hogar › Ajustes › Extensión del esquema del directorio activo. Maestro de esquema: maestro de esquema de Active Directory. Obtención y uso de identificadores

Extensión del esquema del directorio activo. Maestro de esquema: maestro de esquema de Active Directory. Obtención y uso de identificadores

El Protocolo de oficina postal (POP) es un protocolo para entregar correo a un usuario desde el buzón de un servidor de correo POP. Muchos de los conceptos, principios y conceptos de POP se ven y funcionan de manera similar a SMTP. Los comandos POP son casi idénticos a los comandos SMTP y se diferencian en algunos detalles. La figura muestra el modelo cliente-servidor utilizando el protocolo POP. servidor pop ubicado entre el agente de usuario y los buzones de correo.

Actualmente, existen dos versiones del protocolo POP: POP2 y POP3, que tienen aproximadamente las mismas capacidades, pero son incompatibles entre sí. El hecho es que POP2 y POPZ diferentes numeros Puertos de protocolo. No hay conexión entre ellos, similar a la conexión entre SMTP y ESMTP. El protocolo POP3 no es una extensión o modificación de POP2; es un protocolo completamente diferente. POP2 se define en RFC 937 (Protocolo de oficina de correos, versión 2, Butler, et al, 1985) y POP3 se define en RFC 1225 (Protocolo de oficina de correos, versión 3, Rose, 1991). A continuación, consideraremos brevemente POP en general y POP3 con más detalle. POPZ está diseñado teniendo en cuenta las características específicas de la entrega de correo a computadoras personales y tiene operaciones adecuadas para ello.

Objeto del protocolo POPZ

Anteriormente, los mensajes de correo electrónico en la mayoría de las redes se enviaban directamente de una computadora a otra. Y si el usuario cambiaba con frecuencia de ordenador de trabajo o si un ordenador pertenecía a varios usuarios, surgían ciertos problemas. Hoy en día, es una práctica común entregar mensajes no a las computadoras de los usuarios, sino a buzones de correo especiales en el servidor de correo de la organización, que funciona las 24 horas (encendido).

Descripción del protocolo POPZ

El diseño del protocolo POP3 permite al usuario contactar con su servidor de correo y recuperar el correo que ha acumulado. El usuario puede acceder al servidor POP desde cualquier punto de acceso a Internet. En este caso, debe lanzar un especial. agente postal(UA), trabajando bajo el protocolo POP3, y configúrelo para que funcione con su servidor de correo. Entonces, a la cabeza del modelo POP hay un separado Computadora personal, trabajando exclusivamente como cliente del sistema de correo (servidor). También enfatizamos que los mensajes se entregan al cliente usando el protocolo POP, pero aún se envían usando Ayuda SMTP. Es decir, en la computadora del usuario hay dos interfaces de agente separadas para sistema postal- entrega (POP) y envío (SMTP). Los desarrolladores del protocolo POP3 llaman a esta situación "agentes divididos" (UA dividida). El concepto de agentes separados se analiza brevemente en la especificación POP3.

El protocolo POP3 especifica tres etapas en el proceso de recepción de correo: autorización, transacción y actualización. Una vez que el servidor POP3 y el cliente han establecido una conexión, comienza la etapa de autorización. En la etapa de autorización, el cliente se identifica ante el servidor. Si la autorización tiene éxito, el servidor abre el buzón del cliente y comienza la etapa de transacción. En él, el cliente solicita información del servidor (por ejemplo, una lista de mensajes de correo) o le pide que realice una determinada acción (por ejemplo, emitir un mensaje de correo). Finalmente, durante la fase de actualización, finaliza la sesión de comunicación. La Tabla 7 enumera los comandos del protocolo POP3 que se requieren para una implementación de configuración mínima que funcione en Internet.

Tabla 5. Comandos POP versión 3 (configuración mínima)

Equipo
Descripción

USUARIO Identifica al usuario con el nombre especificado.

APROBAR
Especifica la contraseña para el par cliente-servidor.
ABANDONAR
Cierra la conexión TCP

ESTADÍSTICA
El servidor devuelve el número de mensajes en buzón buzón de tamaño grande

LISTA
El servidor devuelve los ID de los mensajes junto con los tamaños de los mensajes (el parámetro del comando puede ser el ID del mensaje)

RETROCEDER
Recupera un mensaje de un buzón (requiere un argumento de ID de mensaje)

DELEÁTUR
Marca un mensaje para su eliminación (requiere argumento: identificador de mensaje)

NOOP
El servidor devuelve una respuesta positiva, pero no realiza ninguna acción.

ÚLTIMO
Devoluciones del servidor numero mas alto mensajes de aquellos a los que ya se ha accedido

RSET
Cancela la eliminación de un mensaje previamente marcado con un comando DELE.

El protocolo POP3 define varios comandos, pero solo se les dan dos respuestas: +OK (positivo, similar al mensaje de confirmación ACK) y -ERR (negativo, similar al mensaje NAK “no reconocido”). Ambas respuestas confirman que se ha contactado al servidor y que está respondiendo a los comandos. Como regla general, cada respuesta va seguida de una descripción verbal significativa de la misma. RFC 1225 proporciona ejemplos de varias sesiones POP3 típicas. Ahora veremos varios de ellos, que permitirán capturar la secuencia de comandos en el intercambio entre el servidor y el cliente.

Después de que el programa haya establecido una conexión TCP con el puerto del protocolo POP3 ( número oficial 110), debes enviar el comando USER con el nombre de usuario como parámetro. Si la respuesta del servidor es +OK, debes enviar el comando PASS con la contraseña de este usuario:

CLIENTE: USUARIO kcope
ERVER: +OK
CLIENTE: PASA secreto
SERVIDOR: +OK El maildrop de kcope tiene 2 mensajes (320 octetos)
(Hay 2 mensajes (320 bytes) en el buzón de kcope...)

Transacciones POPZ

El comando STAT devuelve la cantidad de mensajes y la cantidad de bytes en los mensajes:

CLIENTE: ESTADÍSTICA
SERVIDOR: +OK 2 320

El comando LIST (sin parámetro) devuelve una lista de mensajes en el buzón y sus tamaños:

LISTA DE CLIENTES
SERVIDOR: +OK 2 mensajes (320 octetos)
SERVIDOR: 1 120
SERVIDOR: 2,200
SERVIDOR: . ...

El comando LIST con un parámetro devuelve información sobre el mensaje especificado:

CLIENTE: LISTA 2
SERVIDOR: +OK 2200...
CLIENTE: LISTA 3
SERVIDOR: -ERR no existe tal mensaje, solo 2 mensajes en el buzón

El comando TOP devuelve el encabezado, una línea vacía y las primeras diez líneas del cuerpo del mensaje:

CLIENTE: TOP 10
SERVIDOR: +OK
SERVIDOR:
(El servidor POP envía encabezados de mensajes, una línea vacía y las primeras diez líneas del cuerpo del mensaje)
SERVIDOR: . ...
CLIENTE: TOP 100
SERVIDOR: -ERR no existe tal mensaje
El comando NOOP no devuelve ningún información útil, a excepción de una respuesta positiva del servidor. Sin embargo, una respuesta positiva significa que el servidor está conectado al cliente y está esperando solicitudes:

CLIENTE: NOOP
SERVIDOR: +OK

Los siguientes ejemplos muestran cómo el servidor POP3 realiza las acciones. Por ejemplo, el comando RETR recupera un mensaje con número especificado y lo coloca en el buffer UA local:

CLIENTE: RETR 1
SERVIDOR: +OK 120 octetos
SERVIDOR:
(El servidor POP3 envía el mensaje completo)
SERVIDOR: . . . . . .

El comando DELE marca el mensaje a eliminar:

CLIENTE: DELE 1
SERVIDOR: +OK mensaje 1 eliminado...
(publicación 1 eliminada)
CLIENTE: DELE 2
SERVIDOR: -ERR mensaje 2 ya eliminado
el mensaje 2 ya ha sido eliminado)
El comando RSET elimina las marcas de eliminación de todos los mensajes marcados previamente:

CLIENTE: RSET
SERVIDOR: +OK maildrop tiene 2 mensajes (320 octetos)
(hay 2 mensajes (320 bytes) en el buzón)

Como era de esperar, el comando QUIT cierra la conexión con el servidor:

CLIENTE: SALIR
SERVIDOR: +OK dewey servidor POP3 cerrando sesión
CLIENTE: SALIR
SERVIDOR: +OK dewey servidor POP3 cerrando sesión (correo vacío)
CLIENTE: SALIR
SERVIDOR: +OK dewey servidor POP3 cerrando sesión (quedan 2 mensajes)

Tenga en cuenta que los mensajes marcados para su eliminación en realidad no se eliminan hasta que se emite el comando QUIT y comienza la fase de actualización. En cualquier momento durante la sesión, el cliente tiene la capacidad de emitir el comando RSET y se restaurarán todos los mensajes marcados para su eliminación.

Como prometí, sigo publicando descripciones de varios protocolos de red. Dado que mi último post fue sobre el protocolo SMTP, es lógico continuar con el tema del correo electrónico.

Protocolo POP3 (Protocolo de oficina de correos - versión 3, tercera versión del protocolo oficina de correos) es el protocolo de recepción más común Correo electrónico desde el servidor de correo. IMAP también se utiliza para estos fines. IMAP proporciona más posibilidades que en POP3, pero POP3 es mucho más simple. A modo de comparación, POP3 se describe en RFC1939, que ocupa sólo 20 páginas, y RFC3501, que describe IMAP, consta de la friolera de 108 páginas. Esta publicación hablará sobre el protocolo POP3.

Como siempre, comencemos con el lanzamiento. utilidades telnet y un ejemplo en vivo:

telnet mail.nic.ru 110
Probando 194.85.88.226...
Conectado a mail.nic.ru.
El carácter de escape es "^]".
+OK Servidor POP3 listo<[correo electrónico protegido]>
UN ESTALLIDO [correo electrónico protegido]

Aquí nos conectamos al servidor pop3, que normalmente se ejecuta en el puerto 110, y pasamos por la autenticación (que no debe confundirse con la autorización). Si el saludo del servidor contiene una cadena similar a un correo electrónico entre paréntesis triangulares (marca de tiempo), entonces el servidor admite el comando APOP, que le permite transmitir la contraseña en forma cifrada (más precisamente, hash). En eso hash de ejemplo calculado de la siguiente manera:

eco -n "<[correo electrónico protegido]>qwerty" | md5

Es decir, la marca de tiempo se concatena con la contraseña y MD5 se calcula a partir del resultado. La ventaja de este método es que incluso cuando se utiliza conexión no segura un atacante no podrá interceptar la contraseña. Solo verá el hash, lo cual será completamente inútil ya que el servidor usa una marca de tiempo única para cada nueva conexión. Para descubrir la contraseña, es necesario descifrar el hash mediante fuerza bruta, lo cual es prácticamente inútil para contraseñas bastante seguras, que además cambian al menos una vez cada seis meses.

La desventaja de este método es que en el lado del servidor las contraseñas deben almacenarse en formulario abierto De lo contrario, ¿cómo comprobar la exactitud del hash pasado por el usuario? Si un atacante obtiene acceso a la base de datos, puede robar todas las contraseñas.

Por lo tanto, la mayoría de los servidores de correo (yo personalmente revisé pop3.mail.ru:110 y pop.gmail.com:995/ssl/) no admiten el comando APOP y debes autenticarte usando par estándar Contraseña de inicio de sesión.

USUARIO [correo electrónico protegido]
+OK por favor envía el PASS
PASA qwerty
+OK 5 mensajes (868540 bytes) (proxy)

Obviamente, es preferible utilizar este método junto con una conexión cifrada en lugar del comando APOP. Si la autenticación falla, recibiremos un mensaje como

Entonces, se pasó la autenticación, ahora puede ejecutar varios comandos. Comencemos con algunos comandos bastante inútiles:

AYUDA
+OK Comandos válidos: QUIT, NOOP, STAT, LIST, UIDL, DELE, RSET, RETR, ...
NOOP
+Está bien, genial
ÚLTIMO
+OK 5 fue visto por última vez

El comando AYUDA le permite obtener una lista de comandos admitidos por el servidor. En este ejemplo, los comandos UIDL, XTND y XMIT son extensiones del protocolo POP3 y no es necesario que el servidor los admita. El comando UIDL le permite obtener identificadores únicos mensajes (consulte la descripción del comando LIST a continuación):

UIDL
+OK 6 mensajes
1 3876
2 3877
3 3878
4 3879
5 3880
6 3881
.
UIDL 2
+OK 2 3877

No sé por qué se necesitan XTND y XMIT y me da pereza entenderlo :) Los interesados pueden buscar la respuesta en Google.

El comando NOOP significa "no hacer nada". El único uso que se me ocurre es ejecutar un comando una vez cada 15 segundos para que el servidor sepa que el cliente no está colgado.

El último comando está en desuso y no debe utilizarse. Alguna vez se creyó que un cliente de correo electrónico debía recibir los mensajes uno por uno. El comando LAST se utilizó para averiguar la identificación del último mensaje recibido. Actualmente, algunos servidores lo admiten únicamente por compatibilidad con versiones anteriores. clientes de correo.

Ahora pasemos a comandos más útiles:

ESTADÍSTICA
+OK 5 868540
LISTA
+OK 5 mensajes
1 275368
2 11196
3 153304
4 275367
5 153305
.
LISTA 2
+OK 2 11196
TOP 2 0
Sigue el mensaje +OK
Vía de retorno:
X-en la lista negra-por: cbl.abuseat.org
De: "=?koi8-r?B?48XO1NIg7cnH0sHDyck=?="
A: [correo electrónico protegido]
Asunto: =?koi8-r?B?SGVsbG8=?=
Fecha: jueves 17 de diciembre de 2009 18:18:12 +0300
Versión MIME: 1.0
Tipo de contenido: multiparte/relacionado;
tipo="multiparte/alternativa";
límite="----=_NextPart_000_003C_01CA7F45.01CA7F45"
Prioridad X: 3
Prioridad de correo X-MS: Normal
Correo X: Microsoft Outlook Express 6.00.3790.3959
X-MimeOLE: Producido por Microsoft MimeOLE V6.00.3790.4325
SPF recibido: ninguno
Clasificación de spam X: 83,69

.
BORRAR 2
+OK marcado eliminado

El comando STAT le permite determinar la cantidad de mensajes en un buzón (5) y su tamaño total (868,540 bytes).

El comando LIST nos muestra una lista de ID de mensajes y su tamaño en bytes. La lista termina con un punto. Puede pasar la identificación del mensaje como argumento para este comando, luego, en respuesta, recibiremos solo el tamaño de este mensaje.

El comando TOP le permite obtener el encabezado del mensaje (el primer argumento del comando es la identificación del mensaje) y las primeras N líneas del cuerpo del mensaje (el segundo argumento del comando). En este ejemplo especifiqué N=0 porque solo quería ver el encabezado del mensaje. También podrías especificar un argumento. La respuesta del servidor también termina con un punto. Los clientes de correo electrónico suelen utilizar el comando TOP para determinar el remitente y el asunto de un mensaje sin tener que descargar el mensaje completo. Esto ahorra tiempo y tráfico de usuarios.

Obviamente, aquí estamos tratando con spam (consulte el correo electrónico del remitente, X-Blacklisted-By y X-Spam-Rating), por lo que puede eliminar el mensaje de forma segura sin siquiera descargarlo por completo. Para hacer esto, use el comando SUPR. El mensaje se marcará para su eliminación, pero solo se borrará después de que cerremos la conexión.

Puedes cancelar la eliminación de todos los mensajes que hemos marcado con el comando RSET. Puede obtener el mensaje completo usando el comando RETROCEDER . Al igual que con TOP, el final del mensaje se indica con un punto. No daré ejemplos de estos comandos, ya que aquí todo es bastante obvio.

Cuando hayas terminado, puedes despedirte del servidor y cerrar la conexión:

ABANDONAR
+Aceptar CommuniGate Pro POP3 Conexión del servidor cerrado

Probablemente eso es todo lo que quería contarles sobre el protocolo POP3. Espero que esta descripción te sea útil. Si tienes dudas o encuentras algún error en el texto, escribe en los comentarios, no lo dudes.

Protocolo de oficina postal (POP): protocolo para entregar correo a un usuario desde un buzón servidor de correo pop. Muchos de los conceptos, principios y conceptos de POP se ven y funcionan de manera similar a SMTP. Los comandos POP son casi idénticos a los comandos SMTP y se diferencian en algunos detalles. La Figura 7 muestra el modelo cliente-servidor utilizando el protocolo POP. El servidor POP se encuentra entre el agente de usuario y los buzones de correo.

Actualmente, existen dos versiones del protocolo POP: POP2 y POP3, que tienen aproximadamente las mismas capacidades, pero son incompatibles entre sí. El hecho es que POP2 y POP3 tienen números de puerto de protocolo diferentes. No hay conexión entre ellos, similar a la conexión entre SMTP y ESMTP. El protocolo POP3 no es una extensión o modificación de POP2; es un protocolo completamente diferente. POP2 se define en RFC 937 (Protocolo de oficina de correos, versión 2, Butler, et al, 1985) y POP3 se define en RFC 1225 (Protocolo de oficina de correos, versión 3, Rose, 1991). A continuación, consideraremos brevemente POP en general y POP3 con más detalle. POPZ está diseñado teniendo en cuenta las características específicas de la entrega de correo a computadoras personales y tiene operaciones adecuadas para ello.

Objeto del protocolo POPZ

Anteriormente, los mensajes de correo electrónico en la mayoría de las redes se enviaban directamente de una computadora a otra. Y si el usuario cambiaba con frecuencia de ordenador de trabajo o si un ordenador pertenecía a varios usuarios, surgían ciertos problemas. Hoy en día, es una práctica común entregar mensajes no a las computadoras de los usuarios, sino a buzones de correo especiales. servidor de correo organización que trabaja las 24 horas (encendido).

Descripción del protocolo POPZ

El diseño del protocolo POP3 permite al usuario contactar con su servidor de correo y recuperar el correo que ha acumulado. El usuario puede acceder al servidor POP desde cualquier punto de acceso a Internet. Al mismo tiempo, debe iniciar un agente de correo especial (UA), que funciona utilizando el protocolo POP3, y configurarlo para que funcione con su servidor de correo. Entonces, a la cabeza del modelo POP hay una computadora personal separada que funciona exclusivamente como cliente del sistema de correo (servidor). También enfatizamos que los mensajes se entregan al cliente mediante el protocolo POP, pero aún se envían mediante SMTP. Es decir, en la computadora del usuario hay dos interfaces de agente separadas para el sistema de correo: entrega (POP) y envío (SMTP). Los desarrolladores del protocolo POPZ llaman a esta situación "agentes separados"(dividido UA). El concepto de agentes separados se analiza brevemente en la especificación POP3.

Tabla 5. Comandos POP Versión 3 (Configuración mínima)

	Descripción
USUARIO	Identifica un usuario con el nombre especificado.
	Especifica la contraseña para el par cliente-servidor.
	Cierra la conexión TCP
	El servidor devuelve la cantidad de mensajes en el buzón más el tamaño del buzón.
	El servidor devuelve los ID de los mensajes junto con los tamaños de los mensajes (el parámetro del comando puede ser el ID del mensaje)
	Recupera un mensaje de un buzón (requiere un argumento de ID de mensaje)
	Marca un mensaje para su eliminación (requiere argumento: identificador de mensaje)
	El servidor devuelve una respuesta positiva, pero no realiza ninguna acción.
	El servidor devuelve el número de mensaje más alto de los accedidos anteriormente.
	Cancela la eliminación de un mensaje previamente marcado con un comando DELE.

Autorización de usuario

Una vez que el programa ha establecido una conexión TCP al puerto del protocolo POP3 (número oficial 110), es necesario enviar el comando USUARIO con el nombre de usuario como parámetro. Si la respuesta del servidor es +OK, debe enviar el comando APROBAR con la contraseña de este usuario:

CLIENTE: USUARIO kcope ERVER: +OK CLIENTE: PASS secret SERVIDOR: +OK El maildrop de kcope tiene 2 mensajes (320 octetos) (Hay 2 mensajes (320 bytes) en el buzón de kcope ...)

Transacciones POPZ

Equipo ESTADÍSTICA devuelve el número de mensajes y el número de bytes en los mensajes:

CLIENTE: ESTADÍSTICA
SERVIDOR: +OK 2 320

Equipo LISTA(sin parámetro) devuelve una lista de mensajes en el buzón y sus tamaños:

CLIENTE: LISTA SERVIDOR: +OK 2 mensajes (320 octetos) SERVIDOR: 1.120 SERVIDOR: 2.200 SERVIDOR: . ...

Equipo LISTA con un parámetro devuelve información sobre el mensaje especificado:

CLIENTE: LISTA 2 SERVIDOR: +OK 2 200... CLIENTE: LISTA 3 SERVIDOR: -ERR no existe tal mensaje, solo 2 mensajes en maildrop

Equipo ARRIBA devuelve el encabezado, una cadena vacía y las primeras diez líneas del cuerpo del mensaje:

Equipo NOOP no devuelve ninguna información útil, excepto una respuesta positiva del servidor. Sin embargo, una respuesta positiva significa que el servidor está conectado al cliente y está esperando solicitudes:

CLIENTE: NOOP
SERVIDOR: +OK

Los siguientes ejemplos muestran cómo el servidor POP3 realiza las acciones. Por ejemplo, el comando RETROCEDER recupera el mensaje con el número especificado y lo coloca en el buffer UA local:

CLIENTE: RETR 1 SERVIDOR: +OK 120 octetos SERVIDOR: (El servidor POP3 envía el mensaje completo) SERVIDOR: . . . . . .

Equipo DELEÁTUR marca el mensaje a eliminar:

SERVIDOR: +OK mensaje 1 eliminado... (mensaje 1 eliminado) CLIENTE: BORRAR 2 SERVIDOR: -ERR mensaje 2 ya eliminado mensaje 2 ya eliminado)

Equipo RSET elimina las marcas de eliminación de todos los mensajes marcados previamente:

CLIENTE: RSET
SERVIDOR: +OK maildrop tiene 2 mensajes (320 octetos)
(hay 2 mensajes (320 bytes) en el buzón)

Como era de esperar, el equipo ABANDONAR cierra la conexión al servidor:

CLIENTE: SALIR DEL SERVIDOR: +OK dewey para cerrar la sesión del servidor POP3 CLIENTE: SALIR DEL SERVIDOR: +OK para dewey cerrar la sesión del servidor POP3 (correo vacío) CLIENTE: SALIR DEL SERVIDOR: +OK para dewey cerrar la sesión del servidor POP3 (quedan 2 mensajes)

Tenga en cuenta que los mensajes marcados para su eliminación no se eliminan realmente hasta que se emite el comando ABANDONAR y la etapa de actualización no ha comenzado. En cualquier momento durante la sesión, el cliente tiene la oportunidad de emitir un comando RSET y se restaurarán todos los mensajes marcados para eliminación.

El rol de maestro de esquemas de FSMO es uno de los dos roles que operan a nivel de bosque. Directorio Activo. Es decir, debe haber un solo maestro de esquema en todo el bosque de AD.

El artículo principal sobre Active Directory es. Lea también otros artículos sobre las funciones de los maestros de operaciones.

Si te interesa el tema Servidor de windows, Recomiendo pasar a la sección de mi blog.

Maestro de esquema: maestro de esquema de Active Directory

¿Sabía que si el esquema AD se daña, tendrá que restaurar todos los CD de todo el bosque? Pero esto es realmente cierto, por lo que hay que tener mucho cuidado a la hora de realizar cambios en el circuito. Mientras tanto, un poco de teoría.

Teoría

Dado que el maestro de esquema es una función a nivel de bosque, siempre existe en cualquier bosque de AD determinado. en una sola copia. En otras palabras, solo hay un controlador de dominio que tiene derecho a realizar cambios/actualizaciones en el esquema; sin embargo, hay una réplica del esquema en cada controlador de dominio y, si es necesario, cualquier DC puede asumir la función por la fuerza. , pero hablaremos de eso más adelante. En la práctica, los cambios de esquema ocurren muy raramente, por ejemplo, al instalar Exchange Server u otras aplicaciones que almacenan algunos de sus datos (por ejemplo, objetos de configuración) en AD.

Aún ¿Qué es el esquema AD?? Se trata principalmente de un conjunto de objetos y sus atributos que se utilizan para almacenar datos. Esta definición explica algo a algunas personas; intentaré explicarla con más detalle usando un ejemplo. ¿Qué es un objeto? Por ejemplo, los objetos son cuentas de usuario o de computadora. EN en este caso en el esquema AD hay una clase usuario, que define todos los atributos del objeto de cuenta de usuario:

Cada Cuenta un usuario en el dominio tendrá todos estos atributos. Pero es posible que no se especifiquen los valores de los atributos. Puedes comprobar qué atributos y sus valores tiene mi cuenta de administrador de dominio recién creada. Para hacer esto, debes ir a la consola. adsiedit.msc y abra el contexto de nomenclatura predeterminado. En la jerarquía encontramos el objeto de usuario y abrimos sus propiedades:

Puedes ver que el objeto tiene todos los atributos que están definidos en la clase. usuario. Si decides ver por ti mismo lo que dije y la información es diferente para ti, presta atención al botón Filtrar, quizás no se muestren todos los atributos. Por ejemplo, puede asegurarse de que solo se muestren los atributos que tengan valores. Administrar objetos mediante adsiedit.msc No es la mejor idea, hazlo a través del equipo adecuado.

Para divertirse, puede consultar los atributos del objeto del servidor de Exchange 2013, porque Exchange introduce muchas clases nuevas en el esquema:

En la mayoría de los casos, se evitan las preguntas sobre el maestro de esquema y todo lo que necesita saber es que esta función es responsable de realizar cambios en el esquema de AD. Sin embargo, el esquema se creó originalmente de tal manera que cualquiera pudiera realizar cambios en él. Eso es empresas de terceros pueden diseñar sus aplicaciones de tal manera que almacenen sus datos en AD. Para hacer esto en fuentes oficiales Hay muchas guías voluminosas, algunas de ellas también están disponibles en ruso.

Mejores practicas

El esquema AD es de fundamental importancia para la salud de Active Directory y, por lo tanto, requiere una administración adecuada, aunque en la mayoría de los casos simplemente se olvida. A continuación se formulan mejores practicas administración del esquema.

1) Antes de cambiar el esquema, siempre hacer respaldo . Antes del proceso de cambio de esquema, puede desactivar todos los controladores de dominio, por supuesto, excepto uno, que es el propietario de esta función. Después de esto, haga una copia de seguridad del controlador de dominio, realice todos los cambios necesarios y, si todo salió bien, simplemente encienda los DC previamente deshabilitados. Si algo sale mal, simplemente levante el único controlador que funciona en ese momento Copia de respaldo, enciende el resto e investiga más a fondo el problema;

A nivel de bosque, las funciones de maestro de esquema y maestro de nombres de dominio deben estar ubicadas en el mismo controlador de dominio (rara vez se usan y deben controlarse estrictamente). Además, un controlador al que se le asigna la función de maestro de nombres de dominio también debe ser un servidor de catálogo global. De lo contrario, algunas operaciones que utilizan el maestro de nombres de dominio (como la creación de dominios secundarios) pueden fallar.

Por lo tanto, un controlador de dominio que admita la función de maestro de esquema también debe ser responsable de la función de maestro de nombres de dominio y ser un catálogo global.

3) Si por alguna razón ha perdido el servidor host del esquema, entonces en cualquier otro controlador de dominio puede tomar esta función por la fuerza, pero recuerde que después de esto el original el propietario del esquema no debe aparecer en la red.

4) A menos que sea absolutamente necesario no realizar cambios de esquema manualmente. Si aún necesita hacer esto de todos modos, consulte el punto 1.

Pasamos suavemente de la teoría a la práctica.

Administración de esquemas

En primer lugar, vale la pena decir que para administrar el esquema es necesario tener al menos los derechos Administrador de esquemas. Todos los demás usuarios autorizados tienen derechos de sólo lectura, aunque en principio los permisos se pueden cambiar. La mayoría de las tareas de administración se realizan en el complemento Administración de esquemas de Active Directory, que no está disponible de forma predeterminada y requiere que registre la biblioteca para habilitarlo. schmmgmt.dll. Para hacer esto, inicie un símbolo del sistema con derechos de administrador y ejecute:

Visual Básico

regsvr32 schmmgmt.dll

regsvr32 schmmgmt. dll

Recibimos una notificación:

Después de eso en la consola. MMC puedes encontrar el equipo Esquema de Directorio Activo. Debe ejecutar el comando en cada controlador de dominio en el que planea administrar el esquema.

Supongamos que tiene dos controladores de dominio y desea transferir la función de maestro de esquema de DC01 a DC02:

Abra el equipo en DC01, botón derecho del ratón haga clic en Esquema de Directorio Activo y elige Cambiar controlador dominio activo Directorio;
A continuación, seleccionamos el controlador de dominio al que queremos transferir el rol (para mí es DC02, por defecto siempre está seleccionado el servidor que posee el rol). Confirmamos la advertencia;
Haga clic derecho en nuevamente esquema de directorio activo, pero ya estamos eligiendo El dueño de las operaciones...;
Haga clic en el botón Cambiar.

Después de esto, deberá confirmar su elección y recibir una notificación sobre la transferencia exitosa del rol.

Esto completa la revisión del propietario del esquema de rol fsmo; quizás en un futuro próximo complementaré el artículo con instrucciones sobre cómo forzar que otros controladores de dominio asuman el rol.

Es difícil subestimar la importancia del "esquema de Active Directory" para las redes creadas sobre la base de un entorno de dominio de Active Directory. Esta es la base de la tecnología AD y es muy importante comprender correctamente los principios de su funcionamiento. Mayoría administradores de sistemas No prestan la debida atención al esquema debido a que rara vez tienen que lidiar con él. En este artículo te contaré qué es una versión de circuito, por qué necesitamos saberla y, lo más importante, cómo visualizarla. versión actual. En primer lugar, unas palabras sobre el esquema en sí; cada objeto creado en Active Directory, ya sea un usuario o una computadora, tiene ciertos parámetros llamados atributos. lo mas ejemplo sencillo puede servir como atributo "Apellido" del objeto de usuario. El esquema define qué objetos podemos crear en Active Directory y qué atributos tendrán.

Active Directory permite el uso dentro de una organización de varios controladores de dominio creados sobre la base diferentes versiones Sistema operativo Windows. Es decir, en Basado en Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008. Dado que estas versiones se lanzaron en diferentes años y cada una una nueva version lleva más funcionalidad que el anterior, cada uno tiene una comprensión del circuito Sistema operativo tuyo. Por lo tanto, cuando agrega un nuevo controlador basado en Windows Server 2008 a una organización donde controladores existentes construido en Windows Server 2003, tenías que ejecutar el " preparación" Así, has actualizado el diagrama de tu organización al nivel con el que trabaja. Servidor Windows 2008.

El proceso de actualización del esquema se realizó antes de la primera instalación. controlador de windows Es posible que Server 2008 y el procedimiento real para instalar un nuevo controlador no se hayan realizado. Si recién está comenzando a trabajar con una organización de Active Directory y no sabe qué actividades se llevaron a cabo antes de su llegada, para comprender la integridad de la estructura, necesitará saber en qué nivel opera el esquema de la organización actual.

Posibles versiones del circuito:

13 – Servidor Windows 2000
30 – Windows Server 2003 RTM, Windows 2003 con Paquete de servicio 1, Windows 2003 con Service Pack 2
31 – Servidor de Windows 2003 R2
44 – Servidor Windows 2008 RTM

Incluso si todos los controladores de su organización ejecutan Windows Server 2003 R2 y la versión del esquema muestra "44", no debería sorprenderse, esto indica que el esquema ya se actualizó a nivel de ventanas Server 2008 RTM, pero por alguna razón no instalaron el controlador.

Hay varias formas de ver la versión del esquema. El método más sencillo es utilizar la utilidad DSQuery. Para hacer esto en línea de comando debes ingresar el comando con los siguientes parámetros:

“dsquery * cn=esquema,cn=configuración,dc=nombre de dominio,dc=local -scope base -attr objectVersion”

Naturalmente en la parte “ corriente continua= nombre de dominio corriente continua= local" debe sustituir su propio nombre de dominio. (Ejemplo: corriente continua= Microsoft, corriente continua= com )

El resultado de ingresar el comando es obtener el atributo " Versión del objeto", que será el número de versión del esquema:

Arroz. 1 Obtención de la versión del esquema a través de la utilidad DSQuery.

El segundo método es más largo e implica el uso del “ ADSI. msc» . Para ver la versión del esquema, deberá conectarse a la partición del esquema de Active Directory.

"CN=Esquema,CN=Configuración,DC=dominio,DC=local"

Y encuentre el valor del atributo " versión del objeto".

Figura 2 Obtener la versión del esquema a través del complemento " ADSI. msc».

Conociendo la versión del esquema, siempre se puede decir con seguridad si es necesario actualizar el esquema y, si es necesario, a qué nivel.

Cabe señalar que se pueden realizar actualizaciones de esquema. software estrechamente integrado con Active Directory. El más brillante ejemplo de microsoft Servidor de intercambio. Y, a menudo, en una organización que planea implementar Exchange Server, es necesario averiguar si el esquema ha sido preparado. Y si es así, ¿qué versión de Exchange Server? En este momento Hay tres versiones de Exchange que funcionan con Active Directory, pero hay seis opciones para modificar el esquema.

Para entender si hubo una alteración.
El esquema de Active Directory del servidor Exchange se puede encontrar utilizando el atributo " rangoSuperior", que toma lo siguiente valores:

4397 – Servidor Exchange 2000 RTM
4406 – Exchange Server 2000 con Service Pack 3
6870 – Servidor Exchange 2003 RTM
6936 – Servidor Exchange 2003 con Service Pack 3
10628 – Servidor Exchange 2007
11116 – Exchange 2007 con Service Pack 1

Como puede ver, la actualización del esquema también ocurre al instalar el conjunto de actualizaciones SP3 para Exchange Server 2000/2003 y SP1 para Exchange 2007.

Ver valor del atributo " rangoSuperior" Puede utilizar la utilidad DSQuery:

"dsquery * CN=ms-Exch-Schema-Version-Pt, cn=esquema, cn=configuración, dc=nombre de dominio, dc=local -scope base -attr rangeUpper"

Arroz. 3 Obteniendo el atributo " rangoSuperior" a través de la utilidad DSQuery.

Si luego de ingresar este comando se devuelve una respuesta indicando la ausencia del atributo " rangoSuperior" podemos concluir que el esquema no ha sido cambiado.

El proceso de actualización del esquema es muy punto importante para cada Organizaciones activas Directorio, por lo que debes evitar acciones innecesarias e injustificadas. Comprender la esencia de los atributos " versión del objeto" Y« rangoSuperior" le da al especialista una ventaja cuando trabaja con Active Directory en una organización desconocida, y también es herramienta auxiliar al resolver problemas.

Popular en la categoría: