Active Directory Schema Harmath Zoltán zoltanh@microsoft.com Senior Consultant
Miről lesz szó? A Schema építőelemei Schema és a Global Catalog kapcsolata Mítosz: teljes replikáció és a Schema bővítés Katasztrófaesetek Windows Server 2003 és Exchange 2000 Schema kapcsolata
Mi az a Schema? Definíció A Schema az az Active Directory komponens, ami definiálja az összes objektumot és azok lehetséges tulajdonságait a címtárban. A Schema legfontosabb építőelemei: Objects Attributes Classes
Hogyan működik a Schema - Attributes Attributes (tulajdonság) A címtár legkisebb építőeleme Meghatározza az adott tulajdonság szintaktikáját Lehet kötelező és nem kötelező tulajdonság
Hogyan működik a Schema - Class Az objektumok definíciójának csoportját Class-nak (osztálynak) hívjuk Egy osztályhoz tartozhatnak más segéd (Auxiliary) osztályok tulajdonságok (Attributes) Rendelkezik alapértelmezett ACL-el
Hogyan működik a Schema - Class Típusát tekintve három fajta lehet Abstract nem példányosítható típusú osztály. Csak mint sablon kezelendő. Ilyen például a Top, ami minden objektum szülője. Auxilary nem példányosítható típusú osztály. Építőeleme lehet egy másik osztálynak. Structural példányosítható osztály, az az, segítségével létrehozhatunk címtár objektumokat.
Hogyan működik a Schema – Címtár objektum Structual típusú Class alapján létrehozott címtárobjektum. Ilyen címtár objektum lehet például egy felhasználó. Az objektum kötelező és nem kötelező tulajdonságait meghatározza a structural típusú osztály amihez tartozik. A structural típusú osztály örökli a felette levő osztályok beállításait, így örökölve de az összes osztály beállítása érvényes egy címtár objektumra.
Hogyan működik a Schema – Címtár objektum
Hogy működik a Schema Hol tároljuk Az Active Directory tartományban, vagyis az ntds.dit fájlban. A címtáron belül egy önálló partícióban kapott helyet. Ezt az önálló partíciót szinkronizáljuk a teljes AD erdőben, minden tartományvezérlőre. Schema.ini fájl tartalmazza az alap Schema-t.
Global Catalog A Global Catalog a címtárobjektumok teljes tárháza egy AD erdőben. Tartalmazza Az erdő minden tartományának Domain partícióját. A Domain partícióból nem minden objektum-tulajdonságot. A kulcsszó: isMemberOfPartialAttributeSet A Global Catalog nem szinkronizálható, helyben építik fel a tartományvezérlők. Az ntds.dit-ben tároljuk a Global Catalog-ot. Nem minden DC, GC, de minden GC, DC (triviális, de fontos szabály).
Global Catalog
Schema és a Global Catalog Mi a kapcsolat a Schema és a Global Catalog között? A Schema-ban az egyes tulajdonságokon (attributes) határozzuk meg azt, hogy az a GC-be bekerüljön-e, vagy sem.
Schema bővítés A Schema bővítés nem más mint egy új AD objektum létrehozása. Egyszerűen export / import segítségével, akár script segítségével is kiegészíthetjük a Schema-t. Mégis mi a különbség? Az új objektum, nem a Domain partícióban jön létre. Sem a class, sem az attributes nem törölhető a címtárból, legfeljebb kikapcsolható. A Schema nem multimaster, vagyis csak egy tartományvezérlő írhatjuk a Schema-t. Ez a tartományvezérlő a Schema Master.
Schema bővítés Bár egy egyszerű művelet, mégis Mivel nem törölhető, előtte a teszt kötelező. Egy Schema bővítés általában több, mint egyszerű objektumok felvételének halmaza és itt szoktak a problémák kezdődni. Előfeltételeket ellenőrzünk. Megpróbáljuk megkeresni a Schema Master kiszolgálót. Display Specifier-t regisztrálunk. Jogosultságokat állítunk. Állítólag „full replikációt” indít el.
Teljes replikáció és a Schema bővítés Kérdések Teljes replikáció, de valójában mit is szinkronizálunk? Minden Schema bővítéskor teljes replikáció van? Miért van teljes replikáció? Válaszok Az „idegen” PAS névtér teljes replikációja indul el, de csak Windows 2000 esetében. Nincs minden Schema bővítéskor teljes replikáció. Csak akkor ha olyan tulajdonságot is felveszünk ami a Global Catalog-ba kötelezően bekerül. A Windows 2000, nem kezeli a részleges PAS szinkronizálást.
Global Catalog ismét
Kikapcsolás? Bár törölni nem tudjuk, kikapcsolni igen az egyes tulajdonságokat, vagy osztályokat. Az alapértelmezett objektumok nem kapcsolhatóak ki. Kikapcsolás után a kapcsolódó objektumok nem módosíthatóak, de törölhetőek.
Hogy védjük ki a katasztrófát? support.microsoft.com Érdemes keresni, ha találni szeretnénk valamit. Microsoft Pre-Warning Premier ügyfelek ha értesítenek előre, akkor tudunk segíteni. Alapos tesztelés Nem az adprep.exe-t kell tesztelni, hanem azt, hogy az egyedi alkalmazásaink hogy működnek a kibővített Schema-val. Biztonsági mentés Készüljünk fel a legrosszabb* lehetőségre is, hiszen nem visszafordítható folyamat. Körültekintő eljárás Gondoljuk végig, hogy mit fogunk pontosan csinálni, álljanak készen a megfelelő eszközök. Más szerrel kombinálva robbanó elegyet alkothat Nem egészséges címtárban nem tudjuk mi történik, így egy Schema bővítés kockázata magas. A replikációnak mindenképpen egészségesnek kell lennie.
Mi a legrosszabb eset? Mindenkinek más és más. Egy több száz tartományvezérlős környezetben ha a legrosszabb eset az, hogy az összes tartományvezérlőt újra kell telepítenünk, akkor nem jól terveztük meg a folyamatot. Néhány tartományvezérlős környezetben legrosszabb esetként számolhatunk az összes tartományvezérlő újratelepítésével is. Az üzlet ismerete mellett dönthető el pontosan, hogy mi a legrosszabb eset.
Biztonsági mentés, kockázat csökkentés Ha csökkenteni szeretnénk a kockázatot, akkor telepítsünk egy tartományvezérlőt, amit állítsunk le a Schema bővítés előtt. Célja: segítségével Forest Recovery-t tudunk egyszerűen elvégezni. Sok tartományvezérlős címtárban a Schema módosítás terjedését szegmentálhatjuk: Vagy úgy hogy leválasztjuk a Schema Master tartományvezérlőt. Vagy úgy, hogy letiltjuk a kimenő replikációs kapcsolatokat.
Windows 2003 és Exchange 2000 Schema Exchange 2000-es környezetben a Windows Server 2003 Schema bővítés előtt módosítanunk kell a Schema-t. Ha nem tettük meg, akkor az InetOrgPersonFix LDIF fájlt importálnunk kell a rendszerbe. Figyelem: Ha az előzetes Schema módosítás és a Windows Server 2003 Schema bővítés egyszerre replikálódik le, akkor az ütközést eredményez! Nagyméretű lassan replikáló rendszerben, esetleg offline tartományvezérlő esetén lehet probléma, mivel az ütközés a teljes erdőbe visszareplikálódik. Bővebb információ és részletes leírás: KB325379
Management eszközök Eszközök Figyelem ADSIEDIT.MSC LDP.EXE Support Tools telepítésével kerül fel a rendszerbe. LDP.EXE Schema Management Snap-in Regsvr32.exe schmmgmt.dll Figyelem Segítségükkel egyetlen csapással kivégezhetjük a címtárunkat, ezért óvatosan bánjunk a Schema-val. Az esetek legnagyobb hányadában nem kell a Schema-t szerkesztenünk.
Rövid összegzés A Schema bővítés veszélytelen Ha tudjuk, hogy mit csinálunk. Ha tudjuk, hogy az alkalmazás aki bővít, mit csinál. Ha végig gondoltuk, hogy hogyan állunk vissza az eredeti állapotra (hiszen nem visszafordítható a folyamat). Ha tudjuk hogyan és mit szeretnénk ellenőrizni, mielőtt azt mondjuk, hogy sikeres volt a folyamat.
Egy kis segítség http://support.microsoft.com/default.aspx?scid=kb;en-us;887435 http://support.microsoft.com/default.aspx?scid=kb;en-us;324392 http://support.microsoft.com/default.aspx?scid=kb;en-us;309628 http://support.microsoft.com/default.aspx?scid=kb;en-us;331161 http://support.microsoft.com/default.aspx?scid=kb;en-us;307323 http://support.microsoft.com/default.aspx?scid=kb;en-us;325379 http://support.microsoft.com/default.aspx?scid=kb;en-us;555040 http://support.microsoft.com/default.aspx?scid=kb;en-us;314649 http://support.microsoft.com/default.aspx?scid=kb;en-us;312403 http://support.microsoft.com/default.aspx?scid=kb;en-us;812954 http://support.microsoft.com/default.aspx?scid=kb;en-us;305476
Here is what it looks like from a product standpoint, and again, this is a flexible solution, you don’t HAVE to use all these integrated tools, but you have the option to realize the benefits of seamless, natural integration. For a robust, end-to-end BI solution from MS, all you need are SQL Server and Office.