Avaliação Impacto Alterações Esquema AD
Resumo Este artigo ajuda os administradores de ambientes do Active Directory avaliar o possível impacto de atualizar o esquema quando migram sua floresta para uma versão mais recente do Windows Server. Microsoft Active Directory é um banco de dados hierárquica de objetos que representam as entidades físicas (computadores, usuários, grupos locais, sub-redes, e assim por diante) que compõem a rede.Como Active Directory tem evoluído como uma plataforma com o lançamento de cada nova versão do Windows Server, a Microsoft adicionou uma nova funcionalidade (principalmente novas classes e atributos) para o esquema. A Figura abaixo mostra o número de versão do esquema para cada versão da plataforma Windows Server:
Figura1
Você pode determinar a sua versão do esquema usando o cmdlet Get-ADObject do Windows PowerShell. Como um exemplo, aqui está o resultado da execução do comando em um controlador de domínio com o Windows Server 2012 R2: PS C: \> Get-ADObject (Get-ADRootDSE) .schemaNamingContext -Properties objectVersion
DistinguishedName: CN = Schema, CN = Configuration, DC = Contoso, DC = com Nome: Schema ObjectClass: DMD ObjectGUID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx objectVersion: 69
Quando uma nova versão do Windows Server sai e você deseja atualizar os controladores de domínio, você deve estender o esquema do Active Directory para a versão mais recente. Surge então a pergunta: Será que vai haver qualquer impacto possível em minha infra-estrutura existente, se eu estender o esquema? Por exemplo, poderia estender o esquema afetar qualquer um dos meus aplicativos de linha de negócio?
Esta é uma questão séria, por duas razões:
• Expandir o esquema é uma ação de toda a floresta. Em outras palavras, ele pode potencialmente afetar tudo (computadores, usuários, grupos locais, sub-redes, e assim por diante) em sua floresta do Active Directory.
• A aplicação de extensões de esquema é uma ação irreversível que não pode ser desfeita.
É seguro? Qual é a resposta, então? É seguro simplesmente virar a chave e estender o esquema do ambiente existente do Active Directory como cada nova versão do Windows Server é liberado?
A resposta
Seria útil, mas a Microsoft não incluiu nenhuma nota a cada nova versão do Windows Server lançada.Portanto, a resposta “oficial” à questão de saber se é seguro para atualizar o seu esquema é que não há uma resposta oficial da Microsoft sobre este assunto.
Recomendações e Notas
A maioria dos problemas de aplicativos causadas por alterações de esquema são o resultado de práticas de codificação pobres no desenvolvimento do aplicativo. Por exemplo, se um fornecedor faz qualquer um dos seguintes ao construir a sua aplicação, problemas inesperados podem ocorrer quando o esquema do Active Directory é prolongado:
• O aplicativo verifica a versão do esquema do Active Directory e tem uma dependência de algum tipo sobre a versão do esquema.
• O aplicativo requer que o administrador especifique manualmente o identificador do objeto raiz (OID) durante a instalação e configuração do produto.
• A aplicação inclui suas próprias extensões para o esquema do Active Directory, mas essas extensões podem ter implementado de forma abusiva ou podem entrar em conflito com ou até mesmo bloquear futuras alterações de esquema da Microsoft. Exemplos de aplicação indevida de alterações de esquema pode incluir coisas como IDS duplicados, GUIDS duplicados e esquema-ID duplicados, sintaxe errada para atributos, faltando deve-contêm atributos, falta pode-contêm atributos, e assim por diante.
Esse último ponto é o grande culpado, mas ele só se aplica a aplicativos corporativos que modificam o esquema do Active Directory. Infelizmente, a maioria dos fornecedores de tais aplicações por não documentar claramente o que muda a sua aplicação ou o que vai fazer com o esquema quando você implantar o aplicativo em um ambiente Active Directory. Mas, em seguida, a própria Microsoft é culpada nesta área, porque eles geralmente não documentam claramente quais as mudanças de esquema são introduzidas a cada nova versão do Windows Server.
O caminho a seguir
O que você deve fazer em seguida, sobre este problema quando você está pensando em estender o esquema do Active Directory, implantando controladores de domínio executando uma nova versão do Windows Server? No mínimo você provavelmente deve fazer o seguinte:
– Revisão da documentação de todos os seus aplicativos corporativos de linha de negócios para descobrir se algum deles introduziram todas as atualizações para o seu esquema, quando foram implantadas. Contacte os fornecedores de aplicativos quando necessário para inquirir sobre este caso a sua documentação não faz qualquer menção de quaisquer alterações de esquema.
– Crie um ambiente de teste que espelha o ambiente de produção e inclui todas as aplicações identificadas como de atualizações de esquema na etapa anterior.
– Extenda o esquema do seu ambiente de teste para a última versão do Active Directory e implantar controladores de domínio com a versão mais recente do Windows Server.
– Você também pode fazer uso de ferramentas como SchemaAnalyzer, exportar e comparar os esquemas do Active Directory com diferentes versões do Windows Server e diferentes aplicativos corporativos instalados. SchemaAnalyzer foi incluído com as ferramentas do ADAM no Windows Server.Há também um script do Windows PowerShell chamado ADSchemaExtensionConflictAnalyzer.ps1 que você pode usar para analisar extensões de esquema de aplicação (arquivos FDL) contra o seu esquema de produção atual. Este script pode ser usado para gerar relatórios sobre quaisquer erros, conflitos, ou outras condições que podem causar problemas quando o aplicativo é implantado em seu ambiente. Você pode baixar este script do Technet.