架构扩展简介

本页介绍架构扩展在 Managed Service for Microsoft Active Directory 中的运作方式。

概览

Active Directory 依赖于架构来整理和存储目录数据。AD 架构定义了用于存储目录数据的对象类及其属性。

您可以使用架构扩展来执行架构更改,并支持依赖于 Active Directory 中的特定类或属性的应用。

您可以通过定义新的类和属性,或修改现有类和属性的定义或属性,来扩展默认的 AD 架构。借助托管式 Microsoft AD,您可以使用包含架构更改命令的 LDAP 数据交换格式 (LDIF) 文件来扩展架构。如需了解详情,请参阅扩展架构

如需详细了解 LDIF,请参阅 LDAP 数据交换格式

如何准备 LDIF 文件

LDIF 文件是一种标准的纯文本数据交换格式,用于表示轻量级目录访问协议 (LDAP) 目录内容和更新请求。LDIF 文件由一系列记录组成,这些记录代表一组更新请求,例如添加、修改、重命名。空白行用于分隔 LDIF 文件中表示更新请求的每个条目的记录集。建议您先了解 LDIF 文件的格式,然后再创建包含架构更改的文件。如需了解详情,请参阅 LDIF 脚本

在准备 LDIF 文件之前,请阅读以下准则。

架构元素

架构元素(例如类、属性、对象)是广告架构的构建块。我们建议您了解与架构元素相关的关键概念,例如属性、对象类、对象标识符和关联的属性。如需了解详情,请参阅 Active Directory 架构 (AD DS)

LDIF 文件结构

您需要使用目录信息树 (DIT) 结构来排列 LDIF 文件中的条目。有效 LDIF 文件的结构必须遵循以下准则:

  • 在子条目之前列出父条目。
  • 使用空白行分隔 LDIF 文件中的条目。
  • 您在条目中使用的任何类或属性都必须存在于架构中。在使用类或属性之前,请务必先验证它是否在架构中可用。否则,您需要将类或属性添加到架构中。例如,您需要先创建属性,然后才能将该属性附加到类。

标识名格式

LDIF 文件中的所有条目都以标识名 (DN) 开头。它指定记录要操作的 AD 对象。如果记录更新架构缓存,DN 必须为空。对于架构更改,DN 必须采用以下格式:

dn: cn=CLASS_OR_ATTRIBUTE,cn=Schema,cn=Configuration,dc=ROOT_DOMAIN,dc=TOP_LEVEL_DOMAIN

替换以下内容:

  • CLASS_OR_ATTRIBUTE:类或属性的名称。例如 example-attribute
  • ROOT_DOMAIN:域名的根网域。例如,如果您的域名是 example.com,请输入 example
  • TOP_LEVEL_DOMAIN:域名的顶级域名。例如,如果您的域名是 example.com,请输入 com

例如,域名 example.com 的属性 example-attribute 的 DN 必须采用以下格式:

dn: cn=example-attribute,cn=Schema,cn=Configuration,dc=example,dc=com

支持的 LDIF 更改类型

托管式 Microsoft AD 支持以下 LDIF 更改类型来扩展架构:

LDIF changetype 架构扩展操作
add 在架构中创建新类或属性。
modify 更新架构中类或属性的属性。以下列表介绍了一些可能的媒体资源更新:
  • 将属性附加到类。
  • 更新类或属性的 ldapDisplayName 属性。
  • 停用类或属性。
    		•
    modrdnmoddn 重命名类或属性的相对标识名 (RDN)。

    注意事项

    在扩展架构之前,请务必参阅以下注意事项。

    • Microsoft 提供了详细的建议,说明架构扩展对 Active Directory 环境的影响。请务必在扩展架构之前仔细检查这些值。如需了解详情,请参阅在扩展架构之前必须了解的事项
    • 向架构添加类或属性是永久性的。不过,您可以添加不再需要的类或属性,然后将其停用。如需了解详情,请参阅停用现有类和属性

    架构扩展的运作方式

    当您为网域发起架构扩展时,托管式 Microsoft AD 会验证 LDIF 文件的结构、架构元素的格式以及支持的更改类型或操作。

    如果 LDIF 文件有效,托管式 Microsoft AD 会先备份网域,然后再应用架构更改。如果您在更新架构后遇到应用出现任何问题,可以使用此备份来恢复该网域。然后,托管式 Microsoft AD 会将一个网域控制器从网域中隔离,并使用 Ldifde 工具应用架构更改。在架构更改进行期间,您网域中的其他域控制器会处理客户端流量。

    如果架构更改成功,则隔离的网域控制器会重新连接到网域,并将这些架构更改复制到网域中的其他网域控制器。

    如果架构更改失败,托管式 Microsoft AD 会将网域控制器还原为备份状态。

    代管式 Microsoft AD 不支持对网域进行部分架构扩展。换句话说,如果 LDIF 文件中的任何命令都无法应用于网域,则架构扩展请求会失败。Managed Microsoft AD 还会将您的网域还原为应用架构更改之前的状态。

    后续步骤