• Article

Active Directory

Exporter, comparer et synchroniser Active Directory schémas

John Policelli

À une vue d'ensemble :

  • Utilisation de LDIFDE pour exporter le schéma de la forêt source
  • Comparaison de schémas avec l'Analyseur de schéma Active Directory du service D'ANNUAIRE/LDS
  • Importer votre schéma dans la forêt cible

Contenu

Exporter le schéma à partir de la forêt source
Comparer les schémas Active Directory
Créer un fichier LDIF avec les éléments manquants
Importer le schéma dans la forêt cible
Conclusion

Chaque forêt Active Directory possède son propre schéma qui définit les objets et attributs que le service Annuaire utilise pour stocker des données.Lorsque les organisations avez plusieurs forêts Active Directory, les administrateurs INFORMATIQUES avoir à gérer plusieurs schémas Active Directory ; garantir la cohérence entre des schémas est essentielle lors de la gestion de plusieurs forêts.Dans cet article, je vous guide un processus rationalisé pour gérer plusieurs schémas Active Directory.

La flexibilité de synchronisation de schéma et de comparaison

Un des plus grands avantages du processus que j'ai détaillées dans cet article est qu'il n'est pas exclusif à la gestion de schéma Active Directory.Ce processus peut également servir pour synchroniser les schémas entre des différentes combinaisons de répertoires AD LDS, Active Directory et ADAM (Active Directory Application Mode).La synchronisation du schéma peut être effectuée pour synchroniser les schémas entre les opérations suivantes :

  • Active Directory et Active Directory
  • ADAM et ADAM
  • AD LDS et AD LDS
  • Active Directory et ADAM
  • Active Directory et AD LDS
  • AD LDS et ADAM

Ce processus peut également être utilisé pour comparer les schémas parient-ween différentes combinaisons de répertoires LDS Active Directory, ADAM et Active Directory.La comparaison de schéma peut être effectuée pour comparer les schémas entre les opérations suivantes :

  • Active Directory et Active Directory
  • ADAM et ADAM
  • AD LDS et AD LDS
  • Active Directory et ADAM
  • Active Directory et AD LDS
  • AD LDS et ADAM
  • Un fichier LDIF et Active Directory
  • ADAM et d'un fichier LDIF
  • AD LDS et un fichier LDIF

Les organisations peuvent déployer plusieurs forêts Active Directory de production pour une variété de société ou des raisons techniques.Souvent, autres forêts Active Directory sont déployés et une fois la forêt de production déployée.Dans certains cas, cela se produit années plus tard.

Active Directory a été publiée presque il y a dix ans.Au fil des années, les organisations ont undoubtedly apportées nombreuses modifications de schéma à leur forêt de production.Identification de ces modifications de schéma à la forêt est une tâche difficile.Il est encore plus difficile pour vous assurer que les modifications de schéma ont été apportées précédemment à la forêt de production sont effectuées dans les forêts nouveau tests d'une manière cohérente.

Dans cet article, je me concentrer sur un scénario dans lequel vous déployez une acceptation utilisateur nouvelle forêt Active Directory (UAT) qui sera utilisé par les utilisateurs finaux pour tester des applications qui exploitent Active Directory pour l'authentification et l'autorisation de test.Cinq attributs personnalisés existent dans votre schéma Active Directory de production, et vous devez vous assurer que le schéma de la forêt de production source est cohérent avec la nouvelle cible UAT forêt.

Il existe plusieurs scénarios, cependant, dans laquelle vous pouvez utiliser le processus que j'aborder dans cet article pour simplifier la gestion de plusieurs schémas.Pour plus d'informations, consultez l'encadré « flexibilité de synchronisation de schéma et de comparaison. »

Exporter le schéma à partir de la forêt source

La première étape consiste à exporter le schéma de la forêt source.Ceci est nécessaire afin que vous pouvez comparer ultérieurement schéma de la forêt source avec schéma de la forêt cible à décider les attributs et les classes pour synchroniser.

L'outil de ligne de commande LDIFDE, qui est livré avec Windows Server 2003 et Windows Server 2008, peut être utilisé pour exporter le schéma de la forêt source.Cet outil crée un fichier qui est formaté avec les données Interchange Format (LDIF).Aucun autorisations spéciales ne sont nécessaires pour exporter le schéma de la forêt source et n'importe quel utilisateur de domaine peut effectuer cette tâche.

Pour exporter le schéma de la forêt source, procédez comme suit :

  1. Ouvrez une session sur un serveur membre ou un contrôleur de domaine.
  2. Ouvrez une fenêtre d'invite de commande.
  3. Tapez la commande suivante dans la fenêtre d'invite de commande :
ldifde -f PRODSchema.ldif -d CN=Schema,CN=Configuration,DC=WS08DOMAIN01,DC=local
  1. Appuyez sur Saisissez.

Figure 1 illustre la sortie, que vous verrez à partir de cette commande.

fig01.gif

Figure 1 Exportation le schéma de la forêt source

Dans cette commande, le paramètre de PRODSchema.ldif-f indique LDIFDE pour écrire la sortie dans un fichier appelé PRODSchema.ldif. La-d CN = Schema, CN = Configuration, DC = WS03DOMAIN01, DC = local paramètre indique LDIFDE pour utiliser la partition du schéma comme la racine de la recherche LDAP. Le contrôleur de domaine = WS08DOMAIN01, DC = portion locale de la commande doit être remplacée par le nom unique du domaine racine de forêt dans votre forêt source.

fig02.gif

La figure 2 fenêtre de schéma cible charge

Comparer les schémas Active Directory

Maintenant que vous avez exporté le schéma de la forêt source, vous êtes prêt à comparer ce schéma avec celui de la forêt cible. Cette étape permet d'identifier les attributs et les classes qui existent dans la forêt source mais n'existent pas dans la forêt cible.

Windows Server 2008 inclut l'outil Services de domaine Active Directory (AD DS) / LDS schéma Analyzer lorsque le rôle de serveur Active Directory Lightweight Directory Services est installé. Il peut servir à comparer les schémas dans un nombre de différentes manières. Notez que cet outil a été précédemment appelé l'Analyseur de schéma Active Directory dans Windows Server 2003. Dans cet article, J'AI référencer en tant que l'Analyseur de schéma Directory/LDS car mes exemples utilisent Windows Server 2008. Les étapes de la comparaison et d'exportation, toutefois, peuvent également être effectuées utilisez la version de Windows Server 2003 de cet outil.

Pour comparer les schémas Active Directory des forêts source et cible, procédez comme suit :

  1. Ouvrez une session sur un serveur membre ou un contrôleur de domaine qui a AD LDS installé et appartient à un domaine dans la forêt cible.
  2. Rechercher le fichier PRODSchema.ldif qui a été créé dans la section précédente et le copier sur le serveur que vous ouvrez une session.
  3. Accédez à Démarrer, sur Exécuter, puis tapez la commande suivante : C:\WINDOWS\ADAM\ADSchemaAnalyzer.exe
  4. Entrez d'accès et l'Analyseur de schéma Active Directory du service D'ANNUAIRE/LDS sont Ouvre.
  5. Dans le menu Fichier de la fenêtre Services de domaine Active Directory (AD DS) / LDS schéma Analyseur, cliquez sur schéma cible de charge.
  6. Dans la fenêtre charge cible schéma, illustré La figure 2 , cliquez sur le bouton charge LDIF.
  7. Accédez à l'emplacement du fichier LDIF et cliquez sur Ouvrir.
  8. Le fichier LDIF est importé dans l'Analyseur de schéma Directory/LDS.
  9. Dans le menu Fichier, cliquez sur schéma de base de charge.
  10. Dans la fenêtre schéma de base de charge, entrez un contrôleur de domaine auquel se connecter sur le serveur [: port] champ, un nom d'utilisateur, un mot de passe et un domaine, comme illustré dans La figure 3 .
  11. Cliquez sur OK.
  12. Pour filtrer les éléments non présent, sélectionnez Masquer les éléments présents dans le menu de schéma. Les éléments manquants seront répertoriés sous le nœud attributs, comme illustré figure 5 .
  13. Développer le nœud attributs et les éléments présents et non présent (classes et attributs) seront répertoriés, par défaut. Les attributs qui sont cohérentes entre les forêts apparaît avec une coche dans la zone en regard du nom de l'élément, comme indiqué dans la figure 4 . Les éléments qui existent dans la forêt source, mais sont manquantes de la forêt cible apparaissent avec une zone vide.

fig03.gif

La figure 3 fenêtre schéma de base de charge

fig04.gif

La figure 4 attributs présents et manquants

fig05.gif

La figure 5 Affichage uniquement les éléments manquants

fig06.gif

Figure 6, Sélectionnez les éléments non présent à inclure

Gestion des SID de domaine par rapport de schéma les objets de classe

Si le schéma dans la forêt source a été préparé pour domaine en lecture seule Cont-rouleaux RODCs, en exécutant la commande /rodcprep adprep, vous devrez peut-être effectuer une tâche plue après avoir effectué l'importation du schéma dans la forêt cible. Lorsque la commande /rodcprep adprep est exécutée, les classes de schéma trois suivantes peut-être un SID par rapport au domaine dans leur descripteur de sécurité par défaut :

  • Domaine-DNS
  • DMD
  • Gestionnaire de comptes de sécurité domaine

Le descripteur de sécurité par défaut pour ces classes de schéma trois inclut le groupe de sécurité contrôleurs de domaine d'entreprise en lecture seule, qui peut contenir le SID par rapport au domaine. Le SID de ce groupe de sécurité se présente sous la forme de < domaine SID >-498. Par exemple, si le domaine SID est S-1-5-21-886666173-4210462831-1041481479, le SID pour le groupe de sécurité contrôleurs de domaine en lecture seule de l'entreprise sera S-1-5-21-886666173-4210462831-1041481479-498. Comme vous pouvez l'imaginer, un SID par rapport au domaine de la forêt source ne sera pas utilisable dans un descripteur de sécurité dans la forêt cible.

Les étapes requises pour résoudre ce problème varient selon votre niveau fonctionnel de forêt (FFL) de votre forêts source et cible de :

  • Si la forêt cible a un FFL de Windows Server 2008 ou version ultérieure, vous pouvez remplacer le SID fautif avec "RO".
  • Si la forêt source a une FFL de Windows Server 2008 et la forêt cible a un FFL antérieures à Windows Server 2008 (par exemple, Windows Server 2003), vous devez remplacer "RO" dans le langage SDDL par le SID du groupe de sécurité contrôleurs de domaine d'entreprise en lecture seule la forêt cible.

Seuls les contrôleurs de domaine Windows Server 2008 comprendre la signification de "RO"; les contrôleurs de domaine Windows Server 2003 et Windows 2000 Server n'est pas le cas. Par conséquent, si tout domaine contro-llers dans la forêt cible ont installé Windows Server 2008 et vous ne prévoyez pas d'introduire des contrôleurs de domaine Windows Server 2003 ou Windows 2000 Server installé à l'avenir, vous devez adapter pour utiliser "RO" dans le descripteur de sécurité par défaut d'un objet de schéma. Si la forêt cible inclut des contrôleurs de domaine Windows Server 2003 ou Windows 2000 Server installé, ou ces contrôleurs de domaine peuvent être présentés à l'avenir, vous devez utiliser le SID du groupe de sécurité contrôleurs de domaine d'entreprise en lecture seule, qui inclut le SID par rapport au domaine.

Créer un fichier LDIF avec les éléments manquants

Maintenant vous avez renseigné une comparaison de schémas Active Directory et identifier les éléments (classes et attributs) existent dans la forêt source mais n'existent pas dans la forêt cible. Vous devez maintenant créer un autre fichier LDIF qui contiendra ces éléments manquants. Ce nouveau fichier LDIF servira pour importer les éléments manquants dans le schéma cible.

Vous pouvez utiliser l'Analyseur de schéma Directory/LDS pour créer un LDIF qui contient les éléments manquants, en procédant comme suit :

  1. Pour inclure tous les éléments manquants dans le fichier LDIF, dans le menu schéma de la fenêtre de l'Analyseur de schéma Directory/LDS, cliquez sur Sélectionnez tous les présent éléments non comme inclus, puis cliquez sur OK sur la confirmation. Pour contrôler les éléments manquants sont inclus dans le fichier LDIF, cliquez sur la case en regard de chaque élément que vous souhaitez inclure. UN plus (+) connexion sera ajoutée en regard de l'élément, comme illustré figure 6 .
  2. Dans le menu Fichier de l'analyseur de schéma Directory/LDS, cliquez sur fichier LDIF créer.
  3. Dans la fenêtre fichier LDIF sélectionner, entrez un emplacement et le nom de fichier pour le fichier LDIF et cliquez sur Enregistrer.

Importer le schéma dans la forêt cible

L'étape finale de ce processus consiste à importer le schéma Active Directory dans la forêt cible. L'outil Csvde peut servir à importer les éléments manquants de la forêt source dans la forêt cible. Comme mentionné précédemment, les éléments manquants sont contenus dans le fichier LDIF qui a simplement créé par l'Analyseur de schéma Active Directory du service D'ANNUAIRE/LDS.

Pour importer le schéma Active Directory dans la forêt cible, utilisez un compte qui est un membre des groupes Administrateurs d'entreprise et Administrateurs de schéma pour effectuer les tâches suivantes :

  1. Ouvrez une session sur le contrôleur de domaine qui détient le rôle de maître d'opérations principal du schéma.
  2. Ouvrez une fenêtre d'invite de commande.
  3. Dans la fenêtre d'invite de commandes, tapez ce qui suit :
ldifde -i -f MissingElements.ldf -c dc=X 
DC=WS08DOMAIN02,DC=net
  2. Entrez des accès.

Dans cette commande, le i - paramètre indique LDIFDE pour effectuer une importation. Le paramètre de MissingElements.ldf-f indique LDIFDE pour importer d'un fichier appelé MissingElements.ldf. Le dc - c = X DC = WS08DOMAIN02, DC = net paramètre indique LDIFDE pour remplacer toutes les occurrences du dc = X avec contrôleur de domaine = WS08DOMAIN02, DC = net. Le contrôleur de domaine = WS08DOMAIN02, DC = net partie de la commande doit être remplacé par le nom unique du domaine racine de forêt dans votre forêt cible.

Conclusion

À ce stade, le schéma dans la forêt cible a été étendu pour inclure les éléments manquants.

Gestion de schéma Active Directory est une tâche complexe. Et il devient encore plus complexe lorsque plusieurs forêts Active Directory sont déployés dans votre environnement. Toutefois, en utilisant le processus décrit dans cet article, vous pouvez simplifier la gestion de plusieurs schémas Active Directory et assurez-vous que vous disposez d'un schéma cohérent sur tout votre forêts.

John Policelli (MVP Microsoft pour les services d'annuaire, MCTS, MCSA, ITSM, iNet +, Network + et A +) est consultant informatique but de solutions avec sur dix ans d'expérience dans l'architecture, sécurité, planification stratégique et la planification de la récupération après incident. Jean a passé le passé années 9 concentré sur la gestion des identités et des accès et fournissant pensé direction pour certains des installations plus grandes d'Active Directory au Canada. Vous pouvez le contacter par l'intermédiaire de son blog à policelli.com/blog.