O Active Directory

Exportar, comparar e sincronizar o Active Directory esquemas

John Policelli

Visão geral:

• Usando o LDIFDE para exportar o esquema de floresta de origem
• Comparação de esquemas com o analisador de esquema de DS/LDS Directory Active
• Importar o esquema de floresta de destino

Conteúdo

Exportar o esquema da floresta de origem
Comparar os esquemas XML Active Directory
Criar um arquivo LDIF com os elementos ausentes
Importar o esquema para a floresta de destino
Quebra automática para cima

Cada floresta do Active Directory possui seu próprio esquema, que define objetos e atributos que usa o serviço de diretório para armazenar dados. Quando as organizações têm várias florestas do Active Directory, os administradores de TI precisam gerenciar vários esquemas do Active Directory; é fundamental garantir a consistência entre esquemas durante o gerenciamento de várias florestas. Neste artigo, irá orientá-lo um processo simplificado para gerenciar vários esquemas do Active Directory.

A flexibilidade de sincronização de esquema e de comparação

Uma das maiores vantagens do processo que tenha detalhados neste artigo é que ele não é exclusivo ao gerenciamento de esquema do Active Directory. Esse processo também pode ser usado para sincronizar esquemas entre várias combinações de Active Directory, o ADAM (Active Directory Application Mode) e AD LDS diretórios. A sincronização de esquema pode ser executada para sincronizar esquemas entre o seguinte:

• O Active Directory e o Active Directory
• O ADAM e o ADAM
• AD LDS e AD LDS
• O Active Directory e o ADAM
• O Active Directory e AD LDS
• AD LDS e o ADAM

Esse processo também pode ser usado para comparar esquemas apostam-ween várias combinações de diretórios LDS do Active Directory, o ADAM e AD. A comparação de esquema pode ser executada para comparar a esquemas entre o seguinte:

• O Active Directory e o Active Directory
• O ADAM e o ADAM
• AD LDS e AD LDS
• O Active Directory e o ADAM
• O Active Directory e AD LDS
• AD LDS e o ADAM
• O Active Directory e um arquivo LDIF
• O ADAM e de um arquivo LDIF
• AD LDS e de um arquivo LDIF

As organizações podem implantar mais florestas de Active Directory de produção para uma variedade de negócios ou motivos técnicos. Em geral, adicionais florestas do Active Directory são implantadas bem após a floresta de produção ter sido implantada. Em alguns casos, isso ocorre anos mais tarde.

O Active Directory foi lançado quase uma década atrás. Com o passar dos anos, organizações, indubitavelmente, fez várias modificações do esquema para sua floresta de produção. Identificar essas modificações de esquema para a floresta é uma tarefa desafiadora. É ainda mais difícil garantir que as modificações de esquema feitas anteriormente a floresta de produção são feitas em novas florestas de testes de maneira consistente.

Neste artigo, eu concentrar em um cenário no qual você estiver implantando uma novo aceitação do usuário teste floresta de (UAT) Active Directory que será usada pelos usuários finais para testar aplicativos que utilizam o Active Directory para autenticação e autorização. Cinco atributos personalizados existem no esquema do Active Directory de produção, e você precisará garantir que o esquema de floresta de produção de origem é consistente com o novo destino UAT floresta.

Há um número de cenários, no entanto, no qual você pode usar o processo discutidos neste artigo para simplificar o gerenciamento de vários esquemas. Para saber mais sobre isso, consulte a barra lateral "a flexibilidade de sincronização de esquema e de comparação."

Exportar o esquema da floresta de origem

A primeira etapa é exportar o esquema de floresta de origem. Isso é necessário para que você pode comparar posteriormente o esquema da floresta de origem com esquema da floresta de destino para decidir quais atributos e classes para sincronizar.

A ferramenta de linha de comando LDIFDE, fornecido com o Windows Server 2003 e Windows Server 2008, pode ser usada para exportar o esquema de floresta de origem. Essa ferramenta cria um arquivo que está formatado com LDIF (LDAP Data Interchange Format). Nenhuma permissão especial é necessários para exportar o esquema de floresta de origem, e qualquer usuário do domínio pode executar essa tarefa.

Para exportar o esquema de floresta de origem, faça o seguinte:

1. Fazer logon em um servidor membro ou um controlador de domínio.
2. Abra uma janela de prompt de comando.
3. Digite o seguinte na janela de prompt de comando:

ldifde -f PRODSchema.ldif -d CN=Schema,CN=Configuration,DC=WS08DOMAIN01,DC=local

1. Pressione digite.

A Figura 1 mostra a saída que será exibida desse comando.

Figura 1 exportando o esquema da floresta de origem

Nesse comando, o parâmetro de PRODSchema.ldif -f informa LDIFDE para gravar a saída em um arquivo chamado PRODSchema.ldif. O -d CN = Schema, CN = Configuration, DC = WS03DOMAIN01, DC = local parâmetro informa o LDIFDE para usar a partição de esquema como a raiz da pesquisa LDAP. O controlador de domínio = WS08DOMAIN01, DC = parte local do comando deve ser substituído pelo nome distinto do domínio raiz da floresta na sua floresta de origem.

A Figura 2 janela do esquema de destino de carga

Comparar os esquemas XML Active Directory

Agora que você tiver exportado o esquema da floresta de origem, você estará pronto para comparar este esquema com isso na floresta de destino. Esta etapa permite você a identificar os atributos e classes que existem no floresta de origem, mas não existem na floresta de destino.

O Windows Server 2008 inclui a ferramenta Analisador de esquema do AD DS/LDS quando a função de servidor de serviços do Active Directory Lightweight é instalada. Ele pode ser usado para comparar os esquemas de várias maneiras diferentes. Observe que essa ferramenta era anteriormente chamada o analisador de esquema do AD no Windows Server 2003. Neste artigo, eu referir a ele como o analisador de esquema do AD DS/LDS como meus exemplos estiver usando o Windows Server 2008. As etapas a comparação e a exportação, no entanto, podem também ser executadas usando a versão do Windows Server 2003 dessa ferramenta.

Para comparar os esquemas do Active Directory das florestas origem e de destino, faça o seguinte:

1. Fazer logon no servidor membro ou um controlador de domínio tem AD LDS instalado e pertence a um domínio na floresta de destino.
2. Localize o arquivo PRODSchema.ldif que foi criado na seção anterior e copie-ao fazer logon no servidor.
3. Vá para Iniciar, clique em Executar e digite o seguinte: C:\WINDOWS\ADAM\ADSchemaAnalyzer.exe
4. ENTER visita e a análise de esquema do AD DS/LDS serão aberto.
5. No menu arquivo da janela do analisador de esquema do AD DS/LDS, clique em esquema de destino de carga.
6. Na janela de esquema de destino de carga, mostrado na A Figura 2 , clique no botão carregar LDIF.
7. Navegue até o local do arquivo LDIF e clique em Abrir.
8. O arquivo LDIF será importado para o analisador de esquema do AD DS/LDS.
9. No menu Arquivo, clique em esquema base da carga.
10. Na janela do esquema base carga, insira um controlador de domínio para se conectar no servidor [: porta] campo, um nome de usuário, uma senha e um domínio, como mostrado na A Figura 3 .
11. Clique em OK.
12. Para filtrar para os elementos não-presente, selecione Ocultar presentes elementos do menu de esquema. Os elementos ausentes serão listados sob o nó de atributos, como mostrado na Figura 5 .
13. Expanda o nó de atributos e os elementos presentes e não-presente (atributos e classes) serão listados, por padrão. Os atributos que são consistentes entre florestas exibido com uma marca de seleção na caixa ao lado o nome do elemento, conforme mostrado na Figura 4 . Os elementos que existem na floresta de origem, mas estão faltando na floresta de destino aparecem com uma caixa vazia.

A Figura 3 carga esquema base janela

A Figura 4 atributos presentes e ausentes

A Figura 5 exibindo apenas os elementos ausentes

A Figura 6 marcar elementos de não-presente que você deseja incluir

Lidando com SIDs em relação de domínio nos objectos de classe de esquema

Se o esquema na floresta de origem foi preparado para domínio somente leitura continuação-rolos (RODCs), executando o comando /rodcprep adprep, talvez seja necessário executar uma tarefa adicional depois de concluir a importação do esquema para a floresta de destino. Quando o comando de /rodcprep adprep é executado, as classes de esquema três seguintes podem ter um SID de domínio relativo no seu descritor de segurança padrão:

• DNS de domínio
• DMD
• Domínio de SAM

O descritor de segurança padrão para estas classes de esquema três inclui o grupo de segurança controladores de domínio da empresa somente leitura, que pode conter o SID de domínio relativo. O SID para este grupo de segurança é na forma de < domínio SID >-498. Por exemplo, se o SID do domínio for S-1-5-21-886666173-4210462831-1041481479, o SID para o grupo de segurança controladores de domínio somente leitura da empresa será ser S-1-5-21-886666173-4210462831-1041481479-498. Como você poderia esperar, um SID de domínio relativo da floresta de origem não poderá ser útil em um descritor de segurança na floresta de destino.

O nível funcional (FFL) da floresta de suas origem e destino florestas depender as etapas necessárias para resolver esse problema:

• Se a floresta de destino possui um FFL do Windows Server 2008 ou posteriormente, você poderá substituir o SID problemático com "Ro".
• Se a floresta de origem tem uma FFL do Windows Server 2008 e a floresta de destino tem um FFL anteriores ao Windows Server 2008 (por exemplo, o Windows Server 2003), você precisará substituir "Ro" no SDDL o SID do grupo de segurança de controladores de domínio de somente leitura de empresa de floresta de destino.

Somente controladores de domínio do Windows Server 2008 entender o significado de "Ro"; controladores de domínio Windows Server 2003 e Windows 2000 Server não. Portanto, se todos os domínio contro-llers na floresta de destino tem o Windows Server 2008 instalado e você não planeja apresentar quaisquer controladores de domínio com Windows Server 2003 ou Windows 2000 Server instalado no futuro, você deve visam para usar "Ro" no descritor de segurança padrão de um objeto de esquema. Se a floresta de destino inclui controladores de domínio que têm o Windows Server 2003 ou Windows 2000 Server instalado, ou esses controladores de domínio podem ser incluídos no futuro, você deve usar o SID do grupo de segurança controladores de domínio da empresa somente leitura, que incluirá o SID de domínio relativo.

Criar um arquivo LDIF com os elementos ausentes

Agora você já concluída uma comparação dos esquemas do Active Directory e identificou os elementos (classes e atributos) que existem na floresta de origem mas não existem na floresta de destino. Agora você precisa criar outro arquivo LDIF que conterá esses elementos ausentes. Esse novo arquivo LDIF será usado para importar os elementos ausentes para o esquema de destino.

Você pode usar o Analisador de esquema do AD DS/LDS para criar um LDIF que contém os elementos ausentes, fazendo o seguinte:

1. Para incluir todos os elementos de ausentes no arquivo LDIF, no menu esquema na janela do analisador de esquema do AD DS/LDS, clique em Marcar Todos os não-presente elementos como incluído e, em seguida, clique em OK na confirmação. Para controlar quais elementos ausentes são incluídos no arquivo LDIF, clique na caixa ao lado de cada elemento que deseja incluir. A mais (+) sinal será adicionado ao lado do elemento, como mostrado na Figura 6 .
2. No menu Arquivo no analisador de esquema do AD DS/LDS, clique em arquivo LDIF criar.
3. Na janela do arquivo LDIF selecionar, insira um local e nome de arquivo para o arquivo LDIF e clique em Salvar.

Importar o esquema para a floresta de destino

A etapa final neste processo é importar o esquema do Active Directory para a floresta de destino. A ferramenta LDIFDE pode ser usada para importar os elementos ausentes de floresta de origem para a floresta de destino. Como mencionado anteriormente, os elementos ausentes são contidos no arquivo LDIF apenas criado pelo analisador de esquema do AD DS/LDS.

Para importar o esquema do Active Directory para a floresta de destino, use uma conta que seja membro dos grupos Administradores de empresa e Administradores de esquemas para executar as seguintes tarefas:

1. Faça logon no controlador de domínio que contém o esquema de função de mestre de operações de mestre.
2. Abra uma janela de prompt de comando.
3. Na janela prompt de comando, digite o seguinte:

ldifde -i -f MissingElements.ldf -c dc=X 
DC=WS08DOMAIN02,DC=net

2. Digite a ocorrência.

Nesse comando, a opção -i parâmetro informa o LDIFDE para executar uma importação. O parâmetro de MissingElements.ldf -f informa o LDIFDE para importar de um arquivo chamado MissingElements.ldf. O - c dc = X DC = WS08DOMAIN02, controlador de domínio = net parâmetro informa o LDIFDE para substituir todas as ocorrências de dc = com controladores de domínio = WS08DOMAIN02, DC = net. O controlador de domínio = WS08DOMAIN02, DC = net parte do comando deve ser substituído pelo nome distinto do domínio raiz da floresta em sua floresta de destino.

Quebra automática para cima

Neste ponto, o esquema na floresta de destino foi estendido para incluir os elementos ausentes.

Gerenciamento de esquema Directory ativo é uma tarefa complexa. E se tornar ainda mais complexo quando várias florestas do Active Directory são implantadas em seu ambiente. No entanto, usando o processo explicado neste artigo, você pode simplificar o gerenciamento de vários esquemas do Active Directory e garantir que você tenha um esquema consistente em todas as florestas.

John Policelli (MVP da Microsoft para Directory Services, MCTS MCSA com certificação, ITSM, iNet +, Network + e A +) é consultor de TI da concentra-se de soluções com uma década de experiência em arquitetura, segurança, planejamento estratégico e planejamento de recuperação de desastres. John passou passado anos 9 voltada para gerenciamento de identidades e acesso e fornecer planejado liderança para alguns das instalações maiores do Active Directory no Canadá. Você pode contatá-lo pelo seu blog em policelli.com/blog.