Ina-update ang schema ng Active Directory. Pagpapalawak ng schema ng Active Directory

As you know, nothing lasts forever, everything change, especially in an industry like IT. Kapag na-deploy na, ang imprastraktura ay patuloy na umuunlad, lumalawak, bumubuti, at darating ang sandali na ang iyong Aktibong Direktoryo kinakailangan upang magpasok ng isang domain controller na pinamamahalaan ng higit sa mamaya na bersyon operating system.

Mukhang - ano ang problema? Ngunit, tulad ng ipinapakita ng kasanayan, ang mga problema ay lumitaw, higit sa lahat dahil sa katotohanan na ang mga tagapangasiwa ng system ay may kaunting kaalaman sa teorya at tapat na nalilito sa ang isyung ito. Samakatuwid, oras na upang malaman kung ano ito AD scheme at kung paano ito nauugnay sa aming kaso.

AD circuit ay tinatawag na isang paglalarawan ng lahat ng mga object ng direktoryo at ang kanilang mga katangian. Mahalagang sumasalamin ang diagram pangunahing istraktura direktoryo at pinakamahalaga para sa wastong paggana nito.

Ang mga bagong bersyon ng OS ay naglalaman ng mga bagong object at attribute, kaya para gumana nang maayos ang mga ito bilang domain controllers, kakailanganin naming i-update ang schema.

Tila malinaw, ngunit hindi ganap, kaya lumipat tayo sa mga karaniwang pagkakamali at maling kuru-kuro.

Ang pag-update ng schema ay kinakailangan upang isama ang mga PC na nagpapatakbo ng mga bagong bersyon ng Windows sa domain. Ito ay hindi totoo, kahit na ang karamihan pinakabagong bersyon Maaaring gumana nang lubos ang Windows sa isang domain Antas ng Windows 2000 nang walang pag-update ng schema. Bagaman, kung i-update mo ang scheme, walang masamang mangyayari.

Upang magsama ng controller na nagpapatakbo ng mas bagong OS sa isang domain, kailangan mong i-upgrade ang domain (kagubatan). Hindi rin ito totoo, ngunit hindi tulad ng nakaraang kaso, gagawing imposible ng operasyong ito na gumamit ng mga domain controller na nagpapatakbo ng OS na mas mababa kaysa sa operating mode nito. Samakatuwid, sa kaso ng isang error, kailangan mong ibalik ang iyong istraktura ng AD mula sa isang backup.

Dadalhin din namin ang iyong pansin sa operating mode ng kagubatan at domain. Maaaring mayroon ang mga domain na kasama sa kagubatan iba't ibang mga mode trabaho, halimbawa ang isa sa mga domain ay maaaring gumana sa Windows mode 2008, at ang natitira sa Windows 2003 mode Ang forest operating scheme ay hindi maaaring mas mataas kaysa sa operating scheme ng pinakalumang domain. Sa aming halimbawa, ang forest operating mode ay hindi maaaring mas mataas kaysa sa Windows 2003.

Kasabay nito, ang mas mababang operating mode ng kagubatan ay hindi sa anumang paraan na pumipigil sa paggamit ng higit pa mataas na mode magtrabaho sa domain, ang kailangan lang ay i-update ang schema.

Ang pagkakaroon ng pamilyar sa ating sarili sa teorya, magpatuloy tayo sa praktikal na halimbawa. Sabihin nating mayroon kaming Windows 2000 level domain (mixed mode) - ang pinaka mababang antas AD - na may controller sa ilalim Kontrol sa Windows 2003, at ang aming layunin ay lumikha ng isang bagong controller upang palitan ang nabigo.

Ang bagong server ay nagpapatakbo ng Windows 2008 R2. Pakitandaan na hindi kami nahirapan sa pag-enable ng server na ito sa isang umiiral na domain.

Gayunpaman, kapag sinubukan naming magdagdag ng bagong domain controller, makakatanggap kami ng error:

Upang matagumpay na paganahin ang isang controller na nagpapatakbo ng mas bagong bersyon ng OS, kakailanganin naming i-update ang forest schema at domain schema. Ang exception ay Windows Server 2012, na mag-a-update ng schema sa sarili nitong kapag nagdadagdag ng bagong domain controller.

Upang i-update ang schema, gamitin ang Adprep utility, na matatagpuan sa folder \support\adprep sa disk sa pag-install Windows Server. Simula sa Windows Server 2008 R2, ang utility na ito ay 64-bit bilang default kung kailangan mong gamitin ang 32-bit na bersyon, dapat mong patakbuhin ito adprep32.exe.

Upang magsagawa ng pag-update ng forest schema utility na ito dapat ilunsad sa Ang may-ari ng scheme, at upang i-update ang schema ng domain sa May-ari ng imprastraktura. Upang malaman kung aling mga controller ang may mga tungkulin sa FSMO na kailangan namin, gamitin ang command:

Netdom query FSMO

Sa Windows 2008 at mas bago, ang utility na ito ay naka-install bilang default, at sa Windows 2003 dapat itong mai-install mula sa disk sa direktoryo \support\tools

Ang output ng command na ito ay isang listahan ng lahat Mga tungkulin ng FSMO at mga controller na may ganitong mga tungkulin:

Sa aming kaso, ang lahat ng mga tungkulin ay nasa parehong controller, kaya kinopya namin ang folder \support\adprep sa hard drive(sa aming kaso sa ugat ng C: drive) at magpatuloy sa pag-update ng schema ng kagubatan. Upang matagumpay na makumpleto ang operasyon, dapat na kasama ang iyong account sa mga sumusunod na grupo:

Mga Administrator ng Schema
Mga administrator ng enterprise
Mga administrator ng domain kung saan matatagpuan ang may-ari ng schema

Upang i-update ang schema ng kagubatan, patakbuhin ang command:

C:\adprep\adprep /forestprep

Basahin ang karaniwang babala at magpatuloy sa pamamagitan ng pag-click C, pagkatapos Pumasok.

Magsisimula ang proseso ng pag-update ng schema. Tulad ng nakikita mo, ang bersyon nito ay magbabago mula 30 (Windows 2003) hanggang 47 (Windows 2008 R2).

Pagkatapos i-update ang forest schema, dapat mong i-update ang domain schema. Bago gawin ito, dapat mong tiyakin na ang domain ay tumatakbo kahit man lang sa Windows 2000 mode (native mode). Tulad ng natatandaan namin, ang aming domain ay gumagana sa mixed mode, kaya dapat naming baguhin ang domain operating mode sa pangunahin o i-upgrade ito sa Windows 2003. Dahil sa domain na ito wala kaming mga controller na nagpapatakbo ng Windows 2000, ito ay magiging pinaka-makatwirang upang i-upgrade ang domain mode.

Upang matagumpay na i-update ang schema ng domain, dapat isagawa ang operasyong ito sa May-ari ng imprastraktura at may karapatan Administrator ng Domain. Isinasagawa namin ang utos:

C:\adprep\adprep /domainprep

At maingat na basahin ang impormasyong ipinapakita. Kapag nag-a-upgrade ng schema ng domain mula sa Windows 2000 o Windows 2003, dapat mong baguhin ang mga pahintulot file system Para sa mga patakaran ng grupo. Isinasagawa ang operasyong ito nang isang beses at sa hinaharap, halimbawa, ang pag-update ng schema mula sa antas ng 2008 hanggang 2008 R2, dapat itong maisagawa. Upang i-update ang mga pahintulot ng GPO, ilagay ang command:

C:\adprep\adprep /domainprep /gpprep

Sa mga bersyon ng AD na nagsisimula sa Windows 2008 ay lumitaw bagong uri Mga Controller ng Domain: Read Only Domain Controller (RODC), kung nagpaplano kang mag-deploy ng naturang controller, kailangan mong maghanda ng isang eskematiko. Sa pangkalahatan, inirerekumenda namin ang paggawa operasyong ito hindi alintana kung i-install mo ang RODC sa malapit na hinaharap o hindi.

Maaaring isagawa ang operasyong ito sa anumang domain controller, ngunit dapat ay miyembro ka ng Mga administrator ng enterprise At Master ng pagpapangalan At Master ng Infrastruktura dapat available.

C:\adprep\adprep /rodcprep

Tulad ng nakikita mo, ang pag-update ng schema ng domain, kung maayos na binalak, ay hindi nagdudulot ng anumang mga paghihirap, gayunpaman, sa anumang kaso, dapat mong tandaan na ito ay isang hindi maibabalik na operasyon at may mga kinakailangang backup na kopya sa kamay.
Pinagmulan http://interface31.ru/tech_it/2013/05/obnovlenie-shemy-active-directory.html

Mahirap maliitin ang kahalagahan ng "Active Directory Schema" para sa mga network na binuo batay sa kapaligiran ng domain ng Active Directory. Ito ang batayan ng teknolohiya ng AD at napakahalagang maunawaan nang tama ang mga prinsipyo ng paggana nito. Karamihan mga tagapangasiwa ng system hindi nila binibigyang pansin ang scheme dahil sa ang katunayan na kailangan nilang harapin ito medyo bihira. Sa artikulong ito sasabihin ko sa iyo kung ano ang isang bersyon ng circuit, kung bakit kailangan nating malaman ito, at higit sa lahat, kung paano tingnan ito kasalukuyang bersyon. Una sa lahat, ang ilang mga salita tungkol sa mismong schema, bawat bagay na nilikha sa Active Directory, maging ito ay isang user o isang computer, ay may ilang mga parameter na tinatawag na mga katangian. Ang pinaka simpleng halimbawa maaaring magsilbi bilang katangiang "Apelyido" ng object ng user. Tinutukoy ng schema kung anong mga bagay ang maaari naming gawin sa Active Directory at kung anong mga katangian ang mayroon ang Active Directory na nagbibigay-daan sa paggamit sa loob ng isang organisasyon ng ilang mga controllers ng domain na binuo sa batayan iba't ibang bersyon Windows OS. Namely - sa Nakabatay sa Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Dahil ang mga bersyong ito ay inilabas sa iba't ibang taon, at bawat isa bagong bersyon nagdadala ng higit na pag-andar kaysa sa nauna; ang bawat operating system ay may sariling pag-unawa sa scheme. Samakatuwid, kapag nagdagdag ka ng bagong controller na nakabatay sa Windows Server 2008 sa isang organisasyon kung saan umiiral na mga controller na binuo sa Windows Server 2003, kailangan mong patakbuhin ang " Adprep“. Kaya, na-update mo ang diagram ng iyong organisasyon sa antas kung saan ito gumagana Windows Server 2008.

Ang proseso ng pag-update ng schema ay isinagawa bago ang unang pag-install Windows controller Ang Server 2008 at ang aktwal na pamamaraan para sa pag-install ng bagong controller ay maaaring hindi naisagawa. Kung nagsisimula ka pa lang magtrabaho sa isang organisasyong Active Directory at hindi mo alam kung anong mga aktibidad ang isinagawa bago ka dumating, upang maunawaan ang pagkakumpleto ng istraktura, kakailanganin mong malaman kung saang antas gumagana ang Schema ng kasalukuyang organisasyon.

Mag-post ng Sponsor

Lahat ng mga bagong release, ang pinakamahusay na mga pelikula ng mga nakaraang taon. Pinakamahusay na mga paboritong pelikula sa 5ic.ru

Mga posibleng bersyon ng circuit:

13 - Windows 2000 Server
30 - Windows Server 2003 RTM, Windows 2003 With Service Pack 1, Windows 2003 na may Service Pack 2
31 - Windows Server 2003 R2
44 - Windows Server 2008 RTM

Kahit na ang lahat ng mga controllers sa iyong organisasyon ay tumatakbo sa Windows Server 2003 R2, at ang bersyon ng circuit ay nagpapakita ng "44", hindi ka dapat magulat, ito ay nagpapahiwatig na ang circuit ay na-update na sa antas ng Windows Server 2008 RTM, ngunit ang controller mismo sa ilang kadahilanan ay walang dahilan upang i-install ito.

Mayroong ilang mga paraan upang tingnan ang bersyon ng schema. Ang pinakasimpleng paraan ay ang paggamit ng DSQuery utility. Upang gawin ito, magpasok ng command na may mga sumusunod na parameter sa command line:

"dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion"

Natural sa bahaging " dc= domainname dc= lokal" dapat mong palitan ang iyong sariling domain name. (Halimbawa: dc= microsoft, dc= com )

Ang resulta ng pagpasok ng utos ay upang makuha ang katangian na " ObjectVersion", na magiging numero ng bersyon ng circuit:

kanin. 1 Pagkuha ng bersyon ng schema sa pamamagitan ng DSQuery utility.

Ang pangalawang paraan ay mas mahaba at nagsasangkot ng paggamit ng " ADSIEedit. msc“ . Upang tingnan ang bersyon ng schema, kakailanganin mong kumonekta sa partition ng schema ng Active Directory.

“CN=Schema,CN=Configuration,DC=domain,DC=local“

At hanapin ang halaga ng katangian " objectVersion“.

Fig.2 Pagkuha ng bersyon ng schema sa pamamagitan ng “ ADSIEedit. msc“.

Alam ang bersyon ng scheme, maaari mong palaging sabihin nang may kumpiyansa kung ang scheme ay kailangang i-update at, kung kinakailangan, sa anong antas.

Dapat tandaan na ang mga pag-update ng schema ay maaaring isagawa ng software na mahigpit na isinama sa Active Directory. Karamihan nagniningning na halimbawa Microsoft Exchange Server. At madalas sa isang pagpaplano ng organisasyon Pagpapatupad ng exchange Server, kailangan mong malaman kung ang schema ay inihanda? At kung gayon, anong bersyon ng Exchange Server. Naka-on kasalukuyang sandali May tatlong bersyon ng Exchange na gumagana sa Active Directory, ngunit mayroong anim na opsyon para sa pagbabago ng schema.

Maiintindihan mo kung ang Active Directory Exchange Schema ay binago ng server sa pamamagitan ng paggamit ng attribute na “ rangeUpper", na kumukuha ng mga sumusunod mga halaga:

4397 - Exchange Server 2000 RTM
4406 - Exchange Server 2000 Gamit ang Service Pack 3
6870 - Exchange Server 2003 RTM
6936 - Exchange Server 2003 Gamit ang Service Pack 3
10628 - Exchange Server 2007
11116 - Exchange 2007 Gamit ang Service Pack 1

Gaya ng nakikita mo, nangyayari rin ang pag-update ng schema kapag ini-install ang set ng pag-update ng SP3 para sa Exchange Server 2000/2003 at SP1 para sa Exchange 2007.

Tingnan ang halaga ng katangian " rangeUpper" maaari mong gamitin ang DSQuery utility:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=configuration, dc=domainname, dc=local -scope base -attr rangeUpper"

kanin. 3 Pagkuha ng katangian " rangeUpper" sa pamamagitan ng DSQuery utility.

Kung pagkatapos ipasok ang utos na ito isang tugon ay ibinalik na nagpapahiwatig ng kawalan ng katangian " rangeUpper" maaari nating tapusin na ang pamamaraan ay hindi nabago.

Ang proseso ng pag-update ng schema ay napaka mahalagang punto para sa bawat isa Mga aktibong organisasyon Direktoryo, samakatuwid dapat mong iwasan ang mga hindi kailangan, hindi makatwirang pagkilos. Pag-unawa sa kakanyahan ng mga katangian " objectVersion"At « rangeUpper" nagbibigay ng kalamangan sa isang espesyalista kapag nagtatrabaho sa Active Directory sa isang hindi pamilyar na organisasyon, at isa rin itong pantulong na tool kapag nilulutas ang mga problema.

Pinapayagan ng Active Directory ang paggamit sa loob ng isang organisasyon ng ilang mga controller ng domain na binuo sa iba't ibang bersyon ng Windows OS. Ibig sabihin, batay sa Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Dahil ang mga bersyong ito ay inilabas sa iba't ibang taon, at ang bawat bagong bersyon ay may higit na pag-andar kaysa sa nauna, ang bawat operating system ay may sariling pag-unawa sa ang scheme. Samakatuwid, kapag nagdagdag ka ng bagong controller na nakabatay sa Windows Server 2008 sa isang organisasyon kung saan binuo ang mga umiiral na controller sa Windows Server 2003, kailangan mong patakbuhin ang " Adprep" Kaya, na-update mo ang diagram ng iyong organisasyon sa antas kung saan ito gumagana Windows Server 2008.

Ang proseso ng pag-update ng schema ay isinagawa bago i-install ang unang controller ng Windows Server 2008, at ang aktwal na pamamaraan para sa pag-install ng bagong controller ay maaaring hindi naisagawa. Kung nagsisimula ka pa lang magtrabaho sa isang organisasyong Active Directory at hindi mo alam kung anong mga aktibidad ang isinagawa bago ka dumating, upang maunawaan ang pagkakumpleto ng istraktura, kakailanganin mong malaman kung saang antas gumagana ang Schema ng kasalukuyang organisasyon.

Mga posibleng bersyon ng circuit:

13 – Windows 2000 Server
30 – Windows Server 2003 RTM, Windows 2003 With Service Pack 1, Windows 2003 With Service Pack 2
31 – Windows Server 2003 R2
44 – Windows Server 2008 RTM

“dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion”

Natural sa bahaging " dc= domainname dc= lokal" dapat mong palitan ang iyong sariling domain name. (Halimbawa: dc= microsoft, dc= com )

Ang resulta ng pagpasok ng utos ay upang makuha ang katangian na " ObjectVersion", na magiging numero ng bersyon ng scheme:

kanin. 1 Pagkuha ng bersyon ng schema sa pamamagitan ng DSQuery utility.

Ang pangalawang paraan ay mas mahaba at nagsasangkot ng paggamit ng " ADSIEedit. msc» . Upang tingnan ang bersyon ng schema, kakailanganin mong kumonekta sa partition ng schema ng Active Directory.

"CN=Schema,CN=Configuration,DC=domain,DC=local"

At hanapin ang halaga ng katangian " objectVersion".

Fig.2 Pagkuha ng bersyon ng schema sa pamamagitan ng snap-in " ADSIEedit. msc».

Alam ang bersyon ng scheme, maaari mong palaging sabihin nang may kumpiyansa kung ang scheme ay kailangang i-update at, kung kinakailangan, sa anong antas.

Dapat tandaan na ang mga pag-update ng schema ay maaaring isagawa ng software na mahigpit na isinama sa Active Directory. Ang pinakamaliwanag Halimbawa ng Microsoft Exchange Server. At madalas sa isang organisasyong nagpaplanong ipatupad ang Exchange Server, kinakailangan upang malaman kung ang schema ay inihanda? At kung gayon, anong bersyon ng Exchange Server. Sa kasalukuyan ay may tatlong bersyon ng Exchange na gumagana sa Active Directory, ngunit mayroong anim na opsyon para sa pagbabago ng schema.

Upang maunawaan kung nagkaroon ng pagbabago
Ang scheme ng Active Directory ng Exchange server ay matatagpuan gamit ang attribute na " rangeUpper", na kumukuha ng mga sumusunod mga halaga:

4397 – Exchange Server 2000 RTM
4406 – Exchange Server 2000 Gamit ang Service Pack 3
6870 – Exchange Server 2003 RTM
6936 – Exchange Server 2003 Gamit ang Service Pack 3
10628 – Exchange Server 2007
11116 – Exchange 2007 Gamit ang Service Pack 1

Gaya ng nakikita mo, nangyayari rin ang pag-update ng schema kapag ini-install ang set ng pag-update ng SP3 para sa Exchange Server 2000/2003 at SP1 para sa Exchange 2007.

Tingnan ang halaga ng katangian " rangeUpper" maaari mong gamitin ang DSQuery utility:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=schema, cn=configuration, dc=domainname, dc=local -scope base -attr rangeUpper"

kanin. 3 Pagkuha ng katangian " rangeUpper" sa pamamagitan ng DSQuery utility.

Kung pagkatapos ipasok ang utos na ito isang tugon ay ibinalik na nagpapahiwatig ng kawalan ng katangian " rangeUpper" maaari nating tapusin na ang pamamaraan ay hindi nabago.

Ang proseso ng pag-update ng schema ay isang napakahalagang sandali para sa bawat organisasyon ng Active Directory, kaya dapat iwasan ang mga hindi kailangan, hindi makatwirang pagkilos. Pag-unawa sa kakanyahan ng mga katangian " objectVersion"At« rangeUpper" nagbibigay ng kalamangan sa isang espesyalista kapag nagtatrabaho sa Active Directory sa isang hindi pamilyar na organisasyon, at isa rin itong pantulong na tool kapag nilulutas ang mga problema.

04/07/2011 Brian Desmond

Sa kasaysayan, ang mga administrator ng Active Directory (AD) at mga tagapamahala ng IT ay karaniwang nag-iingat sa pagpapalawak ng AD schema. Karamihan sa takot ay nagmumula sa dokumentasyon ng Microsoft. Windows beses 2000, kung saan kinakatawan ang extension ng schema bilang kumplikadong operasyon nangangailangan ng matinding pag-iingat. Gayunpaman, sa makatwirang pagpaplano, ang pagpapalawak ng scheme ay ganap na walang panganib

Tinutukoy ng AD schema ang istruktura ng data na nakaimbak sa direktoryo. Ang AD ay katutubong sumusuporta sa maraming uri ng mga bagay (halimbawa, mga user) at mga katangian (halimbawa, una at apelyido). Kung ang pangunahing AD schema ay hindi angkop sa data na gusto mong iimbak sa direktoryo, maaari mo itong dagdagan ng mga custom na bagay at katangian.

Karaniwan, ang AD schema ay pinalawak para sa ilang mga kadahilanan, ang pinaka-karaniwan sa maraming mga organisasyon ay ang pagpapatupad ng isang application na nangangailangan ng schema na palawigin. Isang magandang halimbawa - Microsoft Exchange. Minsan mga supplier software nangangailangan ng schema na palawigin upang maging tugma sa kanilang mga aplikasyon. Ang scheme ay madalas na pinalawig para sa mga aplikasyon sariling pag-unlad o para sa kaginhawaan ng pag-iimbak ng data ng kumpanya sa AD.

Mga opsyon sa storage

Kapag nagpaplano na palawakin ang scheme, lalo na para sa panloob na mga aplikasyon, una sa lahat, kailangan mong malaman kung ang data ay angkop para sa imbakan sa AD. Ito ay lalong maginhawa upang mag-imbak sa AD na medyo static (bihirang nagbabago) ng data na ginagamit sa buong kumpanya (ginagaya sa mga hangganan ng domain) at hindi kumpidensyal (halimbawa, hindi inirerekomenda na mag-imbak ng mga petsa ng kapanganakan, mga numero ng card sa AD seguridad panlipunan atbp.).

Kung ang data ay hindi nakakatugon sa mga pamantayang ito, ngunit kailangan pa ring ilagay sa isang LDAP na direktoryo, ang pangalawang opsyon ay pinakamainam. Ang AD Lightweight Directory Services (AD LDS, dating ADAM) ay isang standalone na bersyon ng AD na maaaring tumakbo bilang isang serbisyo sa server ng miyembro ng domain (o domain controller - DC) at, tulad ng AD, pinangangasiwaan ang mga kahilingang nakadirekta sa LDAP. Ang pangangailangang mag-host ng AD domain controllers para sa authentication at application support ay hindi isang nakakainis na limitasyon, ngunit isang pagkakataon upang mahigpit na kontrolin kung sino ang makakabasa ng data at ang direksyon ng data replication sa pamamagitan ng paglalagay ng AD LDS instance sa mga naaangkop na lokasyon.

Mga Primitibo sa Pag-iimbak ng Data

Dalawang termino ang susi sa pag-unawa sa schema ng AD: klase at katangian. Ang lahat ng elemento ng AD, kabilang ang schema, ay tinukoy sa mga tuntunin ng mga klase at katangian. Ang mga klase ay ang mga uri ng data na kailangang maimbak. Halimbawa, ang user ay isang klase sa AD, tulad ng computer. Ang mga katangian ay mga katangian ng mga klase. Ang klase ng user ay may katangian ng pangalan (givenName) at isang katangian ng apelyido (sn). Ang klase ng "computer" ay may katangiang "operating system". Ang AD schema ay tinukoy sa mga tuntunin ng dalawang klase: classSchema para sa mga klase at attributeSchema para sa mga attribute.

Upang gumamit ng pagkakatulad sa isang tipikal na database, maaari mong ihambing ang mga klase sa mga talahanayan sa isang database, at mga katangian sa mga column sa loob ng isang talahanayan. Ngunit tandaan na ang istraktura ng database ng AD Directory Information Tree (DIT) ay talagang naiiba.

Kapag nilulutas ang problema ng pag-iimbak ng isang bagong uri ng data sa AD, kailangan mong isipin ang tungkol sa pagmamapa ng data sa mga klase at katangian. Sa karamihan tipikal na mga kaso Ito ay sapat na upang magdagdag ng isang katangian sa isang umiiral na klase (halimbawa, user o grupo). Kung gusto mo lang mag-save ng bagong piraso ng data tungkol sa isang bagay umiiral na uri(gaya ng isang user), subukan munang maghanap ng mga angkop na katangian sa mga available sa AD. Ang schema ay naglalaman ng libu-libong mga katangian, karamihan sa mga ito ay hindi ginagamit. Samakatuwid, halimbawa, upang i-save ang impormasyon tungkol sa postal address user, maaari mong ilapat ang katangiang physicalDeliveryOfficeName.

Ang muling paggamit ng isang katangian para sa mga layunin maliban sa orihinal na paggamit nito ay isang hindi magandang diskarte. Isipin na ang isang katangian ay naitalagang muli, at pagkatapos ay isang application ay binili na gumagamit ng katangiang iyon para sa orihinal na layunin nito. Kailangan nating gawin ito dobleng gawain, dahil kailangan mong i-migrate ang legacy na application na gumagamit ng attribute at pagkatapos ay ilipat ang data. Sa pangkalahatan, palaging mas ligtas na magdagdag ng isang espesyal na katangian.

Ngunit kung minsan ay posible lamang ang diskarteng nakabatay sa klase. Sa dalawang kaso, mas madaling idagdag sa diagram bagong klase sa halip na gumamit ng mga katangian. Ang una sa mga ito ay ang pangangailangan na subaybayan ang bagong uri ng data sa catalog. Kung, halimbawa, gusto mong subaybayan ang mga sasakyan ng kumpanya sa AD, maaari mong tukuyin ang isang bagong klase na "kotse" sa schema. Ang isa pang kaso ay isang one-to-many mapping.

Ang isang mainam na halimbawa ay ang Microsoft Exchange Server 2010. Ang bawat mobile device na naka-synchronize sa Exchange gamit ang ActiveSync ay naka-imbak bilang isang halimbawa ng isang espesyal na msExchActiveSyncDevice object class sa direktoryo. Ang mga ito mga mobile device ay iniimbak bilang mga child object ng user, ang may-ari ng device. Ang istrukturang ito ay nagbibigay ng paghahambing malaking bilang mga katangian (para sa bawat device) sa isang user.

Input ang data para sa extension ng schema

Upang maghanda ng extension ng schema, kailangan mong mangolekta ng ilang mga input. Pagkatapos lamang maipapatupad ang espesyal na katangian o klase sa kapaligiran ng pag-unlad. Maraming mga input ang dapat na natatangi sa buong mundo, kaya mahalagang gawin ito kinakailangang paghahanda. Ang kapabayaan sa kasong ito ay maaaring humantong sa mga mapanganib na kahihinatnan.

Una sa lahat, piliin ang pangalan ng klase o katangian. Ang pinakamahalagang bahagi ng isang pangalan ay ang prefix. Attribute at mga pangalan ng klase sa schema (at sa buyer schema aplikasyon ng ikatlong partido) ay dapat na natatangi, kaya ang pagdaragdag ng prefix ay titiyakin na walang mga salungatan sa pagitan ng mga attribute ID.

Karaniwan ang pinaikling pangalan ng kumpanya ay ginagamit bilang prefix. Halimbawa, ginagamit ko ang bdcLLC bilang prefix para sa mga katangian ng aming kumpanya, Brian Desmond Consulting LLC. Para sa ABC Corporation, maaari mong gamitin ang prefix na abcCorp. Siguraduhing tiyakin na ang prefix ay natatangi, dahil walang pangkalahatang pagpapatala ng mga prefix. Kung ang iyong kumpanya ay may generic o pinaikling pangalan, alamin kung paano ito bibigyan ng kakaibang twist.

Sa sandaling napili ang isang pangalan, dapat kang magtalaga ng isang Object Identifier (OID) sa attribute o klase. Mga OID - karagdagang bahagi, na dapat na natatangi sa buong mundo. Ang AD (mas pangkalahatan, LDAP) ay hindi lamang ang framework na gumagamit ng OID bilang isang identifier, kaya organisasyon sa internet Ang Assigned Numbers Authority (IANA) ay nagtatalaga ng mga natatanging OID tree batay sa mga kahilingan ng kumpanya. Ang isang kahilingan para sa isang Private Enterprise Number, na bahagi ng puno ng OID na natatangi sa isang kumpanya, ay naproseso nang walang bayad sa humigit-kumulang 10 minuto. Kailangan mong makuha ito bago ka magsimulang gumawa ng mga custom na extension ng schema. Maaari kang humiling ng Private Enterprise Number sa website sa www.iana.org/cgi-bin/assignments.pl.

Kapag mayroon kang Pribadong Numero ng Enterprise, maaari kang lumikha at mag-ayos ng halos walang limitasyong bilang ng mga natatanging OID. Ipinapakita ng figure ang istraktura ng OID tree para sa Private Enterprise Number ng aming kumpanya. Ang mga OID ay binuo sa pamamagitan ng pagdaragdag ng mga sanga sa isang puno, kaya maraming kumpanya ang nagsisimula sa pamamagitan ng paglikha ng isang sangay ng AD Schema (1.3.6.1.4.1.35686.1 sa figure) at pagkatapos ay bumuo ng isang sangay ng klase at isang sangay ng katangian sa ilalim nito. Sa ilalim ng bawat isa sa mga sangay na ito, ang mga OID ay itinalaga sa bawat bagong katangian o klase. Ipinapakita ng figure ang OID (1.3.6.1.4.1.35686.1.2.1) na inilaan sa attribute ng user na myCorpImportantAttr. Napakahalagang maghanda ng panloob na mekanismo sa pagsubaybay (hal. electronic Excel spreadsheet o Listahan ng SharePoint), tinitiyak ang pagiging natatangi ng mga OID.

Pagguhit. Hierarchy ng mga OID

Nagbibigay ang Microsoft ng script na makakatulong sa iyong bumuo ng OID gamit ang random na halaga, ngunit walang garantiya na magiging kakaiba ito. Ang pinakamahusay na paraan- Humiling ng natatanging sangay sa organisasyon ng IANA at gamitin ito para sa mga extension ng schema. Napakasimple ng prosesong ito na hindi mo kailangang gamitin ang script ng pagbuo ng Microsoft OID.

Ang natitirang dalawa parameter ng input ay tiyak sa mga katangian at depende sa kanilang uri. Ang lubhang kapaki-pakinabang na mga katangian ng link ay ginagamit upang mag-imbak ng mga link sa pagitan ng mga bagay sa AD. Ang mga ito ay naka-imbak bilang mga pointer sa AD database upang ang mga sanggunian ay na-update kaagad batay sa lokasyon ng bagay sa kagubatan. Dalawa tipikal na halimbawa mga nauugnay na katangian - membership ng grupo (miyembro at memberOf) at relasyon ng manager/empleyado (manager/directReports). Ang mga konsepto ng forward links at back links ay nalalapat sa mga naka-link na attribute. Ang forward link ay isang nae-edit na bahagi ng ugnayan sa pagitan ng mga katangian. Halimbawa, sa kaso ng membership ng grupo, ang katangian ng miyembro para sa grupo ay isang forward link; Ang memberOf attribute para sa user ay isang backlink. Kapag nag-e-edit ng membership ng grupo, ginagawa ang mga pagbabago sa attribute ng miyembro (forward link) kaysa sa attribute na memberOf ng object ng miyembro (back link).

Upang tukuyin ang mga naka-link na attribute sa AD, kailangan mong tumukoy ng dalawang attribute (isang forward link at isang backlink) at mag-attach ng link identifier (linkID) sa bawat isa sa mga attribute na ito. Ang mga link ID ay dapat na natatangi sa loob ng kagubatan, at dahil ang mga link ID ay kailangan din ng iba pang mga application na nangangailangan ng schema extension, dapat silang gawing kakaiba sa buong mundo. Sa nakaraan kumpanya ng Microsoft na-publish na mga identifier ng link para sa mga organisasyon ng ikatlong partido, ngunit simula sa Windows Server 2003, ipinakilala ng AD sa halip ang isang espesyal na pointer na nagbibigay-daan sa iyong bumuo ng mga natatanging link identifier kapag nagdaragdag ng schema na naka-link ng isang pares ng mga katangian.

Ipinapalagay ng AD na ang mga link ID ay mga sequential number. Sa partikular, ang attribute ng forward link ay isang even number, at ang numerong kasunod nito ay itinalaga sa attribute backlink. Halimbawa, para sa member at memberOf (group membership), ang link ID para sa member ay 4 at ang link ID para sa memberOf ay 5. Kung ang extended na schema ay dapat na tugma sa Windows 2000 forest, dapat mong tukuyin ang mga static na link ID sa paraang inilarawan. Kung hindi, dapat mong gamitin ang awtomatikong proseso ng pagbuo ng link ID na ipinatupad sa Windows Server 2003. Upang gamitin awtomatikong proseso Kapag gumagawa ng mga link ID, sundin ang mga alituntunin sa ibaba kapag tumutukoy ng extension ng schema. Sa panahon ng proseso ng extension ng schema, tulad ng inilarawan sa ibang pagkakataon sa artikulo, ang mga sumusunod na hakbang ay kinakailangan upang mabuo ang mga nauugnay na katangian (kung bahagi sila ng extension).

Maghanda muna ng forward link gamit ang link ID 1.2.840.113556.1.2.50. Mangyaring tandaan na bagaman binigay na halaga Ang Link ID ay isang OID, inilalaan lang ng Microsoft ang OID value na ito para gawin ang Auto Link ID.

Pagkatapos ay i-reload ang cache ng schema. Pagkatapos nito, gumawa ng backlink attribute gamit ang link ID ng forward link attribute name at i-reload ang schema cache.

Ang pangalawang natatanging (at opsyonal din) na elemento ng attribute ay ang MAPI identifier. Ang mga identifier ng MAPI ay isang tampok ng Exchange Server. Kung wala kang Exchange o kailangan mong ipakita ang attribute sa Global Address List (GAL), maaari mong laktawan ang seksyong ito. Ginagamit ang mga identifier ng MAPI upang magpakita ng mga attribute sa isa sa mga page ng property sa address book, gaya ng template ng Pangkalahatang Detalye ng User (tingnan ang screen). Halimbawa, kung gusto mong ipakita ang klasipikasyon ng empleyado (full-time na empleyado o empleyado ng kontrata) sa GAL, italaga ang naaangkop na attribute bilang isang MAPI identifier. Pagkatapos maitalaga ang isang MAPI ID sa isang attribute, maaari mong gamitin ang Exchange Details Templates Editor upang ipasok ang data ng attribute sa isang view sa GAL sa loob ng Office Outlook.

Ang mga MAPI identifier ay dapat na natatangi, tulad ng mga OID at reference identifier. Noong nakaraan, hindi posibleng bumuo ng mga natatanging MAPI identifier, kaya ang mga identifier na ito ay palaging mahinang punto kapag pinalawak ang scheme. Sa kabutihang palad, ipinakilala ng Windows Server 2008 ang isang paraan upang awtomatikong bumuo ng mga natatanging MAPI ID sa isang direktoryo upang mabawasan ang panganib ng mga duplicate na MAPI ID. Upang magamit ang feature na ito, italaga ang value na 1.2.840.113556.1.2.49 sa attribute ng MAPI ID kapag gumagawa ng attribute. Bumubuo ang AD ng natatanging MAPI ID para sa attribute pagkatapos ma-reload ang cache ng schema. Tandaan na bagama't ang value na ito ay isang OID, ito ay nakalaan sa AD upang isaad ang awtomatikong pagbuo ng mga MAPI ID, katulad ng awtomatikong pagbuo ng mga link ID na inilarawan sa itaas.

I-summarize natin. Kapag nagpaplano ng pagpapalawak ng circuit, mayroong tatlong kritikal na parameter ng input na dapat isaalang-alang. Ang una ay ang pangalan ng klase o katangian; ang pangalawa ay isang natatanging prefix na itinalaga sa lahat ng klase at katangian; ang pangatlo ay OID. Upang makabuo ng isang OID, dapat kang humiling ng isang natatanging sangay ng OID mula sa organisasyon ng IANA. Kung gagawin ang isang naka-link na pares ng attribute, kinakailangan ang isang natatanging pares ng pagkakakilanlan ng link. Kung gusto mong ipakita ang attribute sa listahan ng Exchange GAL, dapat kang gumamit ng natatanging MAPI identifier. Para sa parehong mga link ID at MAPI ID, ang paggamit ng isang awtomatikong proseso ng pagbuo sa loob ng AD ay mas mainam kaysa sa paggamit ng mga static na halaga.

Pagpaplano ng pagpapatupad

Kapag nagpapatupad ng custom na extension ng schema o nagpapalawak ng schema na may mga katangian at klase ng provider, dapat kang gumawa ng mga paunang hakbang sa pagpaplano upang maprotektahan ang integridad ng iyong AD forest. Ang unang hakbang ay suriin ang extension ng schema.

Kapag naghahanda ng custom na extension ng schema, gumamit ng pansamantalang development environment. Ang AD Lightweight Directory Service (AD LDS) ay magagamit bilang isang libreng pag-download para sa desktop Mga istasyon ng Windows XP at Windows 7. Naka-on workstation maaari kang gumawa ng AD LDS instance, bumuo ng schema extension in nakahiwalay na kapaligiran, at pagkatapos ay i-export ang extension na ito para sa pag-import sa ibang pagkakataon sa pagsubok na gubat ng AD. Ang AD LDS schema ay tugma sa AD, kaya maaari mong gamitin ang LDIFDE para sa pag-export. Maaari mong i-import ang iyong nakumpletong schema extension sa isang pagsubok na AD forest at pagkatapos ay i-verify na matagumpay ang pag-import at hindi apektado ang iyong mga kritikal na aplikasyon. Para sa AD, dapat mong planong subukan kung matagumpay ang pag-import at kung tama ang pagtitiklop sa isang kapaligiran ng pagsubok.

Kung sumusubok ka ng extension ng schema sa isang pansubok na AD forest, dapat tumugma ang schema nito sa production forest. Sa kasong ito, makumpleto ang pagsubok. Maaari mong gamitin ang tool ng AD Schema Analyzer (bahagi ng AD LDS) upang makita ang mga pagkakaiba ng schema sa pagitan ng dalawang AD na kagubatan. Ang artikulong "I-export, Ikumpara, at I-synchronize ang Mga Active Directory Schema" sa TechNet (http://technet.microsoft.com/en-us/magazine/2009.04.schema.aspx) ay naglalarawan kung paano mag-import at mag-export ng mga extension ng schema at kung paano gamitin ang tool ng AD Schema Analyzer. Pakitandaan na maaaring may ilang pagkakaiba kapag naghahambing ng mga disenyo depende sa mga service pack at Mga bersyon ng Windows, lalo na sa pag-index ng mga katangian at pag-iimbak ng mga marka ng pagtanggal.

Para sa mga extension ng schema na nakuha mula sa iba pang mga mapagkukunan (halimbawa, kasama ang komersyal na aplikasyon), kinakailangan upang matiyak na ang mga pagbabagong kasangkot ay walang mga panganib. Kasama ng lahat ng data ng pag-input na tinalakay sa itaas, siguraduhing bigyang-pansin ang ilang iba pang mga pangyayari. Nasa ibaba ang mga pangunahing mga parameter mga bagay na dapat suriin:

ibinibigay sa isang LDIF file (maraming LDIF file);
kawastuhan ng mga prefix ng katangian;
mga rehistradong OID;
mga nakarehistro/awtomatikong nabuong link identifier;
awtomatikong nabuong mga identifier ng MAPI.

Ang mga LDIF file ay isang pamantayan sa industriya: ang lahat ng mga extension ng schema ay dapat maihatid sa format na ito. Pinapayagan ang mga application na gumamit ng isang espesyal na mekanismo sa pag-import sa halip na LDIFDE para sa mga extension ng schema. Ngunit kung ang extension ay ibinibigay sa ibang format, may mga pagdududa tungkol sa kawastuhan nito at sa pagiging maaasahan ng supplier. Nagpapakita ang B ng sample na LDIF para sa paggawa ng attribute sa AD schema para mag-imbak ng impormasyon tungkol sa laki ng sapatos ng isang user. Dapat itong tandaan sumusunod na mga tampok ng sample na extension ng schema na ito.

Naka-prefix ang attribute batay sa pangalan ng kumpanya ng provider (Brian Desmond Consulting, LLC: bdcllc).
Ang natatanging OID para sa attribute ay ibinibigay gamit ang Private Enterprise Number na nakarehistro ng provider.
Ang attribute ay na-index (search Flags: 1) at available sa global catalog (isMemberOfPartialAttributeSet: TRUE).

Kailangan mo ring i-verify na ang attribute ay available sa Partial Attribute Set (PAS) na global catalog at na ang mga index na ginawa para sa attribute ay tama kung ang attribute ay gagamitin sa LDAP search filters. Kapaki-pakinabang din upang matiyak na ang data na nakaimbak sa katangian ay katanggap-tanggap sa AD sa loob ng konteksto ng mga limitasyon at alituntuning tinalakay sa itaas.

Kapag nasubok na ang extension ng schema at handa na para sa deployment ng produksyon, dapat kang pumili ang tamang panahon para sa operasyong ito. Karaniwan, maaari itong kumpletuhin sa mga oras ng negosyo. Magkakaroon ng kapansin-pansing pagtaas sa load ng CPU kapag pinapatakbo ang Schema Wizard at bahagyang pagtaas ng load sa mga controllers ng domain na gumagaya ng mga pagbabago. SA malalaking kumpanya Maaari kang makaranas ng pag-pause sa pagtitiklop sa pagitan ng mga controller ng domain sa loob ng apat hanggang anim na oras kung magdaragdag ka ng mga attribute sa partial na set ng attribute ng PAS. Ang mga pag-pause ay sasamahan ng mga mensahe ng error na nagsasaad ng mga problema sa mga bagay, ngunit kadalasan ay maaaring balewalain at mawawala nang mag-isa. Kung ang mga controller ng domain ay nadiskonekta mula sa pagtitiklop sa loob ng mahabang panahon, dapat mong simulan ang pag-troubleshoot.

Sistematikong diskarte

Walang panganib sa pagpapalawak ng AD schema kung gagawa ka ng mga pangunahing pag-iingat. Kapag nagpaplano ng mga bagong extension ng schema at kapag nagsusuri ng mga custom na attribute at klase mula sa mga supplier ng third party tandaan ang pagtukoy ng impormasyon na natatangi sa bawat klase o katangian at tiyaking ito ay natatangi sa buong mundo.

Pagkatapos suriin ang integridad nito, i-port ang bagong extension sa isang kinatawan na kapaligiran ng pagsubok at i-verify na gumagana nang tama ang kapaligiran ng pagsubok at kritikal na mga aplikasyon. Maaari mong i-import ang extension ng schema sa iyong production environment.

Listahan. Halimbawa ng mga tala ng LDIF

Dn: cn = bdcllcShoesize, cn = schema, cn = pagsasaayos, dc = x changeType: magdagdag ng objectclass: top objectclass: attributeschema cn: sfsuliveserviceentitlement katangianid: 1.3.6.1.4.1.35686.100.1.1.2 Mga Katangian showInAdvancedViewOnly: TRUE adminDisplayName: bdcllcShoeSize adminDescription: Nag-iimbak ng laki ng sapatos ng isang user oMSyntax: 64 searchFlags: 1 lDAPDisplayName: bdcllcShoeSize na pangalan: bdcllcShoeSize schemaIDGUID:: JsfWbPlAzwr tributeS et: TOTOO

FSMO role schema master ( Schema master) ay isa sa dalawang tungkuling gumagana sa antas kagubatan Aktibo Direktoryo. Ibig sabihin, dapat ay mayroon lamang isang schema master sa buong AD forest.

Ang pangunahing artikulo sa Active Directory ay . Basahin din ang iba pang mga artikulo sa mga tungkulin ng mga operations masters -.

Kung interesado ka sa mga paksa ng Windows Server, inirerekumenda kong tingnan ang seksyon sa aking blog.

Schema master — Aktibong Directory schema master

Alam mo ba na kung ang AD schema ay nasira, kailangan mong ibalik ang lahat ng mga CD sa buong kagubatan? Ngunit ito ay talagang totoo, kaya naman maging maingat kapag gumagawa ng mga pagbabago sa circuit. Samantala, isang maliit na teorya.

Teorya

Dahil ang schema master ay isang tungkulin sa antas ng kagubatan, palagi itong umiiral sa anumang partikular na kagubatan ng AD sa isang kopya. Sa madaling salita, mayroon lamang isang domain controller na may karapatang gumawa ng mga pagbabago/pag-update sa schema, gayunpaman, isang replica ng schema ay naroroon sa bawat domain controller at, kung kinakailangan, ang tungkulin ay maaaring puwersahang agawin ng anumang DC , ngunit higit pa tungkol diyan mamaya. Sa pagsasagawa, ang mga pagbabago sa circuit ay napakabihirang nagaganap, halimbawa kapag nag-i-install Exchange server o iba pang mga application na nag-iimbak ng ilan sa kanilang data (gaya ng mga configuration object) sa AD.

Pa rin ano ang AD schema? Pangunahing ito ay isang hanay ng mga bagay at ang kanilang mga katangian na ginagamit upang mag-imbak ng data. Ang kahulugan na ito ay nagpapaliwanag ng isang bagay sa ilang mga tao; Susubukan kong ipaliwanag ito nang mas detalyado gamit ang isang halimbawa. Ano ang isang bagay? Halimbawa, ang mga bagay ay mga user o computer account. SA sa kasong ito sa AD schema mayroong isang klase gumagamit, na tumutukoy sa lahat ng katangian ng object ng user account:

Ang bawat isa account ang isang user sa domain ay magkakaroon ng lahat ng mga katangiang ito. Ngunit ang mga halaga ng katangian ay maaaring hindi matukoy. Maaari mong suriin kung anong mga katangian at ang kanilang mga halaga mayroon ang aking bagong likhang domain administrator account. Upang gawin ito, kailangan mong pumunta sa console adsiedit.msc at buksan ang default na konteksto ng pagpapangalan. Sa hierarchy nakita namin ang object ng user at binuksan ang mga katangian nito:

Maaari mong makita na ang bagay ay may lahat ng mga katangian na tinukoy sa klase gumagamit. Kung magpasya kang makita para sa iyong sarili kung ano ang sinabi ko at ang impormasyon ay naiiba para sa iyo, pagkatapos ay bigyang-pansin ang pindutan Salain, marahil hindi lahat ng katangian ay ipinapakita. Halimbawa, maaari mong tiyakin na ang mga katangian lamang na may mga halaga ang ipinapakita. Pangasiwaan ang mga bagay sa pamamagitan ng adsiedit.msc hindi ang pinakamahusay na ideya, gawin ito sa pamamagitan ng naaangkop na kagamitan.

Para sa kasiyahan, maaari mong tingnan ang mga katangian ng Exchange 2013 server object, dahil ipinakilala ng Exchange ang maraming bagong klase sa schema:

Sa karamihan ng mga kaso, ang mga tanong tungkol sa schema master ay iniiwasan at ang kailangan mo lang malaman ay ang tungkuling ito ay may pananagutan sa paggawa ng mga pagbabago sa AD schema. Gayunpaman, ang scheme ay orihinal na nilikha sa paraang maaaring gumawa ng mga pagbabago dito ang sinuman. Iyon ay, ang mga third-party na kumpanya ay maaaring magdisenyo ng kanilang mga aplikasyon sa paraang iniimbak nila ang kanilang data sa AD. Upang gawin ito, mayroong maraming malalaking gabay sa mga opisyal na mapagkukunan, ang ilan sa mga ito ay magagamit din sa Russian.

Pinakamahuhusay na kagawian

Ang AD scheme ay may panimula mahalaga para gumana ang Active Directory, at samakatuwid ay nangangailangan ng naaangkop na pangangasiwa, bagama't sa karamihan ng mga kaso ay nakalimutan lang ito. Nasa ibaba ang formulated pinakamahusay na kasanayan pangangasiwa ng iskema.

1) Bago baguhin ang scheme, palagi gawin backup . Bago ang proseso ng pagbabago ng scheme, maaari mong huwag paganahin ang lahat ng mga controller ng domain, siyempre, maliban sa isa, na siyang may-ari ng papel na ito. Pagkatapos nito, gumawa ng backup na kopya ng domain controller, gawin ang lahat ng kinakailangang pagbabago, at kung naging maayos ang lahat, i-on lang ang mga dating na-disable na DC. Kung may mali, kunin lang ang nag-iisang controller na gumagana sa oras na iyon mula sa backup na kopya, i-on ang iba at imbestigahan pa ang problema;

Sa antas ng kagubatan, ang schema master at domain name master roles ay dapat na matatagpuan sa parehong domain controller (sila ay bihirang gamitin at dapat na mahigpit na kontrolin). Bilang karagdagan, ang controller na nagtalaga ng domain name master role ay dapat ding isang server pandaigdigang katalogo. Kung hindi, maaaring mabigo ang ilang operasyon na gumagamit ng domain name master (gaya ng paggawa ng mga child domain).

Samakatuwid, ang isang domain controller na sumusuporta sa schema master role ay dapat ding maging responsable para sa domain name master role at maging isang global catalog.

3) Kung sa ilang kadahilanan nawala mo ang host server ng scheme, pagkatapos ay sa anumang iba pang domain controller maaari mong puwersahang sakupin ang papel na ito, ngunit tandaan na pagkatapos nito ang orihinal ang may-ari ng scheme ay hindi dapat lumitaw sa network.

4) Maliban kung talagang kinakailangan huwag magsagawa ng mga pagbabago sa schema nang manu-mano. Kung kailangan mo pa ring gawin ito, tingnan ang punto 1.

Kami ay maayos na lumipat mula sa teorya patungo sa pagsasanay.

Pangangasiwa ng schema

Una sa lahat, ito ay nagkakahalaga ng pagsasabi na upang pamahalaan ang scheme dapat kang magkaroon ng hindi bababa sa mga karapatan Admin ng Schema. Lahat ng iba mga awtorisadong gumagamit may mga read-only na karapatan, bagama't sa prinsipyo ay maaaring baguhin ang mga pahintulot. Karamihan sa mga gawaing pang-administratibo ay ginagawa sa snap-in ng Active Directory Schema Management, na hindi available bilang default at hinihiling sa iyong irehistro ang library upang paganahin ito. schmmgmt.dll. Upang gawin ito, inilunsad namin command line na may mga karapatan ng administrator at isagawa ang:

Visual Basic

regsvr32 schmmgmt.dll

regsvr32 schmmgmt . dll

Nakatanggap kami ng abiso:

Pagkatapos nito sa console MMC mahahanap mo ang kagamitan Schema ng Active Directory. Dapat mong patakbuhin ang command sa bawat domain controller kung saan mo pinaplanong pangasiwaan ang scheme.

Sabihin nating mayroon kang dalawang domain controller at gusto mong ilipat ang schema master role mula DC01 hanggang DC02:

Buksan ang kagamitan sa DC01, i-right click mag-click sa Schema ng Active Directory at pumili Baguhin ang controller domain Aktibo Direktoryo;
Susunod, piliin ang domain controller kung saan gusto naming ilipat ang tungkulin (para sa akin ito ay DC02, bilang default ang server na nagmamay-ari ng tungkulin ay palaging pinipili). Kinukumpirma namin ang babala;
I-right click muli Schema ng Active Directory, pero pumipili na kami Ang may-ari ng operasyon...;
I-click ang button na Baguhin.

Pagkatapos nito, kailangan mong kumpirmahin ang iyong pinili at makatanggap ng isang abiso tungkol sa matagumpay na paglipat ng tungkulin.

Kinukumpleto nito ang pagsusuri ng may-ari ng scheme ng fsmo-role na marahil sa malapit na hinaharap ay dagdagan ko ang artikulo ng mga tagubilin sa kung paano pilitin ang tungkulin na agawin ng ibang mga controllers ng domain.