Strukturierte Active Directory- Schemaverwaltung bei Microsoft Erstellen eines konsistenten, standardisierten Änderungsworkflows Veröffentlicht: November 2005
Übersicht über die Lösung Situation Active Directory-Schemaänderungen finden häufig statt Lösung Verwaltungsverfahren für Schemaänderungen Vorteile Verringern der Risiken durch standardisierte Schemaänderungen Erreichen eines strukturierten Workflows Erzwingen organisationsweiter Standards Etablieren verlässlicher Erwartungen Standardisieren der erforderlichen Kommunikation
Produkte und Technologien Windows Server 2003 Active Directory MIIS 2003 SP1 SharePoint 2003 Exchange Server 2003 Terminal Server
Einführung in Schemaänderungen Active Directory-Funktionen können erweitert werden Schemaänderungen müssen keine unvorhergesehenen Ergebnisse hervorrufen Durch das Schema werden Objekte und Attribute zum Speichern von Daten definiert Durch Objektdefinitionen werden Datentypen und Datensyntax gesteuert
Einführung in Schemaänderungen Nur autorisierte Benutzer können das Schema ändern Administratoren ändern das Schema nur aus bestimmten Gründen Das Erweitern des Schemas erfordert sorgfältige Planung und Tests Schemaänderungen können nicht rückgängig gemacht werden
Einführung in Schemaänderungen Zum Erweitern des Schemas ist ein Verwaltungsverfahren für Schemaänderungen erforderlich Das Verfahren sollte ausführliche Anweisungen für den gesamten Workflow enthalten Schemaänderungen finden bei Microsoft häufiger statt als in anderen Unternehmen Die Änderungsverwaltung des IT-Bereichs von Microsoft stützt sich auf umfassende Erfahrungen
Microsoft Active Directory-Umgebung Die Microsoft-Infrastruktur für Identitäts- und Zugriffsverwaltung bietet unentbehrliche Dienste Die Infrastruktur ist durch zentralisierte Verwaltung mehrerer Gesamtstrukturen geprägt Microsoft verfügt weltweit über 215 DCs Der IT-Bereich von Microsoft hat die Gesamtstrukturen für eine stündliche Replikation konfiguriert
Microsoft Active Directory-Umgebung Der IT-Bereich von Microsoft koordiniert weltweit alle Aktivitäten in Bezug auf das Ausführen und Verwalten von Microsoft-Informationssystemen Der IT-Bereich von Microsoft ist verantwortlich für die Umsetzung globaler Vorgänge sowie für die Bereitstellung von IT-Diensten für die gesamte Microsoft-Organisation Der IT-Bereich von Microsoft testet Microsoft-Software und stellt diese bereit
Microsoft Active Directory-Umgebung Das IdM-Team verwaltet die Identitätsverwaltungs-Infrastruktur von Microsoft, alle Benutzerkonten und Active Directory-Schemas Das IEng-Team verwaltet Hauptinfrastrukturserver (einschließlich der DCs) und die Datenreplikationstopologie
Microsoft Active Directory-Umgebung Softwareentwicklung ist der Grund für die meisten Schemaänderungen bei Microsoft Eine interne Website führt Administratoren durch das Schemaänderungsverfahren Ein Änderungsverwaltungssystem verwaltet Erweiterungen, Änderungen und Deaktivierungen Nicht verwendete Definitionen haben keine Auswirkung auf die Active Directory-Leistung
Architektur des Änderungsverwaltungssystems Microsoft verwendet MOF als Grundlage der Hauptverwaltungsprozesse Das Verwaltungssystem für Schemaänderungen besteht aus einem formalen Verfahren, einer internen Website und einem Dokument für die Änderungsverwaltung. Das IdM-Team überwacht jede Schemaänderung bei Microsoft
Architektur des Änderungsverwaltungssystems Um Beschränkungen für Schemaänderungen durchzusetzen, begrenzt der IT-Bereich von Microsoft die Mitgliedschaft in der Gruppe der Schemaadministratoren Für Schemaänderungen ist erforderlich: IdM-Genehmigung Verwendung des Verwaltungssystems für Schemaänderungen Vorherige Tests Angemessene Dokumentation
Architektur des Änderungsverwaltungssystems Eine interne Website bietet eine Schnittstelle zwischen dem IdM-Team und Mitarbeitern, die Schemaänderungen anfordern Das IdM-Team empfängt und verarbeitet Anforderungen Für jede Schemaänderung werden vom IdM-Team Implementierungstests und Funktionstests gefordert
Architektur des Änderungsverwaltungssystems Das Änderungsverwaltungsverfahren bringt verschiedene Erwartungen in Einklang Klare Standards und Vorgehensweisen ermöglichen die gute Zusammenarbeit der drei Teams Die Anforderungen müssen von der anfordernden Person als vernünftig und erreichbar belegt werden Das IdM-Team übernimmt eine beratende Funktion
Architektur des Änderungsverwaltungssystems Die minimale Zeitspanne von der Anforderung bis zur Implementierung von Standardänderungen beträgt sieben Wochen Die Zeitvorgabe von sieben Wochen wird von verschiedenen Faktoren beeinflusst Das Schemaänderungsverfahren ist in fünf Phasen unterteilt
Durchlaufen des Änderungsverfahrens
Ein Anforderer von Schemaänderungen stellt in der Regel eine Produktgruppe, Geschäftseinheit oder IT-Infrastrukturgruppe dar Schemaänderungen für Anwendungen von Drittanbietern sind schwieriger zu implementieren Anweisungen auf der IdM-Website legen Erwartungen fest Leiter von Geschäftseinheiten reichen Anforderungen für Notfallschemaänderungen ein
Durchlaufen des Änderungsverfahrens Ein Mitglied des IdM-Teams begleitet Änderungsanforderungen bis zum Abschluss Das IdM-Team fordert von der anfordernden Person sowohl eine geschäftliche als auch eine technische Begründung Das IdM-Team findet mitunter schwerwiegende Probleme im Anwendungsdesign
Durchlaufen des Änderungsverfahrens Die zu einer Änderungsanforderung gehörende LDIF-Datei wird vom IdM-Team gründlich geprüft Ein Skript automatisiert einen großen Teil der allgemeinen Datenerfassung Das IdM -Team stellt Änderungen in die Warteschlange für Implementierungstests Durch das Verfahren wird die ordnungsgemäße Installation der LDIF-Datei sichergestellt
Durchlaufen des Änderungsverfahrens Die Bereitstellung wird nach den Implementierungstests vom IdM-Team genehmigt oder abgelehnt Bei genehmigten Änderungen wird das CAB benachrichtigt, und es werden Funktionstests durchgeführt Das CAB ermittelt die Auswirkungen der Änderungen auf voneinander abhängige Systeme und Abteilungen
Durchlaufen des Änderungsverfahrens Pilotprojekte ermöglichen der anfordernden Gruppe, Funktionstests durchzuführen Nach Prüfungen und Tests ist die LDIF-Datei bereit zur Bereitstellung Durch ein Skript werden die gleichen Änderungen auf jede Gesamtstruktur angewendet Das IEng-Team stellt sicher, dass bei der Replikation des Schemas keine Probleme auftreten
Verringern von Risiken Risiko wird aus Auswirkungen und Wahrscheinlichkeit ermittelt Replikationsauswirkung: geringfügige Auswirkungen, mittleres Risiko
Verringern von Risiken Anwendungsausfall: mittlere Auswirkungen, mittleres Risiko Systemausfall: schwerwiegende Auswirkungen, geringes Risiko
Verringern von Risiken Hauptgründe für Probleme bei Schemaänderungen: mangelhaftes Design und mangelhafte Implementierung Das Änderungsverwaltungssystem verwaltet das Designrisiko durch: Dokumentationsverwaltung Designanalyse Etablieren von Standards Verantwortlichkeit von Drittanbietern
Verringern von Risiken Die Verfahren zum Verwalten des Implementierungsrisikos enthalten: Vorgangsskripts Implementierungstests Funktionstests Implementierungsstandards
Verringern von Risiken Schemaänderungen erfordern in einigen Fällen die Wiederherstellung der Domäne oder Gesamtstruktur Notfall-Wiederherstellungsverfahren beinhalten: Sichern und Wiederherstellen Offlinestellen des Schemamasters
Bewährte Methoden Standardisieren des Änderungsverwaltungsverfahrens Erweitern des Schemas getrennt von der Anwendungsinstallation Gründliches Testen vor der Implementierung Verstehen der Auswirkungen aller Schemaänderungen auf Active Directory
Bewährte Methoden Ausführen des Verfahrens durch ein Skript Automatisierung der Namen von Gesamtstrukturen Ordnungsgemäße Verwendung der Befehlszeilenoptionen Konsistenz der Gesamtstruktur Konsistenz des Verfahrens
Bewährte Methoden Vornehmen von lokalen Änderungen am Schemamaster Aufbewahren eines Verlaufs der Schemaänderungen Gemeinsames Testen von sequenziellen Schemaänderungen Entfernen alter Daten aus nicht mehr benötigten Schemaobjekten.
IdM-Standards Schemadesign Schemaeigentum Implementierung und Verwendung des Schemas Schemasicherheit Staging mit mehreren Gesamtstrukturen
Schlussbemerkung Schemaänderungsverfahren sollten strukturiert und konsistent sein Bei Microsoft verarbeitet eine Gruppe Schemaänderungen und setzt Standards durch Für Schemaänderungen ist eine aktive Verwaltung und Zusammenarbeit erforderlich Ein strukturierter Workflow ermöglicht pünktliche und optimale Ergebnisse
Weitere Informationen Weitere Informationen zu Bereitstellungen und bewährten Methoden des IT-Bereichs von Microsoft finden Sie auf default.aspx default.aspx Microsoft TechNet (in englischer Sprache) (in englischer Sprache) Microsoft Fallstudien-Ressourcen in englischer Sprache casestudies
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT. © 2005 Microsoft Corporation. Alle Rechte vorbehalten. Diese Präsentation dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESE ZUSAMMENFASSUNG JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT. Microsoft, Active Directory, MSN, SharePoint, Windows und Windows Server sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument aufgeführten Namen von tatsächlichen Unternehmen und Produkten können geschützte Marken ihrer jeweiligen Eigentümer sein.