Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorial: Erweitern Ihres AWS verwalteten Microsoft AD-Schemas
In diesem Tutorial erfahren Sie, wie Sie das Schema für Ihr AWS Verzeichnis Directory Service for Microsoft Active Directory, auch bekannt als AWS Managed Microsoft AD, erweitern können, indem Sie eindeutige *Attribute* und *Klassen* hinzufügen, die Ihren spezifischen Anforderungen entsprechen. AWS Verwaltete Microsoft AD-Schemaerweiterungen können nur mit einer gültigen LDIF-Skriptdatei (Lightweight Directory Interchange Format) hochgeladen und angewendet werden.
Attribute (attributeSchema) definieren die Felder in der Datenbank, während Klassen (classSchema) die Tabellen in der Datenbank definieren. So werden beispielsweise alle Benutzerobjekte in Active Directory durch die Schemaklasse *User* definiert, während die einzelnen Eigenschaften eines Benutzers wie z. B. die E-Mail-Adresse oder Telefonnummer jeweils durch ein Attribut definiert werden.
Wenn Sie eine neue Eigenschaft wie z. B. „Shoe-Size” hinzufügen wollten, müssten Sie ein neues Attribut des Typs *Integer* definieren. Sie könnten auch Unter- und Obergrenzen definieren, beispielsweise 1 bis 20. Sobald das attributeSchema-Objekt für die Schuhgröße erstellt wurde, würden Sie dann das classSchema-Objekt *User* ändern, sodass dieses Attribut enthalten ist. Attribute können mit mehreren Klassen verknüpft werden. Shoe-Size könnte auch beispielsweise zur Klasse *Contact* hinzugefügt werden. Weitere Informationen zu den Active Directory-Schemas finden Sie unter [Wann Sie Ihr AWS Managed Microsoft AD-Schema erweitern sollten](ms_ad_schema_extensions.md#ms_ad_schema_when_to_extend).
Dieser Workflow umfasst drei grundlegende Schritte.
![\[Diagramm mit den Schritten für das Tutorial: 1 erstellen Sie eine LDIF-Datei, 2 importieren Sie die LDIF-Datei und 3 überprüfen Sie die Schemaänderungen.\]](http://docs.aws.amazon.com/de_de/directoryservice/latest/admin-guide/images/tutorialextendadschema.png)
**[Schritt 1: Ihre LDIF-Datei erstellen](create.md)**
Zunächst erstellen Sie eine LDIF-Datei und definieren die neuen Attribute sowie alle Klassen, denen die Attribute hinzugefügt werden sollen. Diese Datei verwenden Sie für die nächste Phase des Workflows.
**[Schritt 2: Ihre LDIF-Datei importieren](import.md)**
In diesem Schritt verwenden Sie die AWS Directory Service Konsole, um die LDIF-Datei in Ihre Microsoft Active Directory-Umgebung zu importieren.
**[Schritt 3: Prüfen, ob die Schemaerweiterung erfolgreich durchgeführt wurde](verify.md)**
Schließlich prüfen Sie als Administrator über eine EC2 Instance, ob die neuen Erweiterungen im Active Directory-Schema-Snap-In aufgeführt sind.
# Schritt 1: Ihre LDIF-Datei erstellen
Bei einer LDIF-Datei handelt es sich um ein standardmäßiges Klartext-Datenaustauschformat zur Darstellung von [LDAP](https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol)-Verzeichnisinhalten und Aktualisierungsanforderungen (LDAP = Lightweight Directory Access Protocol). LDIF übermittelt Verzeichnisinhalte als Datensatzgruppe mit einem Datensatz für jedes Objekt (oder jeden Eintrag). Auch Aktualisierungsanforderungen wie z. B. Hinzufügen, Ändern, Löschen und Umbenennen werden als Datensatzgruppe mit einem Datensatz für jede Aktualisierungsanforderung dargestellt.
Der AWS Directory Service importiert Ihre LDIF-Datei mit den Schemaänderungen, indem er die `ldifde.exe` Anwendung in Ihrem AWS verwalteten Microsoft AD-Verzeichnis ausführt. Daher wird es für Sie hilfreich sein, die LDIF-Skriptsyntax zu verstehen. Weitere Informationen finden Sie unter [LDIF Scripts](https://msdn.microsoft.com/en-us/library/ms677268(v=vs.85).aspx).
Mehrere LDIF-Tools von Drittanbietern können Ihre Schemaaktualisierungen extrahieren, bereinigen und aktualisieren. Unabhängig davon, welches Tool Sie verwenden, ist es wichtig zu wissen, dass alle in Ihrer LDIF-Datei verwendeten Kennungen eindeutig sein müssen.
Wir empfehlen Ihnen dringend, sich die folgenden Konzepte und Tipps anzusehen, bevor Sie Ihre LDIF-Datei erstellen.
+ **Schemaelemente** — Erfahren Sie mehr über Schemaelemente wie Attribute, Klassen IDs, Objekte und verknüpfte Attribute. Weitere Informationen finden Sie unter [Schemaelemente](ms_ad_key_concepts.md#ms_ad_schema_elements).
+ **Folge der Elemente** – Stellen Sie sicher, dass die Reihenfolge, in der die Elemente in Ihrer LDIF-Datei angeordnet sind, von oben nach unten dem [Directory Information Tree (DIT)](https://en.wikipedia.org/wiki/Directory_information_tree) folgt. In Bezug auf die Sequenzierung in einer LDIF-Datei gelten u. a. folgende allgemeine Regeln:
+ Trennen Sie die Elemente durch eine Leerzeile.
+ Listen Sie untergeordnete Elemente nach ihren übergeordneten Elementen auf.
+ Stellen Sie sicher, dass Elemente wie Attribute oder Objektklassen in dem Schema vorhanden sind. Falls dies nicht der Fall ist, müssen Sie sie zum Schema hinzufügen, bevor sie verwendet werden können. So muss beispielsweise ein Attribut erstellt werden, bevor Sie es einer Klasse zuweisen können.
+ **Format des DN** – Definieren Sie für jede neue Anweisung in der LDIF-Datei den definierten Namen (DN) als erste Zeile der Anweisung. Der DN identifiziert ein Active Directory-Objekt in der Struktur des Active Directory-Objekts und muss die Domänenkomponenten für Ihr Verzeichnis enthalten. Die Domainkomponenten für das Verzeichnis in diesem Tutorial lauten beispielsweise `DC=example,DC=com`.
Der DN muss den allgemeinen Namen (CN) des Active Directory-Objekts enthalten. Der erste CN-Eintrag steht für den Attribut- oder Klassennamen. Um das Active Directory-Schema zu erweitern, verwenden Sie`CN=Schema,CN=Configuration`. Denken Sie daran, dass Sie den Inhalt von Active Directory-Objekten nicht ändern können. Es folgt das allgemeine DN-Format.
```
dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
```
Für dieses Tutorial würde der DN für das neue Attribut „Shoe-Size” wie folgt aussehen:
```
dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
```
+ **Warnungen** – Beachten Sie die nachfolgenden Warnungen, bevor Sie Ihr Schema erweitern.
+ Bevor Sie Ihr Active Directory-Schema erweitern, ist es wichtig, die Microsoft-Warnungen bezüglich der Auswirkungen dieses Vorgangs zu beachten. Weitere Informationen finden Sie unter [What You Must Know Before Extending the Schema](https://msdn.microsoft.com/en-us/library/ms677995(v=vs.85).aspx).
+ Schemaattribute oder Klassen können nicht gelöscht werden. Wenn Sie also einen Fehler machen und nicht aus einer Sicherungskopie wiederherstellen möchten, können Sie das Objekt nur deaktivieren. Weitere Informationen finden Sie unter [Disabling Existing Classes and Attributes](https://msdn.microsoft.com/en-us/library/ms675903(v=vs.85).aspx).
+ Änderungen an defaultSecurityDescriptor werden nicht unterstützt.
Weitere Informationen zum Aufbau von LDIF-Dateien und eine LDIF-Beispieldatei, die zum Testen AWS verwalteter Microsoft AD-Schemaerweiterungen verwendet werden kann, finden Sie im Artikel [How to Extend your AWS Managed Microsoft AD Directory Schema](https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/) im Security Blog. AWS
**Nächster Schritt**
[Schritt 2: Ihre LDIF-Datei importieren](import.md)
# Schritt 2: Ihre LDIF-Datei importieren
Sie können Ihr Schema erweitern, indem Sie eine LDIF-Datei entweder von der AWS Directory Service Konsole oder mithilfe der API importieren. Weitere Informationen dazu, wie Sie dies mit der Schemaerweiterung tun können APIs, finden Sie in der [https://docs.aws.amazon.com/directoryservice/latest/devguide/](https://docs.aws.amazon.com/directoryservice/latest/devguide/). Zurzeit unterstützt AWS keine externen Anwendungen wie Microsoft Exchange in Bezug auf die direkte Ausführung von Schemaaktualisierungen.
**Wichtig**
Wenn Sie Ihr AWS verwaltetes Microsoft AD-Verzeichnisschema aktualisieren, kann der Vorgang nicht rückgängig gemacht werden. Mit anderen Worten: Sobald Sie eine neue Klasse oder ein neues Attribut erstellt haben, können Sie es in Active Directory nicht mehr entfernen. Eine Deaktivierung ist jedoch möglich.
Wenn Sie die Schemaänderungen löschen müssen, besteht eine Möglichkeit darin, das Verzeichnis anhand eines früheren Snapshots wiederherzustellen. Beim Wiederherstellen eines Snapshots werden sowohl das Schema als auch die Verzeichnisdaten auf einen früheren Stand zurückgesetzt, nicht nur das Schema. Hinweis: Das maximal unterstützte Alter eines Snapshots beträgt 180 Tage. Weitere Informationen finden Sie unter [Useful shelf life of a system-state backup of Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/shelf-life-system-state-backup-ad) auf der Microsoft-Website.
Bevor der Aktualisierungsvorgang beginnt, erstellt AWS Managed Microsoft AD einen Snapshot, um den aktuellen Status Ihres Verzeichnisses beizubehalten.
**Anmerkung**
Schemaerweiterungen sind eine globale Funktion von AWS Managed Microsoft AD. Wenn Sie [Konfiguration der regionsübergreifenden Replikation für AWS Managed Microsoft AD](ms_ad_configure_multi_region_replication.md) verwenden, müssen die folgenden Verfahren in [Primäre -Region](multi-region-global-primary-additional.md#multi-region-primary) ausgeführt werden. Die Änderungen werden automatisch auf alle replizierten Regionen angewendet. Weitere Informationen finden Sie unter [Globale und regionale Features](multi-region-global-region-features.md).
**So importieren Sie Ihre LDIF-Datei**
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.
1. Führen Sie auf der Seite **Verzeichnisdetails** einen der folgenden Schritte aus:
+ Wenn Sie unter **Multi-Region-Replikation** mehrere Regionen angezeigt bekommen, wählen Sie die primäre Region aus und wählen dann die Registerkarte **Wartung**. Weitere Informationen finden Sie unter [Primäre Regionen im Vergleich zu zusätzlichen Regionen](multi-region-global-primary-additional.md).
+ Wenn Sie unter **Multi-Region-Replikation** keine Regionen angezeigt bekommen, wählen Sie die Registerkarte **Wartung**.
1. Wählen Sie im Abschnitt **Schema extensions (Schemaerweiterungen)** die Option **Actions (Aktionen)** und dann **Upload and update schema (Schema hochladen und aktualisieren)** aus.
1. Klicken Sie im Dialogfeld auf **Browse**, wählen Sie eine gültige LDIF-Datei aus, geben Sie eine Beschreibung ein und wählen Sie dann **Update Schema** aus.
**Wichtig**
Die Erweiterung des Schemas ist ein kritischer Vorgang. Wenden Sie kein Schemaupdate in der Produktionsumgebung an, ohne es zuerst mit Ihrer Anwendung in einer Entwicklungs- oder Testumgebung zu testen.
## Anwendung der LDIF-Datei
Nachdem Ihre LDIF-Datei hochgeladen wurde, ergreift AWS Managed Microsoft AD Maßnahmen, um Ihr Verzeichnis vor Fehlern zu schützen, indem es die Änderungen in der folgenden Reihenfolge anwendet.
1. **Validierung der LDIF-Datei.** Da LDIF-Skripts jedes Objekt in der Domäne manipulieren können, führt AWS Managed Microsoft AD direkt nach dem Upload Prüfungen durch, um sicherzustellen, dass der Importvorgang nicht fehlschlägt. Im Rahmen dieser Prüfungen wird u. a. Folgendes sichergestellt:
+ Die zu aktualisierenden Objekte befinden sich nur im Schema-Container.
+ Der DC-Teil (Domain-Controller) entspricht dem Namen der Domain, in der das LDIF-Skript ausgeführt wird.
1. **Erstellen eines Snapshots Ihres Verzeichnisses.** Mithilfe des Snapshots können Sie Ihr Verzeichnis wiederherstellen, falls nach der Schemaaktualisierung Probleme mit Ihrer Anwendung auftreten.
1. **Wendet die Änderungen auf einen einzelnen DC an.** AWS Managed Microsoft AD isoliert einen von Ihnen DCs und wendet die Updates in der LDIF-Datei auf den isolierten DC an. Anschließend wählt es eines Ihrer DCs Schemas als primäres Schema aus, entfernt diesen DC aus der Verzeichnisreplikation und wendet Ihre LDIF-Datei mithilfe von an. `Ldifde.exe`
1. **Die Replikation erfolgt für alle. DCs** AWS Managed Microsoft AD fügt den isolierten DC wieder der Replikation hinzu, um das Update abzuschließen. Währenddessen bietet Ihr Verzeichnis weiterhin ohne Unterbrechungen Active Directory-Service für Ihre Anwendungen.
**Nächster Schritt**
[Schritt 3: Prüfen, ob die Schemaerweiterung erfolgreich durchgeführt wurde](verify.md)
# Schritt 3: Prüfen, ob die Schemaerweiterung erfolgreich durchgeführt wurde
Nach Abschluss des Importprozesses ist es wichtig, sicherzustellen, dass die Schemaaktualisierungen auf Ihr Verzeichnis angewendet wurden. Dies ist besonders vor der Migration oder Aktualisierung von Anwendungen wichtig, die auf der Schemaaktualisierung beruhen. Sie können zu diesem Zweck verschiedene LDAP-Tools verwenden oder ein Test-Tool schreiben, das die entsprechenden LDAP-Befehle ausgibt.
Bei diesem Verfahren wird mithilfe des Active Directory-Schema-Snap-Ins and/or PowerShell überprüft, ob die Schemaaktualisierungen angewendet wurden. Sie müssen diese Tools auf einem Computer ausführen, der zu Ihrem AWS verwalteten Microsoft AD gehört. Hierbei kann es sich um einen Windows-Server handeln, der in Ihrem On-Premises-Netzwerk mit Zugriff auf Ihre Virtual Private Cloud (VPC) oder über eine Virtual Private Network (VPN)-Verbindung ausgeführt wird. Sie können diese Tools auch auf einer Windows-Instance von Amazon EC2 ausführen (siehe [So starten Sie eine neue EC2-Instance mit nahtloser Domainverbindung](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console)).
**Überprüfung mithilfe des Active Directory-Schema-Snap-Ins**
1. Installieren Sie das Active Directory-Schema-Snap-In gemäß den Anweisungen auf der [TechNet](https://technet.microsoft.com/en-us/library/cc732110.aspx)Website.
1. Öffnen Sie die Microsoft Management Console (MMC) und erweitern Sie die Struktur **AD Schema** für Ihr Verzeichnis.
1. Navigieren Sie durch die Ordner **Classes** und **Attributes**, bis Sie die zuvor vorgenommenen Schemaänderungen finden.
**Um zu überprüfen, ob PowerShell**
1. Öffnet ein PowerShell Fenster.
1. Verwenden Sie das nachfolgend dargestellte Cmdlet `Get-ADObject`, um die Schemaänderung zu prüfen. Beispiel:
`get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *`
**Optionaler Schritt**
[Fügen Sie dem neuen Attribut einen Wert hinzu — optional](addvalue.md)
# Fügen Sie dem neuen Attribut einen Wert hinzu — optional
Verwenden Sie diesen optionalen Schritt, wenn Sie ein neues Attribut erstellt haben und dem Attribut in Ihrem AWS verwalteten Microsoft AD-Verzeichnis einen neuen Wert hinzufügen möchten.
**So fügen Sie einen Wert zu einem Attribut hinzu**
1. Öffnen Sie das PowerShell Befehlszeilenprogramm und legen Sie das neue Attribut mit dem folgenden Befehl fest. In diesem Beispiel fügen wir dem Attribut für einen bestimmten Computer einen neuen EC2 InstanceID-Wert hinzu.
`PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID = 'EC2 instance ID'}`
1. Sie können überprüfen, ob der EC2 InstanceID-Wert dem Computerobjekt hinzugefügt wurde, indem Sie den folgenden Befehl ausführen:
`PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID`
# Zugehörige Ressourcen
Auf der Microsoft-Website sind folgende Links zu Ressourcen mit zugehörigen Informationen zu finden.
+ [Extending the Schema (Windows)](https://msdn.microsoft.com/en-us/library/ms676900(v=vs.85).aspx)
+ [Active Directory Schema (Windows)](https://msdn.microsoft.com/en-us/library/ms674984(v=vs.85).aspx)
+ [Active Directory Schema](https://technet.microsoft.com/en-us/library/cc961581.aspx)
+ [Windows-Verwaltung: Erweitern des Active Directory-Schemas](https://technet.microsoft.com/en-us/magazine/a39543ba-e561-4933-b590-0878885f44f5)
+ [Restrictions on Schema Extension (Windows)](https://msdn.microsoft.com/en-us/library/ms677924(v=vs.85).aspx)
+ [Ldifde](https://technet.microsoft.com/en-us/library/cc731033(v=ws.11).aspx)