Strukturierte Active Directory-Schemaverwaltung bei Microsoft

Erstellen eines konsistenten, standardisierten Änderungsworkflows

Veröffentlicht: November 2005

Übersicht über die Lösung

Situation● Active Directory-Schemaänderungen finden häufig statt

Lösung● Verwaltungsverfahren für Schemaänderungen

Vorteile● Verringern der Risiken durch standardisierte

Schemaänderungen● Erreichen eines strukturierten Workflows● Erzwingen organisationsweiter Standards● Etablieren verlässlicher Erwartungen● Standardisieren der erforderlichen

Kommunikation

Produkte und Technologien

● Windows Server 2003● Active Directory● MIIS 2003 SP1● SharePoint 2003● Exchange Server 2003● Terminal Server

Einführung in Schemaänderungen

● Active Directory-Funktionen können erweitert werden

● Schemaänderungen müssen keine unvorhergesehenen Ergebnisse hervorrufen

● Durch das Schema werden Objekte und Attribute zum Speichern von Daten definiert

● Durch Objektdefinitionen werden Datentypen und Datensyntax gesteuert

Einführung in Schemaänderungen

● Nur autorisierte Benutzer können das Schema ändern

● Administratoren ändern das Schema nur aus bestimmten Gründen

● Das Erweitern des Schemas erfordert sorgfältige Planung und Tests

● Schemaänderungen können nicht rückgängig gemacht werden

Einführung in Schemaänderungen

● Zum Erweitern des Schemas ist ein Verwaltungsverfahren für Schemaänderungen erforderlich

● Das Verfahren sollte ausführliche Anweisungen für den gesamten Workflow enthalten

● Schemaänderungen finden bei Microsoft häufiger statt als in anderen Unternehmen

● Die Änderungsverwaltung des IT-Bereichs von Microsoft stützt sich auf umfassende Erfahrungen

Microsoft Active Directory-Umgebung

● Die Microsoft-Infrastruktur für Identitäts- und Zugriffsverwaltung bietet unentbehrliche Dienste

● Die Infrastruktur ist durch zentralisierte Verwaltung mehrerer Gesamtstrukturen geprägt

● Microsoft verfügt weltweit über 215 DCs● Der IT-Bereich von Microsoft hat die

Gesamtstrukturen für eine stündliche Replikation konfiguriert

Microsoft Active Directory-Umgebung

● Der IT-Bereich von Microsoft koordiniert weltweit alle Aktivitäten in Bezug auf das Ausführen und Verwalten von Microsoft-Informationssystemen

● Der IT-Bereich von Microsoft ist verantwortlich für die Umsetzung globaler Vorgänge sowie für die Bereitstellung von IT-Diensten für die gesamte Microsoft-Organisation

● Der IT-Bereich von Microsoft testet Microsoft-Software und stellt diese bereit

Microsoft Active Directory-Umgebung

● Das IdM-Team verwaltet die Identitätsverwaltungs-Infrastruktur von Microsoft, alle Benutzerkonten und Active Directory-Schemas

● Das IEng-Team verwaltet Hauptinfrastrukturserver (einschließlich der DCs) und die Datenreplikationstopologie

Microsoft Active Directory-Umgebung

● Softwareentwicklung ist der Grund für die meisten Schemaänderungen bei Microsoft

● Eine interne Website führt Administratoren durch das Schemaänderungsverfahren

● Ein Änderungsverwaltungssystem verwaltet Erweiterungen, Änderungen und Deaktivierungen

● Nicht verwendete Definitionen haben keine Auswirkung auf die Active Directory-Leistung

Architektur des Änderungsverwaltungssystems

● Microsoft verwendet MOF als Grundlage der Hauptverwaltungsprozesse

● Das Verwaltungssystem für Schemaänderungen besteht aus einem formalen Verfahren, einer internen Website und einem Dokument für die Änderungsverwaltung.

● Das IdM-Team überwacht jede Schemaänderung bei Microsoft

Architektur des Änderungsverwaltungssystems

● Um Beschränkungen für Schemaänderungen durchzusetzen, begrenzt der IT-Bereich von Microsoft die Mitgliedschaft in der Gruppe der Schemaadministratoren

● Für Schemaänderungen ist erforderlich:● IdM-Genehmigung● Verwendung des Verwaltungssystems für

Schemaänderungen● Vorherige Tests● Angemessene Dokumentation

Architektur des Änderungsverwaltungssystems

● Eine interne Website bietet eine Schnittstelle zwischen dem IdM-Team und Mitarbeitern, die Schemaänderungen anfordern

● Das IdM-Team empfängt und verarbeitet Anforderungen

● Für jede Schemaänderung werden vom IdM-Team Implementierungstests und Funktionstests gefordert

Architektur des Änderungsverwaltungssystems

● Das Änderungsverwaltungsverfahren bringt verschiedene Erwartungen in Einklang

● Klare Standards und Vorgehensweisen ermöglichen die gute Zusammenarbeit der drei Teams

● Die Anforderungen müssen von der anfordernden Person als vernünftig und erreichbar belegt werden

● Das IdM-Team übernimmt eine beratende Funktion

Architektur des Änderungsverwaltungssystems

● Die minimale Zeitspanne von der Anforderung bis zur Implementierung von Standardänderungen beträgt sieben Wochen

● Die Zeitvorgabe von sieben Wochen wird von verschiedenen Faktoren beeinflusst

● Das Schemaänderungsverfahren ist in fünf Phasen unterteilt

Durchlaufen des Änderungsverfahrens

Screen for Emergency

Send notice;receive approvals;expedite schedules

Deploymentapproved

Declinenotice sent

NotifyChangeAdvisory

Board

FunctionalTesting

Archive docs

yes

no

no

Schema request

formsubmitted

Schema review and

implementation testing

yes

Productiondeployments

Notify CAB (Change Advisory Board) and

identify using ITIL/MOF KCTL (known change type list) for SLA and

approver identity

Reviewed by CAB or Emergency CAB or

function area approver;approval recorded in

change notification tool

Pending change notification distributed by email, and tracked

by change number and service request number

Change completed

Concurrentchange control

processes

Durchlaufen des Änderungsverfahrens

● Ein Anforderer von Schemaänderungen stellt in der Regel eine Produktgruppe, Geschäftseinheit oder IT-Infrastrukturgruppe dar

● Schemaänderungen für Anwendungen von Drittanbietern sind schwieriger zu implementieren

● Anweisungen auf der IdM-Website legen Erwartungen fest

● Leiter von Geschäftseinheiten reichen Anforderungen für Notfallschemaänderungen ein

Durchlaufen des Änderungsverfahrens

● Ein Mitglied des IdM-Teams begleitet Änderungsanforderungen bis zum Abschluss

● Das IdM-Team fordert von der anfordernden Person sowohl eine geschäftliche als auch eine technische Begründung

● Das IdM-Team findet mitunter schwerwiegende Probleme im Anwendungsdesign

Durchlaufen des Änderungsverfahrens

● Die zu einer Änderungsanforderung gehörende LDIF-Datei wird vom IdM-Team gründlich geprüft

● Ein Skript automatisiert einen großen Teil der allgemeinen Datenerfassung

● Das IdM -Team stellt Änderungen in die Warteschlange für Implementierungstests

● Durch das Verfahren wird die ordnungsgemäße Installation der LDIF-Datei sichergestellt

Durchlaufen des Änderungsverfahrens

● Die Bereitstellung wird nach den Implementierungstests vom IdM-Team genehmigt oder abgelehnt

● Bei genehmigten Änderungen wird das CAB benachrichtigt, und es werden Funktionstests durchgeführt

● Das CAB ermittelt die Auswirkungen der Änderungen auf voneinander abhängige Systeme und Abteilungen

Durchlaufen des Änderungsverfahrens

● Pilotprojekte ermöglichen der anfordernden Gruppe, Funktionstests durchzuführen

● Nach Prüfungen und Tests ist die LDIF-Datei bereit zur Bereitstellung

● Durch ein Skript werden die gleichen Änderungen auf jede Gesamtstruktur angewendet

● Das IEng-Team stellt sicher, dass bei der Replikation des Schemas keine Probleme auftreten

Verringern von Risiken

● Risiko wird aus Auswirkungen und Wahrscheinlichkeit ermittelt

● Replikationsauswirkung: geringfügige Auswirkungen, mittleres Risiko

Verringern von Risiken

● Anwendungsausfall: mittlere Auswirkungen, mittleres Risiko

● Systemausfall: schwerwiegende Auswirkungen, geringes Risiko

Verringern von Risiken

● Hauptgründe für Probleme bei Schemaänderungen: mangelhaftes Design und mangelhafte Implementierung

● Das Änderungsverwaltungssystem verwaltet das Designrisiko durch:● Dokumentationsverwaltung● Designanalyse● Etablieren von Standards● Verantwortlichkeit von Drittanbietern

Verringern von Risiken

● Die Verfahren zum Verwalten des Implementierungsrisikos enthalten:● Vorgangsskripts● Implementierungstests● Funktionstests● Implementierungsstandards

Verringern von Risiken

● Schemaänderungen erfordern in einigen Fällen die Wiederherstellung der Domäne oder Gesamtstruktur

● Notfall-Wiederherstellungsverfahren beinhalten:● Sichern und Wiederherstellen● Offlinestellen des Schemamasters

Bewährte Methoden

● Standardisieren des Änderungsverwaltungsverfahrens

● Erweitern des Schemas getrennt von der Anwendungsinstallation

● Gründliches Testen vor der Implementierung

● Verstehen der Auswirkungen aller Schemaänderungen auf Active Directory

Bewährte Methoden

● Ausführen des Verfahrens durch ein Skript● Automatisierung der Namen von

Gesamtstrukturen● Ordnungsgemäße Verwendung der

Befehlszeilenoptionen● Konsistenz der Gesamtstruktur● Konsistenz des Verfahrens

Bewährte Methoden

● Vornehmen von lokalen Änderungen am Schemamaster

● Aufbewahren eines Verlaufs der Schemaänderungen

● Gemeinsames Testen von sequenziellen Schemaänderungen

● Entfernen alter Daten aus nicht mehr benötigten Schemaobjekten.

IdM-Standards

● Schemadesign● Schemaeigentum● Implementierung und Verwendung des

Schemas● Schemasicherheit● Staging mit mehreren Gesamtstrukturen

Schlussbemerkung

● Schemaänderungsverfahren sollten strukturiert und konsistent sein

● Bei Microsoft verarbeitet eine Gruppe Schemaänderungen und setzt Standards durch

● Für Schemaänderungen ist eine aktive Verwaltung und Zusammenarbeit erforderlich

● Ein strukturierter Workflow ermöglicht pünktliche und optimale Ergebnisse

Weitere Informationen

● Weitere Informationen zu Bereitstellungen und bewährten Methoden des IT-Bereichs von Microsoft finden Sie auf http://www.microsoft.com/germany/default.aspx● Microsoft TechNet

http://www.microsoft.com/technet/itshowcase (in englischer Sprache)

● Microsoft Fallstudien-Ressourcen in englischer Sprachehttp://www.microsoft.com/resources/casestudies

Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.

© 2005 Microsoft Corporation. Alle Rechte vorbehalten. Diese Präsentation dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESE ZUSAMMENFASSUNG JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT. Microsoft, Active Directory, MSN, SharePoint, Windows und Windows Server sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument aufgeführten Namen von tatsächlichen Unternehmen und Produkten können geschützte Marken ihrer jeweiligen Eigentümer sein.