Cada floresta do Active Directory possui seu próprio esquema, que define objetos e atributos que usa o serviço de diretório para armazenar dados. Quando as organizações têm várias florestas do Active Directory, os administradores de TI precisam gerenciar vários esquemas do Active Directory. É fundamental garantir a consistência entre esquemas durante o gerenciamento de várias florestas.

As organizações podem implantar mais florestas de Active Directory de produção para uma variedade de negócios ou motivos técnicos. Geralmente implementamos uma floresta e conforme a necessidade iremos implementando mais florestas.

Quando temos que gerenciar múltiplas florestas, temos que ficar atento nas modificações que foram feitas no esquema, seja por instalação de alguma ferramenta (por exemplo o Exchange que estendo o esquema do AD para suportar o Exchange), ou modificações que foram feitas manualmente.

Identificar essas alterações feitas no esquema do AD é de fundamental importância para o administrador de redes, lembrando aqui a importância da documentação do esquema do AD. Sabemos da importância do esquema do AD, que qualquer modificação feita incorretamente pode trazer sérios danos ao ambiente, inclusive sua paralisação, mesmo assim ainda pegamos casos de administradores de redes que fazem alterações no esquema sem antes testar em um ambiente de teste.

Lembrando da importância da documentação e de jamais fazer alterações no esquema sem antes testa-las em um ambiente de teste, vamos a algumas ferramentas que utilizamos para exportar, comparar e sincronizar o esquema do AD.

A ferramenta de linha de comando LDIFDE, fornecido com o Windows Server 2003 e Windows Server 2008, pode ser usada para exportar o esquema da floresta. Essa ferramenta cria um arquivo que está formatado com LDIF (LDAP Data Interchange Format).

Para exportar o esquema de floresta de origem, faça o seguinte:

  1. Fazer logon em um servidor membro ou um controlador de domínio.
  2. Abra uma janela de prompt de comando.
  3. Digite o seguinte na janela de prompt de comando:
ldifde -f PRODSchema.ldif -d CN=Schema,CN=Configuration,DC=WS08DOMAIN01,DC=local

Nesse comando, o parâmetro de PRODSchema.ldif -f informa LDIFDE para gravar a saída em um arquivo chamado PRODSchema.ldif. O -d CN = Schema, CN = Configuration, DC = WS03DOMAIN01, DC = local parâmetro informa o LDIFDE para usar a partição de esquema como a raiz da pesquisa LDAP. O controlador de domínio = WS08DOMAIN01, DC = parte local do comando deve ser substituído pelo nome distinto do domínio raiz da floresta.

O Windows Server 2008 inclui a ferramenta Analisador de esquema do AD DS/LDS quando a função de servidor de serviços do Active Directory Lightweight é instalada. Ele pode ser usado para comparar os esquemas de várias maneiras diferentes. Observe que essa ferramenta era anteriormente chamada o analisador de esquema do AD no Windows Server 2003. As etapas a comparação e a exportação, no entanto, podem também ser executadas usando a versão do Windows Server 2003 dessa ferramenta.

Para comparar os esquemas do Active Directory das florestas origem e de destino, faça o seguinte:

  1. Fazer logon no servidor membro ou um controlador de domínio que tem AD LDS instalado e pertence a um domínio na floresta de destino.
  2. Localize o arquivo ldif e copie no servidor.
  3. Vá para Iniciar, clique em Executar e digite o seguinte: C:WINDOWSADAMADSchemaAnalyzer.exe
  4. O análise de esquema do AD DS/LDS serão aberto.
  5. No menu arquivo da janela do analisador de esquema do AD DS/LDS, clique em esquema de destino.
  6. Na janela de esquema de destino de carga, clique no botão carregar LDIF.
  7. Navegue até o local do arquivo LDIF e clique em Abrir.
  8. O arquivo LDIF será importado para o analisador de esquema do AD DS/LDS.
  9. No menu Arquivo, clique em esquema.
  10. Na janela do esquema, insira um controlador de domínio para se conectar no servidor [: porta] campo, um nome de usuário, uma senha e um domínio.
  11. Clique em OK.
  12. Para filtrar os elementos não-presente, selecione Ocultar elementos presentes do menu de esquema. Os elementos ausentes serão listados sob o nó de atributos. Expanda o nó de atributos e os elementos presentes e não-presente (atributos e classes) serão listados, por padrão. Os atributos que são consistentes entre florestas exibido com uma marca de seleção na caixa ao lado o nome do elemento. Os elementos que existem na floresta de origem, mas estão faltando na floresta de destino aparecem com uma caixa vazia.