Auf dieser Seite wird beschrieben, wie die Schemaerweiterung in Managed Service for Microsoft Active Directory funktioniert.
Überblick
Active Directory benötigt Schema, um die Verzeichnisdaten zu organisieren und zu speichern. Das AD-Schema definiert die Objektklassen und ihre Attribute, die zum Speichern der Verzeichnisdaten verwendet werden.
Mithilfe von Schemaerweiterungen können Sie Schemaänderungen vornehmen und die Unterstützung für Anwendungen aktivieren, die von bestimmten Klassen oder Attributen in Active Directory abhängig sind.
Sie können das Standard-AD-Schema erweitern, indem Sie neue Klassen und Attribute definieren oder die Definitionen oder Eigenschaften vorhandener Klassen und Attribute ändern. Mit Managed Microsoft AD können Sie das Schema mithilfe einer LDIF-Datei (LDAP Data Interchange Format) erweitern, die Befehle für Schemaänderungen enthält. Weitere Informationen finden Sie unter Schema erweitern.
Weitere Informationen zu LDIF finden Sie unter LDAP Data Interchange Format.
LDIF-Datei vorbereiten
Eine LDIF-Datei ist ein standardmäßiges Nur-Text-Datenaustauschformat zur Darstellung von Verzeichnisinhalten und Aktualisierungsanfragen im Lightweight Directory Access Protocol (LDAP). Eine LDIF-Datei besteht aus einer Reihe von Datensätzen, die eine Sammlung von Aktualisierungsanfragen wie Hinzufügen, Ändern und Umbenennen darstellen. Die Datensätze in der LDIF-Datei, die die einzelnen Einträge der Aktualisierungsanforderung darstellen, werden durch Leerzeilen getrennt. Wir empfehlen Ihnen, sich mit dem Format von LDIF-Dateien vertraut zu machen, bevor Sie eine Datei mit Schemaänderungen erstellen. Weitere Informationen finden Sie unter LDIF-Skripts.
Lesen Sie die folgenden Richtlinien, bevor Sie Ihre LDIF-Datei vorbereiten.
Schemaelemente
Schemaelemente wie Klassen, Attribute und Objekte sind die Bausteine eines AD-Schemas. Wir empfehlen Ihnen, sich mit den Schlüsselkonzepten von Schemaelementen wie Attributen, Objektklassen, Objektkennungen und verknüpften Attributen vertraut zu machen. Weitere Informationen finden Sie unter Active Directory-Schema (AD DS).
LDIF-Dateistruktur
Sie müssen die Einträge in einer LDIF-Datei mithilfe der DIT-Struktur (Directory Information Tree) anordnen. Die Struktur einer gültigen LDIF-Datei muss den folgenden Richtlinien entsprechen:
- Listen Sie die übergeordneten Einträge vor den untergeordneten Einträgen auf.
- Trennen Sie die Einträge in einer LDIF-Datei durch eine leere Zeile.
- Alle Klassen oder Attribute, die Sie in einem Eintrag verwenden, müssen im Schema vorhanden sein. Bevor Sie eine Klasse oder ein Attribut verwenden, prüfen Sie, ob sie im Schema verfügbar ist. Falls nicht, müssen Sie die Klasse oder das Attribut zum Schema hinzufügen. Sie müssen beispielsweise ein Attribut erstellen, bevor Sie das Attribut mit einer Klasse verknüpfen.
Format des Distinguished Namens
Alle Einträge in einer LDIF-Datei beginnen mit einem Distinguished Name (DN). Sie gibt das AD-Objekt an, mit dem die Datensätze arbeiten. Für den Fall, dass der Schema-Cache durch die Datensätze aktualisiert wird, muss der DN leer sein. Für Schemaänderungen muss der DN das folgende Format haben:
dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN
Ersetzen Sie Folgendes:
- CLASS_OR_ATTRIBUTE: Der Name einer Klasse oder eines Attributs. Beispiel:
example-attribute
. - ROOT_DOMAIN: Die Stammdomain Ihres Domainnamens. Wenn Ihr Domainname beispielsweise
example.com
lautet, geben Sieexample
ein. - TOP_LEVEL_DOMAIN: Top-Level-Domain Ihres Domainnamens Wenn Ihr Domainname beispielsweise
example.com
lautet, geben Siecom
ein.
Der DN des Attributs example-attribute
für den Domainnamen example.com
muss beispielsweise das folgende Format haben:
dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com
Unterstützte LDIF-Änderungstypen
Managed Microsoft AD unterstützt die folgenden LDIF-Änderungstypen für die Schemaerweiterung:
LDIF-Änderungstyp | Schemaerweiterungsaktion |
---|---|
add |
Erstellt eine neue Klasse oder ein neues Attribut im Schema. |
modify |
Aktualisiert die Attribute einer Klasse oder eines Attributs im Schema. In der folgenden Liste werden einige der möglichen Aktualisierungen von Properties beschrieben:
ldapDisplayName einer Klasse oder eines Attributs aktualisieren. |
modrdn oder moddn |
Benennt den relativen Distinguished Name (RDN) für eine Klasse oder ein Attribut um. |
Hinweise
Lesen Sie die folgenden Hinweise, bevor Sie das Schema erweitern.
- Microsoft bietet detaillierte Hinweise zu den Auswirkungen von Schemaerweiterungen auf Ihre Active Directory-Umgebung. Prüfen Sie diese sorgfältig, bevor Sie das Schema erweitern. Weitere Informationen finden Sie unter Was Sie vor der Erweiterung des Schemas wissen müssen.
- Das Hinzufügen einer Klasse oder eines Attributs zum Schema ist dauerhaft. Sie können eine Klasse oder ein Attribut, das bzw. das Sie nicht mehr benötigen, nach dem Hinzufügen jedoch deaktivieren. Weitere Informationen finden Sie unter Vorhandene Klassen und Attribute deaktivieren.
Funktionsweise der Schemaerweiterung
Wenn Sie die Schemaerweiterung für eine Domain initiieren, validiert Managed Microsoft AD die LDIF-Datei auf Struktur, Format der Schemaelemente und unterstützte Änderungstypen oder Aktionen.
Wenn die LDIF-Datei gültig ist, erstellt Managed Microsoft AD eine Sicherung der Domain, bevor die Schemaänderungen angewendet werden. Wenn nach der Aktualisierung des Schemas Probleme mit Ihrer Anwendung auftreten, können Sie mit dieser Sicherung die Domain wiederherstellen. Anschließend isoliert Managed Microsoft AD einen Ihrer Domaincontroller von der Domain und wendet die Schemaänderungen mithilfe des Ldifde-Tools an. Während das Schema geändert wird, stellen andere Domaincontroller in Ihrer Domain den Client-Traffic bereit.
Wenn die Schemaänderungen erfolgreich sind, stellt der isolierte Domaincontroller eine Verbindung zur Domain her und repliziert diese Schemaänderungen auf andere Domaincontroller in der Domain.
Wenn die Schemaänderungen fehlschlagen, setzt Managed Microsoft AD den Domaincontroller auf den gesicherten Status zurück.
Managed Microsoft AD unterstützt keine partiellen Schemaerweiterungen für eine Domain. Das heißt, wenn einer der Befehle in der LDIF-Datei nicht auf die Domain angewendet werden kann, schlägt die Anforderung der Schemaerweiterung fehl. Mit Managed Microsoft AD wird Ihre Domain auch auf den Zustand vor der Anwendung der Schemaänderungen zurückgesetzt.