• Artículo

Active Directory

Exportar, comparar y sincronizar esquemas de Active Directory

John Policelli

En resumen:

  • Utilizar LDIFDE para exportar el esquema desde el bosque de origen
  • Comparación de los esquemas con el Analizador de esquema de DS/LDS de Active Directory
  • Importar el esquema en el bosque de destino

Contenido

Exportar el esquema desde el bosque de origen
Comparar los esquemas de Active Directory
Crear un archivo LDIF con los elementos que faltan
Importar el esquema en el bosque de destino
Ajustar hacia arriba

Cada bosque de Active Directory tiene su propio esquema, que define los objetos y atributos que utiliza el servicio de directorio para almacenar datos.Cuando las organizaciones tienen varios bosques de Active Directory, los administradores de TI tienen que administrar varios esquemas de Active Directory; garantizar la coherencia entre los esquemas es fundamental cuando se administra varios bosques.En este artículo, le guiará un proceso sencillo para administrar varios esquemas de Active Directory.

La flexibilidad de sincronización de esquemas y comparación

Una de las mayores ventajas del proceso que ha detallado en este artículo es que no resulta exclusiva de administración de esquema de Active Directory.Este proceso también se puede utilizar para sincronizar esquemas entre varias combinaciones de directorios de AD LDS, Active Directory y ADAM (Active Directory Application Mode).La sincronización de esquema puede realizarse para sincronizar esquemas entre las siguientes:

  • Active Directory y Active Directory
  • ADAM y ADAM
  • AD LDS y AD LDS
  • Active Directory y ADAM
  • Active Directory y AD LDS
  • AD LDS y ADAM

Este proceso también puede utilizarse para comparar distintas combinaciones de Active Directory, ADAM y Active Directory directorios LDS de ween apuesta de esquemas.Puede realizar la comparación de esquema para comparar los esquemas entre las siguientes:

  • Active Directory y Active Directory
  • ADAM y ADAM
  • AD LDS y AD LDS
  • Active Directory y ADAM
  • Active Directory y AD LDS
  • AD LDS y ADAM
  • Active Directory y un archivo LDIF
  • ADAM y un archivo LDIF
  • AD LDS y un archivo LDIF

Las organizaciones pueden implementar varios bosques de Active Directory de producción para una variedad de negocio o razones técnicas.A menudo, se implementan otros bosques de Active Directory también después de que el bosque de producción se ha implementado.En algunos casos, esto ocurre años más tarde.

Active Directory se lanzó casi una década hace.En los años, las organizaciones indudablemente han realizado numerosas modificaciones de esquema en su bosque de producción.Identificar estas modificaciones de esquema en el bosque es una tarea difícil.Es más difícil garantizar que las modificaciones de esquema que se realizaron previamente en el bosque de producción se realizan en bosques de pruebas nuevos de una manera coherente.

En este artículo, me centro en un escenario en el que va a implementar un nuevo pruebas bosque de Active Directory de (prueba de aceptación del usuario) que se utilizará los usuarios finales para probar aplicaciones que aprovechan Active Directory para la autenticación y autorización de aceptación de usuario.Cinco atributos personalizados existen en el esquema de Active Directory de producción, y debe asegurarse de que el esquema del bosque de producción de origen es coherente con el nuevo bosque de prueba de aceptación de usuario de destino.

Hay una serie de escenarios, sin embargo, en el que se puede utilizar el proceso describe en este artículo para simplificar la administración de varios esquemas.Para obtener más sobre esto, consulte la barra lateral la flexibilidad de sincronización de esquemas y comparación.

Exportar el esquema desde el bosque de origen

El primer paso es exportar el esquema desde el bosque de origen.Esto es necesario para que pueda posteriormente comparar esquema del bosque de origen con el esquema del bosque de destino para decidir qué atributos y clases para sincronizar.

La herramienta de línea de comandos LDIFDE, que se incluye con Windows Server 2003 y Windows Server 2008, se puede utilizar para exportar el esquema desde el bosque de origen.Esta herramienta crea un archivo que tiene el formato con el LDAP datos de intercambio de formato (LDIF).No permisos especiales necesarios para exportar el esquema desde el bosque de origen y cualquier usuario del dominio puede realizar esta tarea.

Para exportar el esquema desde el bosque de origen, haga lo siguiente:

  1. Inicie sesión en un servidor miembro o un controlador de dominio.
  2. Abra una ventana de interfaz de comandos.
  3. Escriba lo siguiente en la ventana de símbolo del sistema:
ldifde -f PRODSchema.ldif -d CN=Schema,CN=Configuration,DC=WS08DOMAIN01,DC=local
  1. Presione ENTRAR.

La figura 1 muestra el resultado que verá de este comando.

fig01.gif

Figura 1 exportar el esquema desde el bosque de origen

En este comando, el parámetro de PRODSchema.ldif -f indica a LDIFDE para escribir el resultado en un archivo denominado PRODSchema.ldif. La -d CN = Schema, CN = Configuration, DC = WS03DOMAIN01, DC = local parámetro indica LDIFDE para utilizar la partición de esquema como la raíz de la búsqueda LDAP. El controlador de dominio = WS08DOMAIN01, DC = parte local del comando debe reemplazarse por el nombre completo del dominio raíz de bosque en el bosque de origen.

fig02.gif

La Figura 2 Ventana de esquema de destino de carga

Comparar los esquemas de Active Directory

Ahora que haya exportado el esquema del bosque de origen, está listo para comparar este esquema con el en el bosque de destino. Este paso permite identificar los atributos y clases que existen en el bosque de origen pero que no existen en el bosque de destino.

Windows Server 2008 incluye la herramienta Analizador de esquema de AD DS o LDS cuando se instala la función de servidor de servicios de directorio ligero de Active Directory. Se pueden pueden utilizar para comparar los esquemas en un número de formas diferentes. Tenga en cuenta que esta herramienta fue llamada previamente el Analizador de esquema de Active Directory en Windows Server 2003. Hacer en este artículo, referencia a él como el Analizador de esquema de AD DS o LDS puesto que mis ejemplos utilizan Windows Server 2008. Los pasos de la comparación y de exportación, sin embargo, pueden realizarse con la versión de Windows Server 2003 de esta herramienta.

Para comparar los esquemas de Active Directory de los bosques de origen y destino, haga lo siguiente:

  1. Inicie sesión en un servidor miembro o un controlador de dominio que tiene AD LDS instalado y pertenece a un dominio en el bosque de destino.
  2. Busque el archivo PRODSchema.ldif que se creó en la sección anterior y cópielo en el servidor que inicie la sesión en.
  3. Ir al inicio, haga clic en Ejecutar y escriba lo siguiente: C:\WINDOWS\ADAM\ADSchemaAnalyzer.exe
  4. Se abrirán Enter detección y el analizador de esquema de Active Directory LDS/DS.
  5. En el menú archivo de la ventana de analizador de esquema de AD DS o LDS, haga clic en esquema de destino de carga.
  6. En la ventana de esquema de destino de carga, aparece en La figura 2 , haga clic en el botón LDIF de carga.
  7. Busque la ubicación del archivo LDIF y haga clic en Abrir.
  8. Se importará el archivo LDIF en el Analizador de esquema de AD DS o LDS.
  9. En el menú Archivo, haga clic en esquema de base de carga.
  10. En la ventana de esquema de base de carga, escriba un controlador de dominio al que conectarse en el servidor de [: puerto] de campo, un nombre de usuario, una contraseña y un dominio, tal como se muestra en La figura 3 .
  11. Haga clic en Aceptar.
  12. Para filtrar los elementos no presente, seleccione ocultar elementos presentes en el menú de esquema. Se mostrarán los elementos que faltan en el nodo atributos, como se muestra en la figura 5 .
  13. Expanda el nodo atributos y los elementos presentes y no presente (los atributos y clases) se mostrarán, de forma predeterminada. Los atributos que son coherentes entre bosques aparecerá con una marca de verificación en el cuadro junto al nombre de elemento, como se muestra en la figura 4 . Los elementos que existen en el bosque de origen, pero se que faltan en el bosque de destino aparecen con un cuadro vacío.

fig03.gif

La figura 3 Ventana de esquema de base de carga

fig04.gif

La figura 4 atributos actual y que faltan

fig05.gif

La figura 5 ver sólo los elementos que faltan

fig06.gif

Figura 6 elementos de no presente de Marque esta opción que desee incluir

Trabaja con los SID de dominio de relación en objetos de clase de esquema

Si el esquema en el bosque de origen se ha preparado para cont. de dominio de sólo lectura de los rodillos del (RODCs), si ejecuta el comando /rodcprep adprep, tendrá que realizar una tarea adicional una vez finalizada la importación del esquema en el bosque de destino. Cuando se ejecuta el comando de /rodcprep adprep, las clases de esquema tres siguientes pueden tener un SID de dominio relativo en el descriptor de seguridad predeterminado:

  • Dominio-DNS
  • DMD
  • SAM de dominio

El descriptor de seguridad predeterminado para estas clases de esquema de tres incluye el grupo de seguridad de controladores de dominio de sólo lectura empresariales, que puede contener el SID de dominio relativo. El SID de este grupo de seguridad está en la forma de < SID de dominio >-498. Por ejemplo, si el SID del dominio es S-1-5-21-886666173-4210462831-1041481479, el SID para el grupo de seguridad de controladores de dominio de sólo lectura de empresariales será S-1-5-21-886666173-4210462831-1041481479-498. Tal como se esperaría un SID relativa al dominio del bosque de origen no será útil en un descriptor de seguridad en el bosque de destino.

Los pasos necesarios para solucionar este problema varían según el nivel funcional de bosque (FFL) de los bosques de origen y de destino:

  • Si el bosque de destino tiene una FFL de Windows Server 2008 o posterior, puede reemplazar el SID incorrecto con "ro".
  • Si el bosque de origen tiene una FFL de Windows Server 2008 y el bosque de destino tiene una FFL anteriores a Windows Server 2008 (por ejemplo, Windows Server 2003), tiene que reemplazar "ro" en el SDDL con el SID del grupo de seguridad controladores de dominio de sólo lectura empresariales el bosque de destino.

Sólo controladores de dominio de Windows Server 2008 comprendan el significado de "ro"; no controladores de dominio de Windows Server 2003 y Windows 2000 Server. Por lo tanto, si todos los dominios control-llers en el bosque de destino tiene instalado Windows Server 2008, y no va a introducir los controladores de dominio que tengan Windows Server 2003 o Windows 2000 Server instalado en el futuro, debe objetivo utilizar "ro" en el descriptor de seguridad predeterminado de un objeto de esquema. Si el bosque de destino incluye controladores de dominio que tengan Windows Server 2003 o Windows 2000 Server instalado, o estos controladores de dominio pueden introducirse en el futuro, deberá utilizar el SID del grupo de seguridad de controladores de dominio de sólo lectura empresariales, que incluirá el SID de dominio relativo.

Crear un archivo LDIF con los elementos que faltan

Ahora ha completado una comparación de los esquemas de Active Directory y identifica los elementos (clases y atributos) que existen en el bosque de origen pero no existen en el bosque de destino. Ahora, tendrá que crear otro archivo LDIF que contendrá estos elementos que faltan. Este nuevo archivo LDIF se utilizará para importar los elementos que faltan en el esquema de destino.

Puede utilizar el Analizador de esquema de AD DS o LDS para crear un LDIF que contiene los elementos que faltan, haciendo lo siguiente:

  1. Para incluir todos los elementos que faltan en el archivo LDIF, en el menú esquema de la ventana del Analizador de esquema de AD DS o LDS, haga clic en Marcar todos los presente elementos no como incluyen y, a continuación, haga clic en ACEPTAR en la confirmación. Para controlar los elementos que faltan se incluyen en el archivo LDIF, haga clic en el cuadro junto a cada elemento que desee incluir. A más (+) inicio de sesión se agregarán junto al elemento, tal como se muestra en la figura 6 .
  2. En el menú archivo en el Analizador esquema de AD DS o LDS, haga clic en archivo crear LDIF.
  3. En la ventana de archivo LDIF seleccionar, escriba una ubicación y el nombre de archivo del archivo LDIF y haga clic en Guardar.

Importar el esquema en el bosque de destino

El paso final de este proceso consiste en importar el esquema de Active Directory en el bosque de destino. Puede utilizarse la herramienta LDIFDE para importar los elementos que faltan desde el bosque de origen en el bosque de destino. Como se ha mencionado anteriormente, los elementos que faltan están incluidos en el archivo LDIF que sólo se creó con el Analizador de esquema de Active Directory LDS/DS.

Para importar el esquema de Active Directory en el bosque de destino, utilizar una cuenta que es un miembro de los grupos Administradores de organización y Administradores de esquema para realizar las tareas siguientes:

  1. Inicie sesión en el controlador de dominio que desempeñe el función de maestro de operaciones maestro de esquema.
  2. Abra una ventana de interfaz de comandos.
  3. En la ventana de símbolo del sistema, escriba lo siguiente:
ldifde -i -f MissingElements.ldf -c dc=X 
DC=WS08DOMAIN02,DC=net
  2. Especifique la detección.

En este comando, la i - parámetro indica LDIFDE para realizar una importación. El parámetro de MissingElements.ldf -f indica LDIFDE para importar desde un archivo denominado MissingElements.ldf. El dc - c = X DC = WS08DOMAIN02, controlador de dominio = net parámetro indica LDIFDE para reemplazar todas las instancias de dc = X con el controlador de dominio = WS08DOMAIN02, DC = net. El controlador de dominio = WS08DOMAIN02, DC = net parte del comando debe reemplazarse por el nombre completo del dominio raíz de bosque en el bosque de destino.

Ajustar hacia arriba

En este momento, se ha ampliado el esquema en el bosque de destino para incluir los elementos que faltan.

Administración de esquema de Active Directory es una tarea compleja. Y es incluso más compleja cuando se implementan varios bosques de Active Directory en su entorno. Sin embargo, mediante el proceso se explica en este artículo, puede simplificar la administración de varios esquemas de Active Directory y asegúrese de que tiene un esquema coherente en todos los bosques.

John Policelli (Microsoft MVP para servicios de directorio MCTS, MCSA, ITSM, iNet +, Network + y A +) es consultor de TI de las soluciones de centrado con a través de una década de experiencia en arquitectura, seguridad, plan estratégico y planes de recuperación de desastres. Juan ha empleado en los últimos nueve años centrado en administración de identidades y acceso y proporcionar considerar liderazgo para algunas de las instalaciones más grandes de Active Directory en Canadá. Se puede llegar a él a través de su blog en policelli.com/blog.