema ay maaaring gawin software mahigpit na isinama sa Active Directory. Ang pinakamaliwanag Halimbawa ng Microsoft Exchange Server. At madalas sa isang pagpaplano ng organisasyon Pagpapatupad ng exchange Server, kailangan mong malaman kung ang schema ay inihanda? At kung gayon, anong bersyon ng Exchange Server. Naka-on kasalukuyang sandali May tatlong bersyon ng Exchange na gumagana sa Active Directory, ngunit mayroong anim na opsyon para sa pagbabago ng schema.

Unawain kung binago ang Active Directory Schema Exchange server posible sa pamamagitan ng katangian " rangeUpper", na kumukuha ng mga sumusunod mga halaga:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 Gamit ang Service Pack 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 Gamit ang Service Pack 3
10628 - Exchange Server 2007
11116 - Exchange 2007 Gamit ang Service Pack 1

Gaya ng nakikita mo, nangyayari rin ang pag-update ng schema kapag ini-install ang set ng pag-update ng SP3 para sa Exchange Server 2000/2003 at SP1 para sa Exchange 2007.

Tingnan ang halaga ng katangian " rangeUpper" maaari mong gamitin ang DSQuery utility:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=configuration, dc=domainname, dc=local -scope base -attr rangeUpper"

kanin. 3 Pagkuha ng katangian " rangeUpper" sa pamamagitan ng DSQuery utility.

Kung pagkatapos ipasok ang utos na ito isang tugon ay ibinalik na nagpapahiwatig ng kawalan ng katangian " rangeUpper" maaari nating tapusin na ang pamamaraan ay hindi nabago.

Ang proseso ng pag-update ng schema ay napaka mahalagang punto para sa bawat isa Mga aktibong organisasyon Direktoryo, samakatuwid dapat mong iwasan ang mga hindi kailangan, hindi makatwirang pagkilos. Pag-unawa sa kakanyahan ng mga katangian " objectVersion"At « rangeUpper" nagbibigay ng kalamangan sa isang espesyalista kapag nagtatrabaho sa Active Directory sa isang hindi pamilyar na organisasyon, at isa rin itong pantulong na tool kapag nilulutas ang mga problema.

Mula nang ilabas ang Active Directory sa bahagi ng Windows Noong 2000, binigyan ng Microsoft ang mga user ng kahulugan ng base schema para sa pagpapatupad ng Active Directory.

Ang paglabas ng Active Directory® ay minarkahan din ng pagbabago sa paraan ng pagsulat at pagpapatupad ng maraming application sa Windows®. Noong nakaraan, ang mga application tulad ng Microsoft® Exchange 5.5 ay binuo gamit ang kanilang sariling istraktura ng direktoryo. Mula nang ipakilala ang Active Directory, maraming application (mula sa Microsoft at iba pang kumpanya) ang nagsimulang samantalahin ang pinagbabatayan na istrukturang ibinigay sa halip na lumikha ng sarili nilang schema mula sa simula.

Sa una, ginamit ang base architecture na ibinigay ng Active Directory, na pagkatapos ay pinalawig kung kinakailangan. Ang Microsoft Exchange 2000, halimbawa, ay gumamit ng Active Directory upang ipatupad ang mga sistema ng pagmemensahe, at sa gayon ay tinutukoy ang hinaharap ng arkitektura ng pagmemensahe ng Microsoft.

Ngayon, maraming mga application na binuo upang tumakbo sa isang Active Directory na kapaligiran ay batay sa pangunahing disenyo nito, at maraming mga application din ang tumutukoy sa kinakailangang sariling pagbabago mga scheme. Upang gawin ito, siyempre, kailangan mo ng isang circuit na maaaring mapalawak, na tatalakayin sa artikulong ito. Bukod dito, dahil maraming mga application ang nakasalalay sa mga pinagbabatayan na mga kahulugan sa Active Directory, ang patuloy na katatagan ng pinagbabatayan na schema ay kritikal. Dahil maraming mga application ang dapat gumana nang magkasama sa parehong Active Directory, ang mga pagbabago sa isang application ay hindi dapat makaapekto sa iba pang mga application.

Ano ang isang schema?

Para sa maraming tao, ang schema ng Active Directory ay medyo isang itim na kahon, at ang ideya na baguhin ang mismong schema ay maaaring nakakatakot. Siyempre, ang pagpapalawak ng schema ng Active Directory ay hindi isang bagay na kailangan mong gawin araw-araw, ngunit kailangan ito ng ilang application o negosyo. Samakatuwid, napakahalaga na maunawaan ang likas na katangian ng scheme at komposisyon nito, dahil ang Active Directory ay isang mahalagang asset para sa maraming mga organisasyon, ang pagkabigo nito dahil sa isang hindi tamang pag-update ay maaaring magkaroon ng malubhang kahihinatnan.

Bilang isang diskarte, maraming organisasyon ang gumagamit ng Active Directory Lightweight Directory Services (ADLDS) sa Windows Server® 2008 (o Active Directory Application Mode (ADAM) sa Windows Server 2003) bilang alternatibo para sa pagsubok o direktang pagpapatupad pasadyang mga kahulugan schema sa halip na palawigin ang Active Directory schema.

Ang schema ay isang pangunahing istraktura na nagbibigay ng isang format para sa isang serbisyo ng direktoryo. Tinutukoy ng schema ng Active Directory ang mga katangian at mga klase ng object na ginagamit sa Active Directory Domain Services (ADDS). Ang pangunahing schema ay naglalaman ng mga kahulugan para sa maraming kilalang klase (tulad ng user, computer, at organizationalUnit) at mga katangian (tulad ng telephoneNumber at objectSID). Ang mga bagay sa pangunahing kahulugan ng schema ay tinatawag na kategorya 1 na mga bagay, at ang mga bagay na idinagdag ay tinatawag na kategorya 2 na mga bagay.

Ang schema ng Active Directory ay matatagpuan sa isang container na tinukoy ng path cn=Schema, cn=Configuration,dc=X, kung saan ang X ay ang namespace ng Active Directory forest. Tandaan na ang kagubatan ng Active Directory ay naglalaman lamang ng isang schema; Ang paggawa ng mga pagbabago sa isang kahulugan ng schema sa isang kagubatan ay nakakaapekto sa lahat ng mga domain sa kagubatan na iyon. Naka-on kanin. 1 ipinapakita ang bilang ng mga klase at katangian na idinagdag sa schema ng Active Directory sa iba't ibang bersyon ng Windows Server.

Bilang ng mga klase at katangian

Ina-update ang schema para sa iba't ibang bersyon Ang Windows Server ay ipinatupad gamit ang Adprep utility. Kapag nag-a-upgrade sa Windows Server 2003 R2, ina-update ang bersyon ng schema sa 31, at kapag nag-a-upgrade sa Windows Server 2008, ina-update ito sa 44.

Mahahanap mo ang numero ng bersyon sa pamamagitan ng pagsuri sa halaga ng objectVersion attribute sa cn=Schema,cn=Configuration,dc=X sa Active Directory gamit ang isang tool gaya ng ADSIEdit. Pakitandaan na ang ilang mga application, tulad ng Exchange Server, System Server ng Pamamahala(SMS) at iba pang mga application na umaasa sa Active Directory ay maaaring baguhin ang schema upang umangkop sa mga kinakailangan ng application.

Mga pangunahing bahagi

Ang Active Directory ay binubuo ng dalawang uri ng mga object: classSchema (class for short) at attributeSchema (attribute for short). Karaniwan, isinasaalang-alang ang extension ng schema ng Active Directory kung kailangan ng organisasyon na mag-imbak ng data sa ilang partikular na attribute na hindi available sa kasalukuyang schema. Ang isang katangian sa isang Direktoryo schema ay nilikha sa pamamagitan ng pagtukoy ng isang attributeSchema object sa schema container at pagkatapos ay pagtukoy sa mga kinakailangang katangian ng bagong object.

Para sa isang listahan ng attributeSchema object properties at impormasyon, tingnan ang go.microsoft.com/fwlink/?LinkId=110445. Tulad ng nakikita mo, para sa mga bagay ang attributeSchema ay maaaring tukuyin malaking bilang mga ari-arian, ang ilan sa mga ito ay kinakailangan.

Bilang karagdagan sa mga regular na katangian, ang schema ay naglalaman din ng mga espesyal na katangian na tinatawag na naka-link na mga katangian, na ipinapatupad sa mga pares sa pamamagitan ng pagtukoy ng pasulong at paatras na mga link. Bilang halimbawa, isaalang-alang ang membership ng grupo sa Active Directory. Ang attribute ng membership ng anumang grupo (halimbawa, isang ContosoEmployees group na may miyembrong si John Doe) ay isang forward link, at ang katumbas na memberOf attribute ng isang member object ay back link (upang kapag ang memberOf attribute ng member na si John Doe ay na-query, ang kilalang pangalan (DN) ng grupong ContosoEmployees ay kinakalkula).

Gumagana ang forward link sa parehong paraan tulad ng anumang iba pang katangian. Ang mga value ay maaaring single-valued o multi-valued (tulad ng membership attribute, na maaaring maglaman ng maraming object bilang miyembro ng isang grupo) at naka-store sa directory kasama ng parent object.

Ang mga backlink, sa kabilang banda, ay pinananatili ng system upang matiyak ang integridad ng data. Kapag na-query ang value ng attribute ng back link, kinakalkula ang resulta batay sa lahat ng katumbas na value ng forward link. Palaging malabo ang mga backlink.

Ang lahat ng mga object class sa ADDS ay tinukoy ng isang classSchema object sa schema container. Para sa isang listahan ng mga katangian na pinakamahalaga sa matagumpay na pagtukoy ng object ng classSchema, tingnan ang go.microsoft.com/fwlink/?LinkId=110445.

Mayroong tatlong uri ng mga klase na maaaring tukuyin: structural, abstract, at utility. Ang uri ng klase ay tinutukoy ng halaga ng objectClassCategory attribute. (Ang ikaapat na kategorya, na kilala bilang 88, ay kinabibilangan ng mga klase na tinukoy bago ang 1993 X.500 na mga pamantayan. Ang uri ng klase na ito ay ipinapahiwatig ng isang halaga na 0 sa objectClassCategory attribute. Ang ganitong uri hindi na dapat tukuyin.)

Pagkuha at paggamit ng mga identifier

Ang mga pagkakakilanlan ng lahat ng classSchema at attributeSchema object sa direktoryo ay tinukoy gamit ang mga kinakailangang object identifier (OIDs), governsID para sa classSchema object at attributeID para sa attributeSchema object. Ang mga ito ay natatangi mga numerong halaga, na ibinibigay ng ilang mga sentro upang makilala ang mga bagay. Isinasagawa ang pagnunumero alinsunod sa kahulugan ng LDAP protocol (RFC 2251). Ang ilang object identifier sa Active Directory schema ay inisyu ng International Organization for Standardization (ISO) at Microsoft. Ang object identifier sa direktoryo ay dapat na natatangi.

Ang object ID ay isang string ng mga numero, halimbawa 1.2.840.113556.1.y.z, tulad ng ipinapakita sa kanin. 2. Kaya ang classSchema user object ID ay 1.2.840.113556.1.5.9.

User object ID

Ibig sabihin	Ibig sabihin	Paglalarawan
1	ISO	Tinutukoy ang sentro ng ugat.
2	ANSI	Ang pagtatalaga ng pangkat na itinalaga ng ISO.
840	USA	Code ng bansa/rehiyon na itinalaga ng organisasyon.
113556	Microsoft	Pagtatalaga ng organisasyon na itinalaga ng bansa/rehiyon.
1	Aktibong Direktoryo	Itinalaga ng organisasyon (sa sa kasong ito Microsoft).
Y	Uri ng bagay	Numero na kumakatawan iba't ibang uri object (category), halimbawa, classSchema o attributeSchema. Halimbawa, ang 5 ay nangangahulugang ang klase ng bagay.
Z	Bagay	Isang numero na kumakatawan sa isang partikular na bagay sa isang kategorya. Halimbawa, maaaring italaga sa klase ng user ang numero 9.

Kapag gustong palawigin ng isang organisasyon ang isang schema, tinitiyak nito na ang entity identifier ay natatangi sa pamamagitan ng pagkuha ng sarili nitong root OID number, na ginagamit para gumawa ng mga natatanging identifier para sa mga bagong attribute ng organisasyon at mga klase ng entity. Ang root ng object identifier ay maaaring makuha nang direkta mula sa ISO national registration office (sa US, ang American National Standards Institute (ANSI)).

Ang pamamaraan at mga bayarin sa serbisyo para sa pagkuha ng root object ID ay matatagpuan sa ansi.org. Sa ibang mga rehiyon, makipag-ugnayan sa naaangkop na organisasyon ng miyembro ng ISO, na nakalista sa iso.org/iso/about/iso_members.htm.

Dati, nakatanggap ang mga organisasyon ng object ID mula sa Microsoft sa pamamagitan ng pagpapadala ng mensahe email sa address [email protected]. Gayunpaman, nagreresulta ito ngayon sa isang awtomatikong tugon na humihiling sa iyo na i-download at patakbuhin ang VBScript mula sa go.microsoft.com/fwlink/?LinkId=110453.

Ang mga Object identifier na inisyu ng Microsoft ay itinalaga ng mga numero ng espasyo sa pagkakakilanlan ng numero Mga bagay sa Microsoft: 1.2.840.113556.1.8000.x, kung saan x – natatanging numero, itinalaga sa organisasyon. Maaaring paghiwalayin ng isang organisasyon ang mga identifier na ito para matukoy ang mga bagay. Kaya, maaari mong gamitin ang 1.2.840.113556.1.8000.x.1.y para sa mga bagong classSchema object at 1.2.840.113556.1.8000.x.2.z para sa attributeSchema object (kung saan ang x ay ang natatanging numero ng organisasyon, at ang y at z ay ang mga numerong itinalaga ang ilang partikular na classSchema at attributeSchema object, ayon sa pagkakabanggit). Inirerekomenda din na gumamit ka ng natatanging prefix ng organisasyon upang makilala ang mga pangalan ng mga bagay na ito.

Pagtukoy sa Mga Kaugnay na Katangian

Ang attributeSyntax value ng back link ay dapat na 2.5.5.1, na Object syntax (DS-DN). Karaniwan, ang mga katangian ng back link ay idinaragdag sa mayContain na halaga ng klase na may pinakamalaking abstraction. Tinitiyak nito na ang katangian ng back link ay mababasa mula sa mga object ng anumang klase, dahil ang mga naturang katangian ay hindi nakaimbak sa object ngunit kinakalkula batay sa mga halaga ng forward link.

Ipinakilala ng Windows Server 2003 ang isang tampok na magagamit ng mga organisasyon upang i-link ang dalawang bagay sa isang schema: awtomatikong paglikha mga linkID. Tinitiyak ng function na ito na ang isang linkID ay awtomatikong nabuo para sa isang bagong naka-link na attribute kung ang linkID ng attribute ay nakatakda sa 1.2.840.113556.1.2.50. Ang kaukulang back link ay ginawa sa pamamagitan ng pagtatakda ng linkID sa attributeId o ldapDisplayName ng forward link. Dapat i-reload ang cache ng schema pagkatapos gumawa ng forward link at bago gumawa ng backward link. Kung hindi, ang attributeId o ldapDisplayName attribute ay hindi makikita kapag gumagawa ng link pabalik. Nire-reload ang cache ng schema kapag hinihingi ilang minuto pagkatapos ng pagbabago ng schema o kapag na-reboot ang domain controller.

Kung nagpapatakbo ka ng Windows 2000 Active Directory, dapat kang humiling ng mga linkID mula sa Microsoft sa pamamagitan ng pagpapadala ng email sa [email protected]. Ang awtomatikong tugon ay maglalaman ng sumusunod na linya: "Ang mga e-mail na ipinadala sa [email protected] ipoproseso lamang kung nauugnay ang mga ito sa mga pagpaparehistro ng linkID para sa mga legacy na kapaligiran." (Mga mensaheng email na ipinadala sa [email protected], ay ipoproseso lamang kung nauugnay ang mga ito sa pagpaparehistro ng mga linkID para sa mga legacy na kapaligiran.) Upang gawin ito, dapat mong isama ang sumusunod na impormasyon sa iyong email: pangalan ng kumpanya, pangalan contact person, email address, numero ng telepono, rehistradong prefix (kung kinakailangan), rehistradong object ID (kung kinakailangan).

Maaari mong simulan ang pagpapalawak ng scheme

Sabihin nating nagpasya kang palawigin ang iyong schema ng Active Directory. Ang solusyon ay maaaring may kasamang pagtigil sa paggamit alternatibong direktoryo ipinatupad gamit ang ADLDS (o ADAM sa Windows Server 2003) pagkatapos na makumpirma na hindi nito matutugunan ang mga kinakailangan. Ang susunod na hakbang ay upang tukuyin ang mga bagong attributeSchema object na kailangang idagdag sa schema; ito ay tumutukoy sa anumang mga kinakailangang halaga (gaya ng cn, ldapDisplayName, atbp.) na nagpapahiwatig ng mga bagong bagay na ito. Kapag tinukoy mo ang mga halaga ng katangian para sa isang bagay, makukuha mo rin ang pagkakakilanlan ng bagay mula sa Microsoft o ibang pinagmulan. Ang mga aktibidad sa itaas ay nakadokumento bilang mga kinakailangan sa negosyo at teknikal na detalye. Bukod dito, ipinatupad ang isang pang-eksperimentong kapaligiran sa laboratoryo na ginagaya ang pagpapatakbo ng Active Directory at handa na para sa pagsubok.

Maraming organisasyon ang lumikha ng mga espesyal na komite upang aprubahan o tanggihan ang mga naturang pagbabago at magtatag ng proseso para sa kanilang pagpapatupad. Ang mga pagsusuri at balanseng ito ay kritikal dahil ang Active Directory ay ginagamit bilang isang pinagkakatiwalaang pinagmumulan ng impormasyon sa maraming organisasyon, at ang kahalagahan ng pagpapanatili nito pagkatapos ng mga pagbabago ay hindi maaaring palakihin.

Kapag nagpasya ang isang organisasyon na magpatuloy sa isang proyekto, dapat tukuyin ang mga plano para sa pagsubok at pagpapatupad ng proyekto. Maaari mong palawigin ang iyong schema sa pamamagitan ng pagdaragdag ng mga bagong object sa pamamagitan ng paggamit ng snap-in ng Active Directory Console Schema Pamamahala ng Microsoft(MMC) o paggamit ng mga programmatic o semi-programmatic na pamamaraan (halimbawa, gamit ang LDIFDE para mag-import ng LDIF file; gamit ang CSVDE para mag-import CSV file; o paggamit ng mga script para sa mga interface ng ADSI).

Anuman ang paraan na pinili, ang function na ito ay dapat na gumanap sa isang server na mayroon o nakakonekta sa FSMO (Flexible Single Master Operations) schema master role sa Active Directory forest. Bukod, account Ang user na ginamit upang i-update ang schema ay nangangailangan ng sapat na mga karapatang pang-administratibo upang maisagawa ang pag-update, kaya dapat itong isama sa pangkat ng Mga Administrator ng Schema. Panghuli, dapat mong paganahin ang mga pag-update ng schema para sa kagubatan (naka-disable bilang default).

Maliban kung simple ang pagbabago, dapat itong awtomatikong gawin upang matiyak ang standardisasyon sa pagitan ng mga yugto ng pagsubok at pagpapatupad at upang maiwasan ang mga error na maaaring mangyari sa mga manu-manong hakbang. Sabihin nating nagpasya kang magpatupad ng pagbabago gamit ang tool na LDIFDE. Upang mag-install ng mga update kapag pinapalawak ang schema, dapat kang magdagdag ng mga bagong attribute at klase, magdagdag ng mga bagong attribute sa mga klase, at pagkatapos ay magpatakbo ng cache reload. Nasa ibaba ang ilang halimbawa.

Pagdaragdag ng mga katangian

Para sa aming mga layunin, ipagpalagay natin na ang isang organisasyong pinangalanang Contoso ay kailangang idagdag sa Aktibong serbisyo Directory attribute na tumutukoy sa laki ng sapatos ng lahat ng empleyado. SA kagubatan Aktibo Direktoryo ng dalawang domain: contoso.com at employees.contoso.com. Ang lahat ng mga bagay na nilikha gamit ang kahulugan ng klase ng user ay kinakailangang maglaman din ng bagong katangiang ito.

Mahalagang tandaan na ang pagbabago ng schema ay nakakaapekto sa parehong mga domain dahil sila ay nasa parehong kagubatan. Sabihin nating nakatanggap ka ng object ID 1.2.840.113556.8000.9999 mula sa Microsoft, na nahahati sa 1.2.840.113556.8000.9999.1 para sa object ng classSchema at 1.2.840.113556.900.0.2 para sa Contribute na katangian. Ngayon ay kailangan mong tukuyin ang lahat ng mga halaga ng katangian para sa bagong bagay na ito, tulad ng ipinapakita sa kanin. 3.

Pagtukoy sa katangian ng contosoEmpShoe

Katangian	Ibig sabihin	Mga Tala
Cn	contosoEmpShoe
lDAPDisplayName	contosoEmpShoe
adminDisplayName	contosoEmpShoe
attributeSyntax	2.5.5.12	Tinutukoy ang isang Unicode string.
oMSyntax	64	Tinutukoy ang isang Unicode string.
objectClass	tuktok, attributeSchema
attributeID	1.2.840.113556.8000.9999.2.1	Tinutukoy ng organisasyon.
isSingleValued	TOTOO	Isang halaga lang ng sukat ng sapatos ang nakaimbak.
searchFlags	1	Ipinapakita ng pagsusuri ang pangangailangan para sa pag-index ng katangiang ito. Tandaan. Ang pagsusuri ng pagkarga ay isasagawa sa isang kapaligiran sa laboratoryo.
isMemberOfPartialAttributeSet	TOTOO	Dapat na available ang attribute na ito sa global catalog.

Bukod pa rito, kahit na ang contosoEmpShoe attribute ay dapat na available sa lahat ng object na ginawa bilang user class object, hindi inirerekomenda na baguhin ang default na user class definition. Sa halip, dapat mong tukuyin ang isang helper class na contosoUser na may katangian nitong mayContain na nakatakda sa contosoEmpShoe, tulad ng ipinapakita sa kanin. 4. Pagkatapos ay kailangan mong idagdag ang mga attribute na tinukoy para sa contosoUser helper class sa user class.

Pagtukoy sa klase ng contosoUser

Ngayon na ang pagsusuri ay tapos na at ang mga halaga ay natukoy na, kailangan mong lumikha ng isang LDIF file na magiging katulad ng code sa kanin. 5. Maaari mong kopyahin ang code sa kanin. 5 sa Notepad at i-save ang file bilang contosoUser.ldif (kasama sa pag-download sa technetmagazine.com).

LDIF file para sa extension ng schema

#Kahulugan ng attribute para sa contosoEmpShoe dn: CN=contosoEmpShoe,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: contosoEmpShoe attributeID: 1.2.840.11.9056. 5.5.1 2 isSingleValued: TRUE adminDisplayName: contosoEmpShoe adminDescription: contosoEmpShoe oMSyntax: 64 searchFlags: 1 lDAPDisplayName: contosoEmpShoe systemOnly: FALSE dn: changetype: modify add: schemaUpdate #ClaseNow schema1 a,CN=Configuration , DC =X changetype: ntdsschemaadd objectClass: top objectClass: classSchema cn: contosoUser governsID: 1.2.840.113556.1.8000.9999.1.1 mayContain: contosoEmpShoe rDNAttID: cn adminSoUserUserName: cn adminDisplayUserName: DisplayName: contosoUser name: contosoUser systemOnly: FALSE dn : changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - dn: CN=User,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: auxiliaryClass auxiliaryClass: CN=User - dn: changeschema add:NowUpdate: changeschema. 1

Pagkatapos mong gawin ang LDIF file, dapat mong masusing subukan ang iyong pagpapatupad sa kapaligiran ng pilot lab, i-verify ang end-to-end na domain at pagkopya ng kagubatan, at paganahin ang mga update ng schema sa kagubatan. Kailangan mo na ngayong mag-log in gamit ang isang account na may mga karapatan sa Schema Administrator. Maaaring kailanganin mong i-disable ang outbound replication sa schema master (kung saan gagawin ang mga pagbabago) at patakbuhin ang sumusunod na command para i-import ang LDIF file:

Ldifde –i –f \contosoUser.ldif –b -k –j. –c "CN=schema,CN=Configuration,DC=X" #schemaNamingContext

Pagkatapos gumawa ng mga pagbabago, i-enable ang outbound replication sa schema master at tiyaking kumpleto ang replication para sa lahat ng domain controllers.

Huminga ng malalim - tapos ka na! Natukoy mo ang isang bagong katangian sa schema na iuugnay sa mga bagay na ginawa gamit ang klase ng user (iyon ay, mga user account).

Para subukan ang mga pagbabago, buksan ang Active Directory Users and Computers, kumonekta sa employees.contoso.com domain, piliin ang unit ng organisasyon ng mga user, at gumawa ng bagong user account na pinangalanang ContosoTestUser. Ngayon buksan ang adsiedit.msc console at kumonekta sa seksyon ng domain dc=employees,dc=contoso,dc=com, palawakin ang subdivision ng Mga User, i-right click I-click ang ContosoTestUser, pagkatapos ay buksan ang pahina ng Properties. Hanapin ang contosoEmpShoe attribute. Maaari mong baguhin ang attribute na ito para maglagay ng value. Maaari mo ring gamitin ang Ldp.exe utility upang suriin at baguhin ang mga katangian.

Ngayon tingnan natin ang isang halimbawa ng pagtukoy at pag-uugnay ng dalawang katangian at isipin na ang kumpanya ng Contoso ay napakahalaga sa laki ng sapatos ng mga empleyado nito at kailangan nitong subaybayan ang taunang produktibidad ng mga espesyalista na sumusukat sa laki ng sapatos ng mga empleyado ng kumpanya. Bagama't mukhang katawa-tawa ito, ipagpalagay din natin na kailangang subaybayan ni Contoso hindi lamang kung sino ang may pananagutan sa pagsukat ng mga sukat ng sapatos ng mga empleyado, kundi pati na rin ang mga empleyado na sinukat ang mga sukat ng sapatos at ang bilang ng mga ito, lahat sa pamamagitan ng pagtatanong ng isang katangian. (Bagaman maaari mong isipin na ang mga talahanayan ng database ay magiging mas angkop para sa pag-iimbak ng ganitong uri ng data, ang layunin dito ay ipaliwanag lamang kung paano gumagana ang pasulong at paatras na mga link.)

Siyempre, gagawa ka muna ng pagsusuri na katulad ng nabanggit ko sa nakaraang halimbawa. Gayunpaman, ngayon ay magpatuloy tayo at lumikha ng mga LDIF file (linkids1.ldif at linkids2.ldif) tulad ng ipinapakita sa kanin. 6. Pagkatapos ay patakbuhin namin ang sumusunod na command upang i-import ang mga LDIF file:

LDIF file ng pasulong at paatras na mga link

#linkids1.ldif #Kahulugan ng Attribute para sa Forward Link Attribute dn: CN=ContosoShoeSizeTaker,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizeTaker2 attribute1.54.9012. . 2 LinkID: 1.2.840.113556.1.2.50 attributeSyntax: 2.5.5.1 isSingleValued: TRUE adminDisplayName: ContosoShoeSizeTaker adminPaglalarawan: ContosoShoeSizeTaker oMSyntax: 64 searchFlagsOPDisplay1Name E d n: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - #Reload schema #linkids2.ldif #Kahulugan ng Attribute para sa Backward Link Attribute dn: CN=ContosoShoeSizesTakenByMe,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemaadd objectClass: top objectClass: attributeSchema cn: ContosoShoeSizesT.30 attributes. 8000.99 99.2 .3 LinkID: 1.2.840.113556.8000.9999.2.2 attributeSyntax: 2.5.5.1 isSingleValued: FALSE adminDisplayName: ContosoShoeSizesTakenByMe adminDescription: ContosoShoeByShoeShoeShoeShoeShoeShoeShoe:ContosoShoeSizesTakenByMe admin isplayN ame: ContosoShoeSizesTakenByMe systemOnly: FALSE dn: changetype: modify add: schemaUpdateNow schemaUpdateNow: 1 - # Magdagdag ng ContosoShoeSizeTaker at ContosoShoeSizesTakenByMe na Attribute bilang MayContain sa #contosoUser class dn: CN= contosoUser,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: Contosoker mayShoeShoeShoeShoeNize: baguhin ang add : schemaUpdateNow schemaUpdateNow: 1 - #Add Backward Link Attribute bilang MayContain in Top dn: CN=Top,CN=Schema,CN=Configuration,DC=X changetype: ntdsschemamodify add: mayContain mayContain: ContosoShoeSizesTakenByMe dn: changetypeNowdateNow: modify add: schemaNowUpdate ldifde – i –f \linkedids.ldif –b -k –j. –c "CN=schema,CN=Configuration,DC=X" #schemaNamingContext

Ngayon kapag lumikha ka ng object ng user, magkakaroon din ito ng mga katangian ng ContosoShoeSizeTaker at ContosoShoeSizesTakenByMe. Kapag gumawa ka ng user object para kay John, halimbawa, ang ContosoShoeSizeTaker attribute ay napupunan ng natatanging pangalan ng taong sumukat sa laki ng sapatos, si Frank. Kung pupunta ka na ngayon sa mga katangian ng object ng user ni Frank at i-query ang attribute na ContosoShoeSizesTakenByMe, maglalaman ang resulta ng natatanging pangalan ni Frank at ng iba pa na sinukat ni Frank ang laki ng sapatos. Upang makumpleto ang aming kaso, maaaring gantimpalaan ng pamamahala si Frank batay sa bilang ng mga kilalang pangalan na umiiral sa katangian ng ContosoShoeSizesTakenByMe ng kanyang user account.

Sistema ng mga tseke at balanse

Ang isang kritikal na pag-update, tulad ng isang pagbabago ng schema, ay hindi maisasagawa nang hindi bini-verify ang pagsunod sa mga kinakailangan sa arkitektura. Ang mga pagsusuring ito sa seguridad at pagkakapare-pareho ay ginagamit ng Active Directory upang matiyak na ang mga pagbabago ay hindi nagdudulot ng mga hindi pagkakapare-pareho o iba pang mga problema kapag pinalawak o binabago ang schema ng Active Directory.

Una sa lahat, ang value ng governsID para sa bawat klase ay dapat na natatangi sa schema. Kapag tinutukoy ang isang schemaClass object, lahat ng attribute na tinukoy sa systemMayContain, mayContain, systemMustContain, at mustContain list ay dapat na mayroon na. Kasabay nito, ang lahat ng klase na tinukoy sa mga listahang subClassOf, systemAuxiliaryClass, auxiliaryClass, systemPossSuperiors at possSuperiors ay dapat na umiiral na rin.

Bilang karagdagan, ang objectClassCategory na attribute ng lahat ng klase sa systemAuxiliaryClass at auxiliaryClass na listahan ay dapat class 88 o isang auxiliary class. Gayundin, ang objectClassCategory attribute ng lahat ng klase sa systemPossSuperiors at possSuperiors list ay dapat tukuyin bilang class 88 o isang structural class.

Sa pagtukoy ng iba't ibang klase, ang abstract classes ay maaari lamang makuha mula sa ibang abstract classes, auxiliary classes ay hindi maaaring magmula sa structural classes, at structural classes ay hindi maaaring magmula sa auxiliary classes. Bukod pa rito, ang attribute na tinukoy sa rDNAttID ay dapat na hindi malabo at may Unicode string syntax.

Ito ang ilan sa mga panuntunang nauugnay sa mga object ng classSchema. Paano ang tungkol sa mga panuntunan para sa attributeSchema objects? Tulad ng value ng governsID para sa mga klase, dapat na natatangi ang value ng attributeID. Bilang karagdagan, ang halaga ng mAPIID (kung mayroon man) ay dapat na natatangi. Susunod, kung ang rangeLower at rangeUpper ay naroroon, ang halaga ng rangeLower ay dapat mas mababa sa halaga rangeUpper. Dapat magkatugma ang attributeSyntax at oMSyntax values. Kung ang attribute syntax ay object syntax (oMSyntax =127), dapat itong magkaroon ng tamang oMObjectClass. Ang linkID, kung mayroon, ay dapat na natatangi. Bukod pa rito, ang back link ay dapat may kaukulang forward link.

Paano kung nagkaroon ng error?

Kapag na-expand na ang schema at naidagdag na rito ang mga bagong object (mga klase at attribute), hindi na matatanggal ang mga ito. Gayunpaman, maaaring i-deactivate ang mga klase at attribute sa pamamagitan ng pagtatakda ng isDefunct attribute ng schema object TUNAY na halaga. Hindi mo maaaring i-deactivate ang mga object ng schema na bahagi ng default na schema na kasama ng Active Directory (Mga object ng Kategorya 1). Tanging ang mga bagay na idinagdag sa default na schema ang maaaring i-deactivate, i.e. Category 2 objects, at pagkatapos lamang masuri na ang klase ay hindi ginagamit sa mga listahan ng subClassOf, auxiliaryClass, o possSuperiors ng anumang umiiral na epektibong klase.

Kapag sinubukan mong huwag paganahin ang anumang katangian, ang Active Directory ay tumitingin upang makita kung ito ay ginagamit sa mustContain at mayContain na listahan ng anumang umiiral na wastong klase. Ang mga bagay na may kapansanan ay maaaring paganahin muli sa pamamagitan ng pagtatakda ng isDefunct attribute sa FALSE. Kung tumatakbo ang Active Directory sa antas ng Windows Server 2003, maaari mong gamitin muli ang mga halaga ng ldapDisplayName, schemaIdGuid, OID, at mapiID ng mga hindi pinaganang bagay.

Konklusyon.

Kapag nagdagdag o nagpalit ka ng mga kahulugan ng klase o attribute sa isang schema, idinaragdag o binago mo rin ang katumbas na object ng classSchema o attributeSchema. Ang prosesong ito ay katulad ng pagdaragdag o pagbabago ng anumang bagay sa Active Directory, maliban doon karagdagang mga tseke na ang mga pagbabago ay hindi nagdudulot ng hindi pagkakapare-pareho at hindi maaaring magdulot ng mga problema sa circuit sa hinaharap.

Bagama't ang pagbabago sa schema ng Active Directory ay hindi isang kumplikadong proseso, mahalagang maunawaan ang istraktura ng schema at ang proseso para sa pagpapatupad ng mga pagbabagong ito. Ang lahat ng mga pagbabago sa schema ng Active Directory ay dapat na maingat na planuhin at isagawa nang napakaingat. Mahalagang tukuyin ang mga kinakailangan sa negosyo at teknikal na mga pagtutukoy para sa mga bagong bagay at magsagawa ng komprehensibong pagsubok. Dahil maaaring magkaroon ng malaking epekto ang mga pagbabago, inirerekomendang palawigin ang schema ng Active Directory kapag talagang kinakailangan.

As you know, nothing lasts forever, everything change, especially in an industry like IT. Kapag na-deploy na, ang imprastraktura ay patuloy na umuunlad, lumalawak, bumubuti, at darating ang panahon na kailangan mong magdagdag ng domain controller na nagpapatakbo ng mas bagong bersyon ng operating system sa iyong Active Directory.

Mukhang - ano ang problema? Ngunit, tulad ng ipinapakita ng kasanayan, ang mga problema ay lumitaw, higit sa lahat dahil sa katotohanan na ang mga tagapangasiwa ng system ay may kaunting kaalaman sa teorya at lantarang nalilito sa bagay na ito. Samakatuwid, oras na upang malaman kung ano ito AD scheme at kung paano ito nauugnay sa aming kaso.

AD circuit ay tinatawag na isang paglalarawan ng lahat ng mga object ng direktoryo at ang kanilang mga katangian. Sa esensya, ang schema ay sumasalamin sa pangunahing istraktura ng direktoryo at pinakamahalaga sa wastong paggana nito.

Ang mga bagong bersyon ng OS ay naglalaman ng mga bagong object at attribute, kaya para gumana nang maayos ang mga ito bilang domain controllers, kakailanganin naming i-update ang schema.

Tila malinaw, ngunit hindi ganap, kaya lumipat tayo sa mga karaniwang pagkakamali at maling kuru-kuro.

Ang pag-update ng schema ay kinakailangan upang isama ang mga PC na nagpapatakbo ng mga bagong bersyon ng Windows sa domain. Ito ay hindi totoo, kahit na ang mga pinakabago Mga bersyon ng Windows ay maaaring gumana nang lubos sa isang Windows 2000 level na domain nang hindi ina-update ang schema. Bagaman, kung i-update mo ang scheme, walang masamang mangyayari.

Upang magsama ng controller na nagpapatakbo ng mas bagong OS sa isang domain, kailangan mong i-upgrade ang domain (kagubatan). Hindi rin ito totoo, ngunit hindi tulad ng nakaraang kaso, gagawing imposible ng operasyong ito na gumamit ng mga domain controller na nagpapatakbo ng OS na mas mababa kaysa sa operating mode nito. Samakatuwid, sa kaso ng isang error, kailangan mong ibalik ang iyong istraktura ng AD mula sa isang backup.

Dadalhin din namin ang iyong pansin sa operating mode ng kagubatan at domain. Ang mga domain na kasama sa isang kagubatan ay maaaring magkaroon ng iba't ibang mga mode ng pagpapatakbo, halimbawa, ang isa sa mga domain ay maaaring gumana sa Windows 2008 mode, at ang iba sa Windows 2003 mode Ang forest operating scheme ay hindi maaaring mas mataas kaysa sa operating scheme ng pinakalumang domain. Sa aming halimbawa, ang forest operating mode ay hindi maaaring mas mataas kaysa sa Windows 2003.

Kasabay nito, hindi pinipigilan ng mas mababang operating mode ng kagubatan ang paggamit ng mas mataas na operating mode sa domain ang kailangan lang para dito ay ang pag-update ng schema.

Ang pagkakaroon ng pamilyar sa ating sarili sa teorya, lumipat tayo sa isang praktikal na halimbawa. Sabihin nating mayroon kaming Windows 2000 level domain (mixed mode) - ang pinakamababang antas ng AD - kung saan mayroong controller na nagpapatakbo ng Windows 2003, at ang aming layunin ay lumikha ng bagong controller upang palitan ang nabigo.

Ang bagong server ay nagpapatakbo ng Windows 2008 R2. Pakitandaan na hindi kami nahirapan sa pagsasama ng server na ito sa isang umiiral na domain.

Gayunpaman, kapag sinubukan naming magdagdag ng bagong domain controller, makakatanggap kami ng error:

Upang matagumpay na i-on ang isang controller sa ilalim ng kontrol ng higit sa bagong bersyon OS na kakailanganin naming i-update ang forest schema at domain schema. Ang pagbubukod ay ang Windows Server 2012, na mag-a-update ng schema sa sarili nitong pagdaragdag ng bagong domain controller.

Upang i-update ang schema, gamitin ang Adprep utility, na matatagpuan sa folder \support\adprep sa pag-install Windows disk server. Simula sa Windows Server 2008 R2, ang utility na ito ay 64-bit bilang default kung kailangan mong gamitin ang 32-bit na bersyon, dapat mong patakbuhin ito adprep32.exe.

Upang magsagawa ng pag-update ng forest schema utility na ito dapat ilunsad sa Ang may-ari ng scheme, at upang i-update ang schema ng domain sa May-ari ng imprastraktura. Upang malaman kung aling mga controller ang may mga tungkulin sa FSMO na kailangan namin, gamitin ang command:

Netdom query FSMO

Sa Windows 2008 at mas bago, ang utility na ito ay naka-install bilang default, at sa Windows 2003 dapat itong mai-install mula sa disk sa direktoryo \support\tools

Ang output ng command na ito ay isang listahan ng lahat Mga tungkulin ng FSMO at mga controller na may ganitong mga tungkulin:

Sa aming kaso, ang lahat ng mga tungkulin ay nasa parehong controller, kaya kinopya namin ang folder \support\adprep sa hard drive (sa aming kaso, sa ugat ng C: drive) at magpatuloy sa pag-update ng schema ng kagubatan. Upang matagumpay na makumpleto ang operasyon, dapat na kasama ang iyong account sa mga sumusunod na grupo:

Mga Administrator ng Schema
Mga administrator ng enterprise
Mga administrator ng domain kung saan matatagpuan ang may-ari ng schema

Upang i-update ang schema ng kagubatan, patakbuhin ang command:

C:\adprep\adprep /forestprep

Basahin ang karaniwang babala at magpatuloy sa pamamagitan ng pag-click C, pagkatapos Pumasok.

Magsisimula ang proseso ng pag-update ng schema. Tulad ng nakikita mo, ang bersyon nito ay magbabago mula 30 (Windows 2003) hanggang 47 (Windows 2008 R2).

Upang matagumpay na i-update ang schema ng domain, dapat isagawa ang operasyong ito sa May-ari ng imprastraktura at may karapatan Administrator ng Domain. Isinasagawa namin ang utos:

C:\adprep\adprep /domainprep

At maingat na basahin ang impormasyong ipinapakita. Kapag nag-a-upgrade ng schema ng domain mula sa Windows 2000 o Windows 2003, dapat mong baguhin ang mga pahintulot ng file system para sa mga patakaran ng grupo. Isinasagawa ang operasyong ito nang isang beses at sa hinaharap, halimbawa, ang pag-update ng schema mula sa antas ng 2008 hanggang 2008 R2, dapat itong maisagawa. Upang i-update ang mga pahintulot ng GPO, ilagay ang command:

C:\adprep\adprep /domainprep /gpprep

Ang mga bersyon ng AD mula noong Windows 2008 ay nagpakilala ng bagong uri ng domain controller: isang read-only domain controller (RODC), kung plano mong mag-deploy ng naturang controller, kailangan mong maghanda ng diagram. Sa pangkalahatan, inirerekumenda namin ang pagsasagawa ng operasyong ito anuman ang balak mong i-install ang RODC sa malapit na hinaharap o hindi.

C:\adprep\adprep /rodcprep