• Articolo

Active Directory

Esportare, confrontare e sincronizzare gli schemi di Active Directory

John Policelli

In un riepilogo delle:

  • Utilizzo di LDIFDE per esportare lo schema dall'insieme di strutture di origine
  • Confronto tra gli schemi con l'analizzatore di schema DS/Directory Lightweight Directory Services directory Active
  • Importare lo schema di foresta di destinazione

Contenuto

Esportazione dello schema da insieme di strutture di origine
Confrontare gli schemi di directory Active
Creare un file LDIF con gli elementi mancanti
Importare lo schema in insieme di strutture di destinazione
Disposizione dei

Ciascun insieme di strutture di Active Directory dispone di un proprio schema, che definisce gli oggetti e gli attributi che il servizio directory utilizza per memorizzare i dati.Quando le organizzazioni dispone di più insiemi di strutture di Active Directory, è necessario gestire più schemi di Active Directory gli amministratori IT, garantire coerenza tra gli schemi è essenziale quando si gestiscono più insiemi di strutture.In questo articolo, verrà esamina è un semplice processo per gestire più schemi di Active Directory.

La flessibilità di sincronizzazione dello schema e di confronto

Uno dei vantaggi principali del processo che È stato in dettaglio in questo articolo è che non è esclusivo per la gestione dello schema di Active Directory.Questo processo è possibile utilizzare per sincronizzare gli schemi tra diverse combinazioni di Active Directory, ADAM (Active Directory Application Mode) e le directory di Active Directory Lightweight Directory Services.La sincronizzazione dello schema può essere eseguita per sincronizzare gli schemi tra le operazioni seguenti:

  • Active Directory e Active Directory
  • ADAM e ADAM
  • Active Directory Lightweight Directory Services e Active Directory Lightweight Directory Services
  • Active Directory e ADAM
  • Active Directory e Active Directory Lightweight Directory Services
  • Active Directory Lightweight Directory Services e ADAM

Questo processo è possibile utilizzare per confrontare bet-ween schemi varie combinazioni di Active Directory, ADAM e Active Directory Directory Lightweight Directory Services.Il confronto di schema è possibile eseguire per confrontare gli schemi tra le operazioni seguenti:

  • Active Directory e Active Directory
  • ADAM e ADAM
  • Active Directory Lightweight Directory Services e Active Directory Lightweight Directory Services
  • Active Directory e ADAM
  • Active Directory e Active Directory Lightweight Directory Services
  • Active Directory Lightweight Directory Services e ADAM
  • Active Directory e un file LDIF
  • ADAM e un file LDIF
  • Active Directory Lightweight Directory Services e un file LDIF

Le organizzazioni possono distribuire più foreste di Active Directory di produzione per un'ampia gamma di business o problemi tecnici.Spesso, ulteriori insiemi di strutture di Active Directory vengono distribuiti anche dopo la distribuzione l'insieme di strutture di produzione.In alcuni casi, ciò si verifica in seguito anni.

Active Directory è stato rilasciato quasi un dieci anni fa.Nel corso degli anni, le organizzazioni sono indubbiamente apportate numerose modifiche allo schema loro insieme di strutture di produzione.Identificazione delle modifiche dello schema all'insieme di strutture è un'attività complesse.È difficile ulteriormente garantire che vengano apportate le modifiche di schema in precedenza sono state apportate all'insieme di strutture di produzione in nuovi insiemi di strutture test in modo coerente.

In questo articolo, è possibile concentrarsi su uno scenario in cui si sta distribuendo un'accettazione utente nuovo test insieme di strutture di (test di accettazione utente) Active Directory che verrà utilizzato dagli utenti finali per testare le applicazioni che utilizza Active Directory per l'autenticazione e autorizzazione.Gli attributi personalizzati cinque esiste nello schema di Active Directory di produzione e si desidera verificare che lo schema dall'insieme di strutture di produzione di origine sia coerente con la nuova destinazione dell'insieme di strutture di test di accettazione utente.

Esistono diversi scenari, tuttavia, in cui è possibile utilizzare il processo È illustrato in questo articolo per semplificare la gestione di più schemi.Per ulteriori informazioni su questo argomento, vedere la barra laterale "la flessibilità di sincronizzazione dello schema e confronto".

Esportazione dello schema da insieme di strutture di origine

Il primo passaggio consiste nell'esportare lo schema dall'insieme di strutture di origine.Questa operazione è necessaria in modo che è possibile confrontare successivamente lo schema dell'insieme di strutture di origine con schema della foresta di destinazione per decidere quali attributi e classi per la sincronizzazione.

Lo strumento della riga di comando LDIFDE, che viene fornito con Windows Server 2003 e Windows Server 2008, consente di esportare lo schema dall'insieme di strutture di origine.Questo strumento viene creato un file è formattato con il LDAP dati LDIF (Interchange Format).Autorizzazioni speciali non sono necessarie per esportare lo schema di insieme di strutture di origine e qualsiasi utente di dominio può eseguire questa operazione.

Per esportare lo schema dall'insieme di strutture di origine, eseguire le operazioni seguenti:

  1. Accedere a un server membro o un controller di dominio.
  2. Aprire una finestra del prompt dei comandi.
  3. Nella finestra del prompt dei comandi, digitare quanto segue:
ldifde -f PRODSchema.ldif -d CN=Schema,CN=Configuration,DC=WS08DOMAIN01,DC=local
  1. Premere INVIO.

Nella figura 1 mostra l'output che verrà visualizzato da questo comando.

fig01.gif

Figura 1 l'esportazione dello schema da un insieme di strutture di origine

In questo comando, il parametro PRODSchema.ldif -f indica LDIFDE per scrivere l'output in un file denominato PRODSchema.ldif. Il -d CN = Schema, CN = Configuration, DC = WS03DOMAIN01, DC = parametro locale indica LDIFDE utilizzare la partizione dello schema come radice della ricerca LDAP. Il controller di dominio = WS08DOMAIN01, DC = parte locale del comando deve essere sostituiti con il nome distinto del dominio principale dell'insieme di strutture nell'insieme di strutture di origine.

fig02.gif

Nella figura 2 finestra dello schema di destinazione carico

Confrontare gli schemi di directory Active

Ora che aver esportato lo schema dall'insieme di strutture di origine, si è pronti per confrontare questo schema con nella foresta di destinazione. Consente di identificare tutti gli attributi e le classi che esistono nell'insieme di strutture di origine ma non esistono nella foresta di destinazione.

Windows Server 2008 include lo strumento Analizzatore schema di Active Directory/Directory Lightweight Directory Services quando viene installato il ruolo di server Active Directory Lightweight Directory Services. È possibile utilizzarlo per confrontare gli schemi in diversi modi. Notare che questo strumento era denominato in precedenza l'Analizzatore schema di Active Directory in Windows Server 2003. Fare in questo articolo riferimento alla come l'Analizzatore schema di Active Directory/Directory Lightweight Directory Services poiché gli esempi utilizzano Windows Server 2008. I passaggi del confronto e l'esportazione, tuttavia, possono essere eseguiti anche utilizzando la versione di Windows Server 2003 di questo strumento.

Per confrontare gli schemi di Active Directory origine e destinazione gli insiemi di strutture, eseguire le operazioni seguenti:

  1. Accedere a un server membro o un controller di dominio che ha LIGHTWEIGHT installato e appartiene a un dominio nell'insieme di strutture di destinazione.
  2. Individuare il file PRODSchema.ldif che è stato creato nella sezione precedente e copiarlo al server di che accesso a.
  3. Passare all'inizio, fare clic su Esegui e digitare quanto segue: C:\WINDOWS\ADAM\ADSchemaAnalyzer.exe
  4. Passaggio di invio e l'Analizzatore schema di Active Directory DS/Directory Lightweight Directory Services verrà aperto.
  5. Scegliere Carica schema della destinazione dal menu file della finestra Analyzer dello schema di Active Directory/Directory Lightweight Directory Services.
  6. Nella finestra Carico destinazione dello schema, illustrato nella Nella figura 2 , fare clic sul pulsante carico LDIF.
  7. Selezionare il percorso del file LDIF e scegliere Apri.
  8. Il file LDIF verrà importato nell'analizzatore schema di Active Directory/Directory Lightweight Directory Services.
  9. Scegliere dal menu file, caricamento schema di base.
  10. Nella finestra di schema di base di carico, immettere un controller di dominio a cui connettersi nel server [: porta] campi di campo, un nome utente, una password e un dominio, in quanto illustrato nella Nella figura 3 .
  11. Fare clic su OK.
  12. Per filtrare gli elementi non presente, scegliere Nascondi elementi presenti dal menu dello schema. Elementi mancanti verranno elencati espandere il nodo di attributi, come illustrato nella Figura 5 .
  13. Espandere il nodo di attributi e gli elementi presenti e non presente (attributi e classi) verranno elencati, per impostazione predefinita. Gli attributi che sono coerenti tra insiemi di strutture vengono visualizzati con un segno di spunta nella casella accanto il nome dell'elemento, come mostrato nella Figura 4 . Gli elementi che esistono nell'insieme di strutture di origine, ma mancano dall'insieme di strutture di destinazione vengono visualizzati con una casella vuota.

fig03.gif

Nella figura 3 finestra schema di base di carico

fig04.gif

Nella figura 4 attributi presente e mancanti

fig05.gif

Nella figura 5 visualizzazione solo gli elementi mancanti

fig06.gif

Nella figura 6 elementi non presenti segno che si desidera includere

Si utilizzano i SID di dominio rispetto di oggetti di classe dello schema

Se lo schema nell'insieme di strutture di origine è stato preparato per dominio di sola lettura CONT-rotelle RODC, eseguendo il comando adprep /rodcprep, sarà necessario eseguire un'attività aggiuntiva dopo aver completato l'importazione dello schema nella foresta di destinazione. Quando si esegue il comando /rodcprep adprep, le seguenti classi tre dello schema possono essere un SID di dominio relativo nel descrittore di protezione predefinito:

  • Dominio-DNS
  • DMD
  • Dominio SAM

Il descrittore di protezione predefinito per queste classi di tre schema include il gruppo di protezione controller di dominio di sola lettura organizzazione, che può contenere il SID relativo dominio. Il SID per questo gruppo di protezione è in formato di < SID dominio >-498. Ad esempio, se il SID del dominio è S-1-5-21-886666173-4210462831-1041481479, il SID per il gruppo di protezione controller di dominio di sola lettura organizzazione sarà S-1-5-21-886666173-4210462831-1041481479-498. Come si potrebbe immaginare, un SID di dominio relativo dall'insieme di strutture di origine non sarà utilizzabile in un descrittore di protezione nella foresta di destinazione.

I passaggi necessari per risolvere il problema variano a seconda il livello funzionalità insieme di strutture (FFL) di insiemi di strutture l'origine e di destinazione:

  • Se l'insieme di strutture di destinazione è un FFL di Windows Server 2008 o versioni successive, è possibile sostituire il SID all'origine dell'errore con "ro".
  • Se l'insieme di strutture di origine è un FFL di Windows Server 2008 e l'insieme di strutture di destinazione ha un FFL precedenti a Windows Server 2008 (ad esempio, Windows Server 2003), è necessario sostituire il RO NELL'SDDL con il SID del gruppo di protezione controller di dominio di sola lettura organizzazione della foresta di destinazione.

Solo i controller di dominio Windows Server 2008 comprendere il significato di "ro", controller di dominio di Windows Server 2003 e Windows 2000 Server. Di conseguenza, se tutti i dominio contro-llers nella foresta di destinazione hanno installato Windows Server 2008 e non intende presentare alcun controller di dominio con Windows Server 2003 o Windows 2000 Server installato in futuro, deve puntare utilizzare "ro" nel descrittore di protezione predefinito di un oggetto dello schema. Se l'insieme di strutture di destinazione contiene controller di dominio che dispongono di Windows Server 2003 o Windows 2000 Server installato o tale controller di dominio possono essere introdotti in futuro, è necessario utilizzare il SID del gruppo di protezione controller di dominio di sola lettura organizzazione, contenenti il SID relativo dominio.

Creare un file LDIF con gli elementi mancanti

Ora avere completato un confronto tra gli schemi di Active Directory e identificato gli elementi (classi e attributi che esistono nell'insieme di strutture di origine ma non esistono nella foresta di destinazione. È ora necessario creare un altro file LDIF che conterrà questi elementi mancanti. Il nuovo file LDIF utilizzerà per importare lo schema di destinazione elementi mancanti.

È possibile utilizzare l'Analizzatore di schema di Active Directory/Directory Lightweight Directory Services per creare un LDIF contenente gli elementi mancanti, eseguendo le operazioni seguenti:

  1. Per includere tutti gli elementi mancanti nel file LDIF, il menu dello schema della finestra Analyzer di schema di Active Directory/Directory Lightweight Directory Services, fare clic su Segna tutti non presente elementi esempio incluso e quindi scegliere OK nella conferma. Per controllare quali elementi mancanti sono incluso nel file LDIF, selezionare la casella accanto a ogni elemento che si desidera includere. A più (+) verrà aggiunto il segno accanto all'elemento, come illustrato nella Figura 6 .
  2. File nell'analizzatore schema di Active Directory/Directory Lightweight Directory Services, scegliere dal menu file LDIF Crea.
  3. Nella finestra file LDIF selezionare, immettere un percorso e il nome del file LDIF e fare clic su Salva.

Importare lo schema in insieme di strutture di destinazione

Il passaggio finale di questo processo consiste nell'importare lo schema di Active Directory l'insieme di strutture di destinazione. Lo strumento LDIFDE consente di importare elementi mancanti dall'insieme di strutture di origine l'insieme di strutture di destinazione. Come indicato in precedenza, sono contenuti elementi mancanti nel file LDIF creata dall'Analizzatore schema DS/Directory Lightweight Directory Services Active Directory.

Per importare lo schema di Active Directory nella foresta di destinazione, utilizzare un account che sia membro dei gruppi Enterprise Admins e Schema Admins per eseguire le operazioni seguenti:

  1. Accedere al controller di dominio che svolge il ruolo di master operazioni schema lo schema.
  2. Aprire una finestra del prompt dei comandi.
  3. Nella finestra Prompt dei comandi digitare quanto segue:
ldifde -i -f MissingElements.ldf -c dc=X 
DC=WS08DOMAIN02,DC=net
  2. Hit immettere.

In questo comando, il -i parametro indica a LDIFDE per eseguire un'importazione. Il parametro MissingElements.ldf -f indica LDIFDE per importare da un file denominato MissingElements.ldf. Dc - c = DC X = WS08DOMAIN02, controller di dominio = net parametro indica a LDIFDE sostituire tutte le istanze di dc = X con il controller di dominio = WS08DOMAIN02, DC = net. Il controller di dominio = WS08DOMAIN02, DC = net parte del comando deve essere sostituiti con il nome distinto del dominio principale dell'insieme di strutture nell'insieme di strutture destinazione.

Disposizione dei

A questo punto, lo schema nell'insieme di strutture di destinazione è stato esteso per includere elementi mancanti.

Attiva gestione dello schema di directory è un'attività complessa. E diventa ancora più complesso quando vengono distribuiti più insiemi di strutture di Active Directory nel proprio ambiente. Tuttavia, utilizzando il processo descritto in questo articolo, è possibile semplificare la gestione di più schemi di Active Directory e assicurarsi che disporre di uno schema coerenza tra le insiemi di strutture.

John Policelli (Microsoft MVP per Servizi di directory, MCTS, MCSA, ITSM, iNet +, Network + e + A) è consulente IT attivo soluzioni con su un dieci anni di esperienza in architettura, protezione, pianificazione strategica e pianificazione del ripristino d'emergenza. John ha trascorso ultimi anni 9 si concentra sulla gestione delle identità e degli accessi e ho fornendo pensato leadership per alcuni le installazioni più grandi di Active Directory in Canada. È possibile contattarlo tramite il suo blog all' policelli.com/blog.