Tentang ekstensi skema

Halaman ini menjelaskan cara kerja ekstensi skema di Layanan Terkelola untuk Microsoft Active Directory.

Ringkasan

{i>Active Directory<i} bergantung pada skema untuk mengatur dan menyimpan data direktori. Skema AD mendefinisikan kelas objek dan atributnya yang digunakan untuk menyimpan data direktori.

Anda dapat menggunakan ekstensi skema untuk melakukan perubahan skema dan mengaktifkan dukungan untuk aplikasi yang bergantung pada class atau atribut tertentu di Active Directory.

Anda dapat memperluas skema AD default dengan menentukan class dan atribut baru atau mengubah definisi atau properti class dan atribut yang ada. Microsoft AD terkelola memungkinkan Anda memperluas skema menggunakan file LDAP Data Interchange Format (LDIF) yang berisi perintah untuk perubahan skema. Untuk informasi selengkapnya, lihat Memperluas Skema.

Untuk informasi selengkapnya tentang LDIF, lihat LDAP Data Interchange Format.

Cara menyiapkan file LDIF

File LDIF adalah format pertukaran data teks biasa standar untuk mewakili konten direktori Lightweight Directory Access Protocol (LDAP) dan permintaan pembaruan. File LDIF terdiri dari serangkaian catatan yang mewakili kumpulan permintaan pembaruan, seperti menambahkan, mengubah, mengganti nama. Baris kosong memisahkan kumpulan catatan dalam file LDIF yang mewakili setiap entri permintaan pembaruan. Sebaiknya pahami format file LDIF sebelum membuat file dengan perubahan skema. Untuk informasi lebih lanjut, lihat Skrip LDIF.

Sebelum menyiapkan file LDIF Anda, baca panduan berikut.

Elemen skema

Elemen skema, seperti class, atribut, objek, adalah blok bangunan skema AD. Sebaiknya Anda mempelajari konsep utama terkait elemen skema seperti atribut, class objek, ID objek, dan atribut tertaut. Untuk mengetahui informasi selengkapnya, lihat Skema Active Directory (AD DS).

Struktur file LDIF

Anda perlu menyusun entri dalam file LDIF menggunakan struktur Directory Information Tree (DIT). Struktur file LDIF yang valid harus mematuhi panduan berikut:

Cantumkan entri induk sebelum entri turunan.
Pisahkan entri dalam file LDIF dengan baris kosong.
Setiap class atau atribut yang Anda gunakan dalam entri harus ada dalam skema. Sebelum menggunakan class atau atribut, pastikan Anda memverifikasi apakah class atau atribut tersebut tersedia dalam skema. Jika tidak, Anda perlu menambahkan class atau atribut ke skema. Misalnya, Anda harus membuat atribut sebelum melampirkan atribut dengan class.

Format nama yang dibedakan

Semua entri dalam file LDIF dimulai dengan nama yang dibedakan (DN). Ini menentukan objek AD tempat catatan beroperasi. Jika cache skema pembaruan data, DN harus kosong. Untuk perubahan skema, DN harus dalam format berikut:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

Ganti kode berikut:

CLASS_OR_ATTRIBUTE: Nama class atau atribut. Contoh, example-attribute.
ROOT_DOMAIN: Domain root dari nama domain Anda. Misalnya, jika nama domain Anda adalah example.com, masukkan example.
TOP_LEVEL_DOMAIN: Domain level teratas dari nama domain Anda. Misalnya, jika nama domain Anda adalah example.com, masukkan com.

Misalnya, DN atribut example-attribute untuk nama domain example.com harus dalam format berikut:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

Jenis perubahan LDIF yang didukung

Microsoft AD terkelola mendukung jenis perubahan LDIF berikut untuk ekstensi skema:

Jenis perubahan LDIF	Tindakan ekstensi skema
`add`	Membuat class atau atribut baru dalam skema.
`modify`	Memperbarui properti class atau atribut dalam skema. Daftar berikut menjelaskan beberapa kemungkinan pembaruan properti: Melampirkan atribut ke class. Memperbarui properti `ldapDisplayName` untuk suatu class atau atribut. Menonaktifkan kelas atau atribut. Catatan: Microsoft AD terkelola tidak mendukung modifikasi atribut `defaultSecurityDescriptor` karena alasan keamanan.
`modrdn` atau `moddn`	Mengganti nama nama yang dibedakan (RDN) relatif untuk class atau atribut.

Pertimbangan

Sebelum memperluas skema, pastikan Anda melihat pertimbangan berikut.

Microsoft memberikan saran mendetail yang menjelaskan dampak ekstensi skema pada lingkungan Active Directory Anda. Pastikan Anda meninjaunya dengan cermat sebelum memperluas skema. Untuk informasi selengkapnya, lihat Yang Harus Anda Ketahui Sebelum Memperluas Skema.
Menambahkan class atau atribut ke skema bersifat permanen. Namun, Anda dapat menonaktifkan class atau atribut yang tidak lagi diperlukan setelah menambahkannya. Untuk informasi selengkapnya, lihat Menonaktifkan Class dan Atribut yang Ada.

Cara kerja ekstensi skema

Saat Anda memulai ekstensi skema untuk domain, Microsoft AD Terkelola memvalidasi file LDIF untuk struktur, format elemen skema, dan jenis perubahan atau tindakan yang didukung.

Jika file LDIF valid, Microsoft AD Terkelola akan mengambil cadangan domain sebelum menerapkan perubahan skema. Jika mengalami masalah dengan aplikasi setelah memperbarui skema, Anda dapat menggunakan cadangan ini untuk memulihkan domain. Kemudian, Microsoft AD Terkelola mengisolasi salah satu pengontrol domain Anda dari domain dan menerapkan perubahan skema menggunakan alat Ldifde. Saat perubahan skema sedang berlangsung, pengontrol domain lainnya di domain Anda akan melayani traffic klien.

Jika perubahan skema berhasil, pengontrol domain yang terisolasi akan menghubungkan kembali ke domain dan mereplikasi perubahan skema ini ke pengontrol domain lainnya di domain.

Jika perubahan skema gagal, Microsoft AD Terkelola akan mengembalikan pengontrol domain ke status dicadangkan.

Microsoft AD terkelola tidak mendukung ekstensi skema parsial di domain. Dengan kata lain, jika salah satu perintah dalam file LDIF gagal diterapkan pada domain, permintaan ekstensi skema akan gagal. Microsoft AD terkelola juga mengembalikan domain Anda ke keadaan sebelum menerapkan perubahan skema.

Langkah selanjutnya

Pelajari cara memperluas skema di Microsoft AD Terkelola.
Pembatasan pada Ekstensi Skema