1.3K
El esquema de Active Directory (AD) es un modelo o marco que define la estructura de los objetos (como usuarios, equipos, grupos y otros recursos) almacenados en un dominio de Active Directory. Define los atributos, clases y relaciones entre los objetos dentro del directorio.
El esquema contiene las definiciones de todos los objetos que se pueden crear en un entorno de AD, incluidas sus propiedades y atributos. También determina los tipos de objetos que se pueden agregar al directorio y sus relaciones con otros objetos.
El esquema es un componente esencial de la infraestructura de AD y garantiza la coherencia y la integridad de los datos almacenados en el directorio. Cualquier cambio en el esquema debe planificarse y probarse cuidadosamente para evitar interrumpir el funcionamiento del directorio.
Actualización del esquema de Active Directory: descripción general
Normalmente, el esquema de AD se amplía/actualiza por varios motivos. El más común es implementar una aplicación que requiere una extensión del esquema (para productos como Microsoft Exchange, Lync/Skype for Business y SCCM) o implementar un controlador de dominio adicional con una nueva versión de Windows Server.
Actualización del esquema de Active Directory solía ser una tarea desalentadora para administradores. ¿Por qué no? Si algo sale mal, no hay un botón de deshacer para revertir los cambios tan rápido. Pero eso es cosa del pasado.
Desde el lanzamiento de Windows Server 2012, la actualización del esquema se ha integrado en la implementación de la función de Servicios de dominio de Active Directory. En esencia, aquí está el proceso de alto nivel.
- Instale una versión más reciente de Windows Server en una máquina separada.
- Une el nuevo servidor al dominio.
- Implemente el rol de Servicios de dominio de Active Directory en el nuevo servidor.
Pero eso no significa que no pueda actualizar el esquema de Active Directory usando el /adprep y /forestprep interruptores de antemano. Todavía puede, especialmente si planea instalar el nuevo Windows Server más tarde.
Comprobación de la versión del esquema de Active Directory
Antes de actualizar el esquema, cualquier administrador que se precie confirmaría y documentaría la versión actual del esquema. Esta práctica debería ser la norma. Y afortunadamente, existe una forma rápida de comprobar la versión del esquema de Active Directory mediante PowerShell.
(Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion).objectVersion
Cuando ejecute el comando anterior en PowerShell, obtendrá un resultado similar al siguiente.
Según el resultado, la versión del esquema de AD es 87que es la versión en Servidor Windows 2016 en base a la siguiente tabla.
Fuente: Atributo «ObjectVersion» al sistema operativo
| Versión | Sistema operativo | Nota |
| 13 | Servidor Windows 2000 | |
| 30 | Windows Server 2003 RTM, Windows 2003 Service Pack 1, Windows 2003 Service Pack 2 | |
| 31 | Windows Server 2003 R2 | |
| 44 | Windows Server 2008 RTM | |
| 47 | Windows Server 2008 R2 | |
| 56 | Servidor Windows 2012 | |
| 69 | Servidor Windows 2012 R2 | |
| 87 | Servidor Windows 2016 | |
| 88 | Servidor Windows 2019 | Solo se agregó un atributo a Windows 2019: msDS-preferredDataLocation |
| 88 | Servidor Windows 2022 | Sin cambios de esquema desde Windows 2019. |
Pero en lugar de comparar manualmente la versión con la tabla anterior, puede ejecutar el siguiente script.
# Get-AdSchemaVersion.ps1
$versionTable = @{
13 = 'Windows 2000 Server'
30 = "Windows Server 2003 RTM, Windows 2003 Service Pack 1, Windows 2003 Service Pack 2"
31 = 'Windows Server 2003 R2'
44 = 'Windows Server 2008 RTM'
47 = 'Windows Server 2008 R2'
56 = 'Windows Server 2012'
69 = 'Windows Server 2012 R2'
87 = 'Windows Server 2016'
88 = 'Windows Server 2019, Windows Server 2022'
}
$schemaVersion = (Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion).objectVersion
New-Object psobject -Property @{
Version = $schemaVersion
OS = $versionTable[$schemaVersion]
}
Guardar el guión como Get-AdSchemaVersion.ps1 y ejecútelo en PowerShell.
Actualización del esquema de Active Directory (manual con ADPREP)
Como se mencionó anteriormente en esta publicación, la implementación manual del rol ADDS en otro servidor de Windows también se encargará de la actualización del esquema AD. Entonces, ¿por qué querrías actualizar el esquema manualmente?
Un escenario es cuando se realiza una actualización en el lugar del sistema operativo, como actualizar Windows Server 2016 a Windows Server 2019. En este escenario, recibirá el siguiente mensaje.
Importante. Active Directory en este controlador de dominio no contiene actualizaciones de Windows Server 2019 ADPREP/FORESTPREP.
En este caso, debe realizar la actualización del esquema de AD por separado ejecutando el siguiente comando.
.adprep.exe /forestprep
Nota. El comando ADPREP.EXE se encuentra en los medios de instalación de Windows Server bajo el
Pista. El ADPREP/FORESTPREP solo puede ser ejecutado por un miembro de todos estos grupos: Administradores de empresas, Administradores de esquemay Administradores de dominio. Además, este comando solo se puede ejecutar en el servidor que tiene la función FSMO de maestro de esquema.
De la misma manera, ejecute el siguiente comando para preparar el dominio.
.adprep.exe /adprep
Una vez finalizada la actualización del esquema de Active Directory, puede volver a ejecutar la actualización en el lugar.
Actualización del esquema de Active Directory (automática con implementación de DC)
La actualización del esquema ahora forma parte de la implementación del rol ADDS. En este ejemplo, Windows Server 2019 se une al dominio, donde el controlador de dominio se ejecuta en Windows Server 2016.
Instala el Servicio de dominio de Active Directory rol en el nuevo servidor como de costumbre.
Una vez que ADDS esté instalado, haga clic en el botón Promover este servidor a un controlador de dominio enlace.
A continuación, elija el Agregar un controlador de dominio a un dominio existente opción y haga clic Próximo.
Introduzca la contraseña de DSRM y haga clic en Próximo.
Hacer clic Próximo hasta llegar a la Opciones de preparación página. Como puede ver, el asistente dice que necesita realizar el Preparación de bosque y esquema y preparación de dominio pasos. Hacer clic Próximo.
Hacer clic Próximo sobre el Opciones de revisión página.
Una vez el Comprobación de requisitos previos pasado, haga clic Instalar.
Después de la promoción de DC, el servidor se reinicia. A continuación, ejecute el siguiente comando para confirmar que el nuevo controlador de dominio está visible.
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem
Y confirme que la versión del esquema de Active Directory está actualizada a la versión de Windows Server 2019.
Tareas de actualización posterior al esquema
Después de actualizar el esquema mediante la implementación del controlador de dominio más nuevo, debe realizar los siguientes pasos si planea degradar el controlador de dominio anterior.
- Transfiera la función FSMO al nuevo controlador de dominio.
- Degrade el antiguo controlador de dominio ejecutando el siguiente comando:
Uninstall-ADDSDomainController
- Elevar los niveles Funcional de Bosque y Dominio.
- Ejecute el siguiente comando para confirmar que el antiguo controlador de dominio ha sido degradado:
Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem
Ampliación del esquema de Active Directory para la instalación de Exchange Server
Si implementa Microsoft Exchange en su organización, debe ampliar el AD y agregar clases personalizadas y el atributo de Exchange. Para hacer esto, necesita un medio de instalación de Exchange Server, como Exchange Server 2019.
Abra un PowerShell elevado y ejecute el siguiente comando para extender el esquema de Active Directory:
.Setup.EXE /PrepareSchema /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
Si el instalador no puede encontrar un controlador de dominio con el Maestro de esquema rol, puede especificarlo agregando el /Controlador de dominio parámetro:
.Setup.EXE /PrepareSchema /DomainController:dc2019.theitbros.com /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
Como resultado del procedimiento de extensión del esquema, los objetos de Active Directory tendrán nuevos atributos relacionados con Exchange Server.
Ahora tenemos que preparar el dominio. Este procedimiento consiste en crear nuevos objetos y contenedores de Active Directory necesarios para Exchange Server.
.Setup.EXE /PrepareAD /OrganizationName:"The IT Bros" /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
El esquema de Active Directory ahora está preparado y puede instalar Exchange Server.
Conclusión
Actualizar el esquema de Active Directory es una tarea crucial que garantiza el buen funcionamiento de la infraestructura de TI de una organización. Permite agregar nuevos atributos y clases y ayuda a integrar nuevas aplicaciones y servicios.
Sin embargo, la actualización del esquema requiere una planificación, prueba y ejecución cuidadosas para evitar la interrupción de los sistemas existentes. Con los pasos descritos en esta publicación de blog, puede actualizar con confianza su esquema de Active Directory y minimizar el riesgo de tiempo de inactividad o pérdida de datos.
Recuerde probar cualquier cambio en un entorno controlado antes de implementarlo en un entorno de producción siempre que sea posible. Con estas precauciones, puede mantener actualizado su esquema de Active Directory.
