Schemaerweiterung

Auf dieser Seite wird beschrieben, wie die Schemaerweiterung in Managed Service for Microsoft Active Directory funktioniert.

Überblick

Active Directory benötigt Schema, um die Verzeichnisdaten zu organisieren und zu speichern. Das AD-Schema definiert die Objektklassen und ihre Attribute, die zum Speichern der Verzeichnisdaten verwendet werden.

Mithilfe von Schemaerweiterungen können Sie Schemaänderungen vornehmen und die Unterstützung für Anwendungen aktivieren, die von bestimmten Klassen oder Attributen in Active Directory abhängig sind.

Sie können das Standard-AD-Schema erweitern, indem Sie neue Klassen und Attribute definieren oder die Definitionen oder Eigenschaften vorhandener Klassen und Attribute ändern. Mit Managed Microsoft AD können Sie das Schema mithilfe einer LDIF-Datei (LDAP Data Interchange Format) erweitern, die Befehle für Schemaänderungen enthält. Weitere Informationen finden Sie unter Schema erweitern.

Weitere Informationen zu LDIF finden Sie unter LDAP Data Interchange Format.

LDIF-Datei vorbereiten

Eine LDIF-Datei ist ein standardmäßiges Nur-Text-Datenaustauschformat zur Darstellung von Verzeichnisinhalten und Aktualisierungsanfragen im Lightweight Directory Access Protocol (LDAP). Eine LDIF-Datei besteht aus einer Reihe von Datensätzen, die eine Sammlung von Aktualisierungsanfragen wie Hinzufügen, Ändern und Umbenennen darstellen. Die Datensätze in der LDIF-Datei, die die einzelnen Einträge der Aktualisierungsanforderung darstellen, werden durch Leerzeilen getrennt. Wir empfehlen Ihnen, sich mit dem Format von LDIF-Dateien vertraut zu machen, bevor Sie eine Datei mit Schemaänderungen erstellen. Weitere Informationen finden Sie unter LDIF-Skripts.

Lesen Sie die folgenden Richtlinien, bevor Sie Ihre LDIF-Datei vorbereiten.

Schemaelemente

Schemaelemente wie Klassen, Attribute und Objekte sind die Bausteine eines AD-Schemas. Wir empfehlen Ihnen, sich mit den Schlüsselkonzepten von Schemaelementen wie Attributen, Objektklassen, Objektkennungen und verknüpften Attributen vertraut zu machen. Weitere Informationen finden Sie unter Active Directory-Schema (AD DS).

LDIF-Dateistruktur

Sie müssen die Einträge in einer LDIF-Datei mithilfe der DIT-Struktur (Directory Information Tree) anordnen. Die Struktur einer gültigen LDIF-Datei muss den folgenden Richtlinien entsprechen:

Listen Sie die übergeordneten Einträge vor den untergeordneten Einträgen auf.
Trennen Sie die Einträge in einer LDIF-Datei durch eine leere Zeile.
Alle Klassen oder Attribute, die Sie in einem Eintrag verwenden, müssen im Schema vorhanden sein. Bevor Sie eine Klasse oder ein Attribut verwenden, prüfen Sie, ob sie im Schema verfügbar ist. Falls nicht, müssen Sie die Klasse oder das Attribut zum Schema hinzufügen. Sie müssen beispielsweise ein Attribut erstellen, bevor Sie das Attribut mit einer Klasse verknüpfen.

Format des Distinguished Namens

Alle Einträge in einer LDIF-Datei beginnen mit einem Distinguished Name (DN). Sie gibt das AD-Objekt an, mit dem die Datensätze arbeiten. Für den Fall, dass der Schema-Cache durch die Datensätze aktualisiert wird, muss der DN leer sein. Für Schemaänderungen muss der DN das folgende Format haben:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Ersetzen Sie Folgendes:

CLASS_OR_ATTRIBUTE: Der Name einer Klasse oder eines Attributs. Beispiel: example-attribute.
ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise example.com lautet, geben Sie example ein.
TOP_LEVEL_DOMAIN: Top-Level-Domain Ihres Domainnamens Wenn Ihr Domainname beispielsweise example.com lautet, geben Sie com ein.

Der DN des Attributs example-attribute für den Domainnamen example.com muss beispielsweise das folgende Format haben:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Unterstützte LDIF-Änderungstypen

Managed Microsoft AD unterstützt die folgenden LDIF-Änderungstypen für die Schemaerweiterung:

LDIF-Änderungstyp	Schemaerweiterungsaktion
`add`	Erstellt eine neue Klasse oder ein neues Attribut im Schema.
`modify`	Aktualisiert die Attribute einer Klasse oder eines Attributs im Schema. In der folgenden Liste werden einige der möglichen Aktualisierungen von Properties beschrieben: Anhängen eines Attributs an eine Klasse. Attribut `ldapDisplayName` einer Klasse oder eines Attributs aktualisieren. Klasse oder Attribut deaktivieren Hinweis : Managed Microsoft AD unterstützt aus Sicherheitsgründen die Änderung des Attributs `defaultSecurityDescriptor` nicht.
`modrdn` oder `moddn`	Benennt den relativen Distinguished Name (RDN) für eine Klasse oder ein Attribut um.

Hinweise

Lesen Sie die folgenden Hinweise, bevor Sie das Schema erweitern.

Microsoft bietet detaillierte Hinweise zu den Auswirkungen von Schemaerweiterungen auf Ihre Active Directory-Umgebung. Prüfen Sie diese sorgfältig, bevor Sie das Schema erweitern. Weitere Informationen finden Sie unter Was Sie vor der Erweiterung des Schemas wissen müssen.
Das Hinzufügen einer Klasse oder eines Attributs zum Schema ist dauerhaft. Sie können eine Klasse oder ein Attribut, das bzw. das Sie nicht mehr benötigen, nach dem Hinzufügen jedoch deaktivieren. Weitere Informationen finden Sie unter Vorhandene Klassen und Attribute deaktivieren.

Funktionsweise der Schemaerweiterung

Wenn Sie die Schemaerweiterung für eine Domain initiieren, validiert Managed Microsoft AD die LDIF-Datei auf Struktur, Format der Schemaelemente und unterstützte Änderungstypen oder Aktionen.

Wenn die LDIF-Datei gültig ist, erstellt Managed Microsoft AD eine Sicherung der Domain, bevor die Schemaänderungen angewendet werden. Wenn nach der Aktualisierung des Schemas Probleme mit Ihrer Anwendung auftreten, können Sie mit dieser Sicherung die Domain wiederherstellen. Anschließend isoliert Managed Microsoft AD einen Ihrer Domaincontroller von der Domain und wendet die Schemaänderungen mithilfe des Ldifde-Tools an. Während das Schema geändert wird, stellen andere Domaincontroller in Ihrer Domain den Client-Traffic bereit.

Wenn die Schemaänderungen erfolgreich sind, stellt der isolierte Domaincontroller eine Verbindung zur Domain her und repliziert diese Schemaänderungen auf andere Domaincontroller in der Domain.

Wenn die Schemaänderungen fehlschlagen, setzt Managed Microsoft AD den Domaincontroller auf den gesicherten Status zurück.

Managed Microsoft AD unterstützt keine partiellen Schemaerweiterungen für eine Domain. Das heißt, wenn einer der Befehle in der LDIF-Datei nicht auf die Domain angewendet werden kann, schlägt die Anforderung der Schemaerweiterung fehl. Mit Managed Microsoft AD wird Ihre Domain auch auf den Zustand vor der Anwendung der Schemaänderungen zurückgesetzt.