Post on 05-Apr-2015
transcript
Strukturierte Active Directory-Schemaverwaltung bei Microsoft
Erstellen eines konsistenten, standardisierten Änderungsworkflows
Veröffentlicht: November 2005
Übersicht über die Lösung
Situation● Active Directory-Schemaänderungen finden häufig statt
Lösung● Verwaltungsverfahren für Schemaänderungen
Vorteile● Verringern der Risiken durch standardisierte
Schemaänderungen● Erreichen eines strukturierten Workflows● Erzwingen organisationsweiter Standards● Etablieren verlässlicher Erwartungen● Standardisieren der erforderlichen
Kommunikation
Produkte und Technologien
● Windows Server 2003● Active Directory● MIIS 2003 SP1● SharePoint 2003● Exchange Server 2003● Terminal Server
Einführung in Schemaänderungen
● Active Directory-Funktionen können erweitert werden
● Schemaänderungen müssen keine unvorhergesehenen Ergebnisse hervorrufen
● Durch das Schema werden Objekte und Attribute zum Speichern von Daten definiert
● Durch Objektdefinitionen werden Datentypen und Datensyntax gesteuert
Einführung in Schemaänderungen
● Nur autorisierte Benutzer können das Schema ändern
● Administratoren ändern das Schema nur aus bestimmten Gründen
● Das Erweitern des Schemas erfordert sorgfältige Planung und Tests
● Schemaänderungen können nicht rückgängig gemacht werden
Einführung in Schemaänderungen
● Zum Erweitern des Schemas ist ein Verwaltungsverfahren für Schemaänderungen erforderlich
● Das Verfahren sollte ausführliche Anweisungen für den gesamten Workflow enthalten
● Schemaänderungen finden bei Microsoft häufiger statt als in anderen Unternehmen
● Die Änderungsverwaltung des IT-Bereichs von Microsoft stützt sich auf umfassende Erfahrungen
Microsoft Active Directory-Umgebung
● Die Microsoft-Infrastruktur für Identitäts- und Zugriffsverwaltung bietet unentbehrliche Dienste
● Die Infrastruktur ist durch zentralisierte Verwaltung mehrerer Gesamtstrukturen geprägt
● Microsoft verfügt weltweit über 215 DCs● Der IT-Bereich von Microsoft hat die
Gesamtstrukturen für eine stündliche Replikation konfiguriert
Microsoft Active Directory-Umgebung
● Der IT-Bereich von Microsoft koordiniert weltweit alle Aktivitäten in Bezug auf das Ausführen und Verwalten von Microsoft-Informationssystemen
● Der IT-Bereich von Microsoft ist verantwortlich für die Umsetzung globaler Vorgänge sowie für die Bereitstellung von IT-Diensten für die gesamte Microsoft-Organisation
● Der IT-Bereich von Microsoft testet Microsoft-Software und stellt diese bereit
Microsoft Active Directory-Umgebung
● Das IdM-Team verwaltet die Identitätsverwaltungs-Infrastruktur von Microsoft, alle Benutzerkonten und Active Directory-Schemas
● Das IEng-Team verwaltet Hauptinfrastrukturserver (einschließlich der DCs) und die Datenreplikationstopologie
Microsoft Active Directory-Umgebung
● Softwareentwicklung ist der Grund für die meisten Schemaänderungen bei Microsoft
● Eine interne Website führt Administratoren durch das Schemaänderungsverfahren
● Ein Änderungsverwaltungssystem verwaltet Erweiterungen, Änderungen und Deaktivierungen
● Nicht verwendete Definitionen haben keine Auswirkung auf die Active Directory-Leistung
Architektur des Änderungsverwaltungssystems
● Microsoft verwendet MOF als Grundlage der Hauptverwaltungsprozesse
● Das Verwaltungssystem für Schemaänderungen besteht aus einem formalen Verfahren, einer internen Website und einem Dokument für die Änderungsverwaltung.
● Das IdM-Team überwacht jede Schemaänderung bei Microsoft
Architektur des Änderungsverwaltungssystems
● Um Beschränkungen für Schemaänderungen durchzusetzen, begrenzt der IT-Bereich von Microsoft die Mitgliedschaft in der Gruppe der Schemaadministratoren
● Für Schemaänderungen ist erforderlich:● IdM-Genehmigung● Verwendung des Verwaltungssystems für
Schemaänderungen● Vorherige Tests● Angemessene Dokumentation
Architektur des Änderungsverwaltungssystems
● Eine interne Website bietet eine Schnittstelle zwischen dem IdM-Team und Mitarbeitern, die Schemaänderungen anfordern
● Das IdM-Team empfängt und verarbeitet Anforderungen
● Für jede Schemaänderung werden vom IdM-Team Implementierungstests und Funktionstests gefordert
Architektur des Änderungsverwaltungssystems
● Das Änderungsverwaltungsverfahren bringt verschiedene Erwartungen in Einklang
● Klare Standards und Vorgehensweisen ermöglichen die gute Zusammenarbeit der drei Teams
● Die Anforderungen müssen von der anfordernden Person als vernünftig und erreichbar belegt werden
● Das IdM-Team übernimmt eine beratende Funktion
Architektur des Änderungsverwaltungssystems
● Die minimale Zeitspanne von der Anforderung bis zur Implementierung von Standardänderungen beträgt sieben Wochen
● Die Zeitvorgabe von sieben Wochen wird von verschiedenen Faktoren beeinflusst
● Das Schemaänderungsverfahren ist in fünf Phasen unterteilt
Durchlaufen des Änderungsverfahrens
Screen for Emergency
Send notice;receive approvals;expedite schedules
Deploymentapproved
Declinenotice sent
NotifyChangeAdvisory
Board
FunctionalTesting
Archive docs
yes
no
no
Schema request
formsubmitted
Schema review and
implementation testing
yes
Productiondeployments
Notify CAB (Change Advisory Board) and
identify using ITIL/MOF KCTL (known change type list) for SLA and
approver identity
Reviewed by CAB or Emergency CAB or
function area approver;approval recorded in
change notification tool
Pending change notification distributed by email, and tracked
by change number and service request number
Change completed
Concurrentchange control
processes
Durchlaufen des Änderungsverfahrens
● Ein Anforderer von Schemaänderungen stellt in der Regel eine Produktgruppe, Geschäftseinheit oder IT-Infrastrukturgruppe dar
● Schemaänderungen für Anwendungen von Drittanbietern sind schwieriger zu implementieren
● Anweisungen auf der IdM-Website legen Erwartungen fest
● Leiter von Geschäftseinheiten reichen Anforderungen für Notfallschemaänderungen ein
Durchlaufen des Änderungsverfahrens
● Ein Mitglied des IdM-Teams begleitet Änderungsanforderungen bis zum Abschluss
● Das IdM-Team fordert von der anfordernden Person sowohl eine geschäftliche als auch eine technische Begründung
● Das IdM-Team findet mitunter schwerwiegende Probleme im Anwendungsdesign
Durchlaufen des Änderungsverfahrens
● Die zu einer Änderungsanforderung gehörende LDIF-Datei wird vom IdM-Team gründlich geprüft
● Ein Skript automatisiert einen großen Teil der allgemeinen Datenerfassung
● Das IdM -Team stellt Änderungen in die Warteschlange für Implementierungstests
● Durch das Verfahren wird die ordnungsgemäße Installation der LDIF-Datei sichergestellt
Durchlaufen des Änderungsverfahrens
● Die Bereitstellung wird nach den Implementierungstests vom IdM-Team genehmigt oder abgelehnt
● Bei genehmigten Änderungen wird das CAB benachrichtigt, und es werden Funktionstests durchgeführt
● Das CAB ermittelt die Auswirkungen der Änderungen auf voneinander abhängige Systeme und Abteilungen
Durchlaufen des Änderungsverfahrens
● Pilotprojekte ermöglichen der anfordernden Gruppe, Funktionstests durchzuführen
● Nach Prüfungen und Tests ist die LDIF-Datei bereit zur Bereitstellung
● Durch ein Skript werden die gleichen Änderungen auf jede Gesamtstruktur angewendet
● Das IEng-Team stellt sicher, dass bei der Replikation des Schemas keine Probleme auftreten
Verringern von Risiken
● Risiko wird aus Auswirkungen und Wahrscheinlichkeit ermittelt
● Replikationsauswirkung: geringfügige Auswirkungen, mittleres Risiko
Verringern von Risiken
● Anwendungsausfall: mittlere Auswirkungen, mittleres Risiko
● Systemausfall: schwerwiegende Auswirkungen, geringes Risiko
Verringern von Risiken
● Hauptgründe für Probleme bei Schemaänderungen: mangelhaftes Design und mangelhafte Implementierung
● Das Änderungsverwaltungssystem verwaltet das Designrisiko durch:● Dokumentationsverwaltung● Designanalyse● Etablieren von Standards● Verantwortlichkeit von Drittanbietern
Verringern von Risiken
● Die Verfahren zum Verwalten des Implementierungsrisikos enthalten:● Vorgangsskripts● Implementierungstests● Funktionstests● Implementierungsstandards
Verringern von Risiken
● Schemaänderungen erfordern in einigen Fällen die Wiederherstellung der Domäne oder Gesamtstruktur
● Notfall-Wiederherstellungsverfahren beinhalten:● Sichern und Wiederherstellen● Offlinestellen des Schemamasters
Bewährte Methoden
● Standardisieren des Änderungsverwaltungsverfahrens
● Erweitern des Schemas getrennt von der Anwendungsinstallation
● Gründliches Testen vor der Implementierung
● Verstehen der Auswirkungen aller Schemaänderungen auf Active Directory
Bewährte Methoden
● Ausführen des Verfahrens durch ein Skript● Automatisierung der Namen von
Gesamtstrukturen● Ordnungsgemäße Verwendung der
Befehlszeilenoptionen● Konsistenz der Gesamtstruktur● Konsistenz des Verfahrens
Bewährte Methoden
● Vornehmen von lokalen Änderungen am Schemamaster
● Aufbewahren eines Verlaufs der Schemaänderungen
● Gemeinsames Testen von sequenziellen Schemaänderungen
● Entfernen alter Daten aus nicht mehr benötigten Schemaobjekten.
IdM-Standards
● Schemadesign● Schemaeigentum● Implementierung und Verwendung des
Schemas● Schemasicherheit● Staging mit mehreren Gesamtstrukturen
Schlussbemerkung
● Schemaänderungsverfahren sollten strukturiert und konsistent sein
● Bei Microsoft verarbeitet eine Gruppe Schemaänderungen und setzt Standards durch
● Für Schemaänderungen ist eine aktive Verwaltung und Zusammenarbeit erforderlich
● Ein strukturierter Workflow ermöglicht pünktliche und optimale Ergebnisse
Weitere Informationen
● Weitere Informationen zu Bereitstellungen und bewährten Methoden des IT-Bereichs von Microsoft finden Sie auf http://www.microsoft.com/germany/default.aspx● Microsoft TechNet
http://www.microsoft.com/technet/itshowcase (in englischer Sprache)
● Microsoft Fallstudien-Ressourcen in englischer Sprachehttp://www.microsoft.com/resources/casestudies
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.
© 2005 Microsoft Corporation. Alle Rechte vorbehalten. Diese Präsentation dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESE ZUSAMMENFASSUNG JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT. Microsoft, Active Directory, MSN, SharePoint, Windows und Windows Server sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Die in diesem Dokument aufgeführten Namen von tatsächlichen Unternehmen und Produkten können geschützte Marken ihrer jeweiligen Eigentümer sein.