Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Tutorial: Ampliación del esquema de Microsoft AD AWS administrado
<a name="ms_ad_tutorial_extend_schema"></a>

En este tutorial, aprenderá a ampliar el esquema de su AWS directorio de Directory Service for Microsoft Active Directory, también conocido como Microsoft AD AWS administrado, agregando *atributos* y *clases* únicos que cumplan con sus requisitos específicos. AWS Las extensiones de esquema de Microsoft AD administradas solo se pueden cargar y aplicar mediante un archivo de script LDIF (Lightweight Directory Interchange Format) válido.

Los atributos (attributeSchema) definen los campos de la base de datos, mientras que las clases (classSchema) definen las tablas de la base de datos. Por ejemplo, todos los objetos de usuario de Active Directory se definen mediante la clase de esquema *User*, mientras que las propiedades individuales de un usuario, como, por ejemplo, su dirección de correo electrónico o un número de teléfono, se definen mediante un atributo. 

Si desea añadir una propiedad nueva, como Shoe-Size, deberá definir un nuevo atributo, de tipo *integer*. También puede definir límites inferior y superior, como de 1 a 20. Una vez creado el objeto attributeSchema Shoe-Size (talla de zapato), a continuación, tendrá que modificar el objeto classSchema *User* de modo que contenga dicho atributo. los atributos Se pueden enlazar con varias clases. También podría añadir Shoe-Size a la clase *Contacto*, por ejemplo. Para obtener más información acerca de los esquemas de Active Directory, consulte [Cuándo ampliar el esquema de Microsoft AD AWS administrado](ms_ad_schema_extensions.md#ms_ad_schema_when_to_extend).

Este flujo de trabajo incluye tres pasos básicos. 

![\[Diagrama que muestra los pasos para el tutorial. 1: crear un archivo LDIF. 2: importar el archivo LDIF. 3: verificar los cambios en el esquema.\]](http://docs.aws.amazon.com/es_es/directoryservice/latest/admin-guide/images/tutorialextendadschema.png)


**[Paso 1: creación del archivo LDIF](create.md)**  
En primer lugar, se crea un archivo LDIF y se definen los nuevos atributos y cualquier clase a la que los atributos deban añadirse. Puede utilizar este archivo para la siguiente fase del flujo de trabajo.

**[Paso 2: importación del archivo LDIF](import.md)**  
En este paso, utilizará la AWS Directory Service consola para importar el archivo LDIF a su entorno de Microsoft Active Directory.

**[Paso 3: comprobación de si la ampliación del esquema ha funcionado](verify.md)**  
Por último, como administrador, utilizará una instancia EC2 para comprobar si las nuevas extensiones aparecen en el complemento de esquemas de Active Directory.

# Paso 1: creación del archivo LDIF
<a name="create"></a>

Los archivos LDIF son archivos estándar con formato de intercambio de datos sencillo que representan contenido de directorios [LDAP](https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol) (protocolo ligero de acceso a directorios) y solicitudes de actualización. LDIF transmite el contenido de directorio como un conjunto de registros, un registro por cada objeto (o entrada). También representa las solicitudes de actualización, como adición, modificación, eliminación y cambio de nombre, como un conjunto de registros, un registro por cada solicitud de actualización. 

 AWS Directory Service Importa el archivo LDIF con los cambios de esquema ejecutando la `ldifde.exe` aplicación en el directorio administrado de AWS Microsoft AD. Por lo tanto, le resultará útil para comprender la sintaxis del script LDIF. Para obtener más información, consulte [LDIF Scripts](https://msdn.microsoft.com/en-us/library/ms677268(v=vs.85).aspx). 

Hay varias herramientas LDIF de terceros para extraer, limpiar y actualizar las actualizaciones de los esquemas. Independientemente de la herramienta que utilice, es importante comprender que todos los identificadores utilizados en su archivo LDIF deben ser únicos. 

Se recomienda encarecidamente leer los siguientes conceptos y consejos antes de crear el archivo LDIF.
+ **Elementos del esquema**: obtenga información sobre los elementos del esquema, como los atributos, las clases, los objetos IDs y los atributos vinculados. Para obtener más información, consulte [Elementos del esquema](ms_ad_key_concepts.md#ms_ad_schema_elements).
+ **Secuencia de los elementos**: asegúrese de que el orden en que se disponen los elementos dentro del archivo LDIF siga el diseño de [árbol de información de directorios (DIT)](https://en.wikipedia.org/wiki/Directory_information_tree) de arriba abajo. Estas son las normas generales de orden de secuencia en los archivos LDIF: 

   
  + Separar los elementos con una línea en blanco.
  + Enumerar los elementos secundarios después de sus primarios. 
  + Asegurarse de que existan en el esquema elementos como atributos o clases de objetos. En caso de no estar presentes, deberá añadirlos al esquema para poder usarlos. Por ejemplo, para poder asignar un atributo a una clase, debe crearse el atributo. 
+ **Formato del nombre distintivo**: para cada nueva instrucción dentro del archivo LDIF, defina el nombre distintivo (DN) como la primera línea de la instrucción. El DN identifica un objeto de Active Directory dentro del árbol del objeto de Active Directory, y debe contener los componentes de dominio de su directorio. Por ejemplo, los componentes de dominio del directorio en este tutorial son `DC=example,DC=com`.

  El DN también debe contener el nombre común (CN) del objeto de Active Directory. La primera entrada CN representa el nombre de clase o el atributo. Para ampliar el esquema de Active Directory, utilice `CN=Schema,CN=Configuration`. Recuerde que no se puede modificar el contenido de los objetos de Active Directory. Sigue el formato general de un DN.

  ```
  dn: CN=[attribute or class name],CN=Schema,CN=Configuration,DC=[domain_name]
  ```

  En este tutorial, el DN del nuevo atributo Shoe-Size sería así:

  ```
  dn: CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com
  ```
+ **Advertencias**: lea las siguientes advertencias antes de ampliar su esquema.
  + Antes de ampliar el esquema de Active Directory, es importante leer las advertencias que hace Microsoft sobre las repercusiones de esta operación. Para obtener más información, consulte [What You Must Know Before Extending the Schema](https://msdn.microsoft.com/en-us/library/ms677995(v=vs.85).aspx).
  + No se pueden eliminar las clases o los atributos de esquema. Por lo tanto, si comete un error y no desea restaurar a partir de una copia de seguridad, solo podrá deshabilitar el objeto. Para obtener más información, consulte [Disabling Existing Classes and Attributes](https://msdn.microsoft.com/en-us/library/ms675903(v=vs.85).aspx).
  + No defaultSecurityDescriptor se admiten cambios en.

Para obtener más información sobre cómo se crean los archivos LDIF y ver un ejemplo de archivo LDIF que se puede usar para probar las extensiones de esquema de AWS Microsoft AD administradas, consulte el artículo [Cómo extender su esquema de directorio administrado de AWS Microsoft AD en el blog de seguridad](https://aws.amazon.com/blogs/security/how-to-add-more-application-support-to-your-microsoft-ad-directory-by-extending-the-schema/). AWS 

**Paso siguiente**

[Paso 2: importación del archivo LDIF](import.md)

# Paso 2: importación del archivo LDIF
<a name="import"></a>

Puede ampliar el esquema importando un archivo LDIF desde la AWS Directory Service consola o mediante la API. Para obtener más información sobre cómo hacerlo con la extensión de esquema APIs, consulta la referencia de la [https://docs.aws.amazon.com/directoryservice/latest/devguide/](https://docs.aws.amazon.com/directoryservice/latest/devguide/). En este momento, AWS no permite utilizar aplicaciones externas, como Microsoft Exchange, para actualizar esquemas directamente. 

**importante**  
Al actualizar el esquema de directorios AWS gestionados de Microsoft AD, la operación no es reversible. En otras palabras, cuando crea una clase nueva o un atributo nuevo, Active Directory no le permite eliminarlo. No obstante, sí puede deshabilitarlo.   
Si debe eliminar los cambios aplicados en un esquema, una opción es restaurar el directorio a partir de una instantánea anterior. Restaurar una instantánea devuelve tanto el esquema como los datos del directorio a un punto anterior, no solo el esquema. Tenga en cuenta que la antigüedad máxima admitida de una instantánea es de 180 días. Para obtener más información, consulte [Tiempo de conservación de una copia de seguridad de estado del sistema de Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/shelf-life-system-state-backup-ad) en el sitio web de Microsoft.

Antes de que comience el proceso de actualización, AWS Managed Microsoft AD toma una instantánea para conservar el estado actual del directorio.

**nota**  
Las extensiones de esquema son una función global de AWS Managed Microsoft AD. Si está utilizando [Configurar la replicación multirregional para Microsoft AWS AD administrado](ms_ad_configure_multi_region_replication.md), se deben seguir estos procedimientos en [Región principal](multi-region-global-primary-additional.md#multi-region-primary). Los cambios se aplicarán automáticamente en todas las regiones replicadas. Para obtener más información, consulte [Características globales frente a las regionales](multi-region-global-region-features.md).

**Importación del archivo LDIF**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), seleccione **Directorios**.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:
   + Si tiene varias regiones en la sección **Replicación multirregional**, seleccione la región principal y, a continuación, elija la pestaña **Mantenimiento**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).
   + Si no aparece ninguna región en la sección **Replicación multirregional**, elija la pestaña **Mantenimiento.**

1. En la sección **Schema extensions (Ampliaciones del esquema)**, elija **Actions (Acciones)** y, a continuación, seleccione **Upload and update schema (Cargar y actualizar el esquema)**.

1. En el cuadro de diálogo, haga clic en **Browse**, seleccione un archivo LDIF válido, escriba una descripción y, a continuación, elija **Update Schema**.
**importante**  
Ampliar el esquema es una operación fundamental. No actualice ningún esquema en el entorno de producción sin antes probar la actualización con su aplicación en un entorno de desarrollo o de prueba.

## Aplicación del archivo LDIF
<a name="howapplied"></a>

Una vez cargado el archivo LDIF, Managed AWS Microsoft AD toma medidas para proteger el directorio contra errores, ya que aplica los cambios en el siguiente orden. 

1. **Se valida el archivo LDIF.** Como los scripts de LDIF pueden manipular cualquier objeto del dominio, Managed AWS Microsoft AD realiza comprobaciones inmediatamente después de la carga para garantizar que la operación de importación no falle. Estas comprobaciones sirven para garantizar lo siguiente:
   + Que los objetos que se van a actualizar solo estén en el contenedor de esquemas.
   + Que la parte de DC (controladores de dominio) coincida con el nombre del dominio en el que se esté ejecutando el script LDIF.

1. **Se toma una instantánea del directorio.** Puede utilizar esta instantánea para restaurar su directorio en caso de tener algún problema con la aplicación después de actualizar el esquema. 

1. **Aplica los cambios a un único DC.** AWS El Microsoft AD administrado aísla uno de los suyos DCs y aplica las actualizaciones del archivo LDIF al DC aislado. A continuación, selecciona uno de sus DCs esquemas como principal, elimina ese DC de la replicación de directorios y aplica el archivo LDIF mediante. `Ldifde.exe`

1. **La replicación se produce para todos. DCs** AWS Microsoft AD administrado vuelve a agregar el DC aislado a la replicación para completar la actualización. Mientras sucede todo esto, el directorio sigue suministrando sin interrupción el servicio de Active Directory a sus aplicaciones.

**Paso siguiente**

[Paso 3: comprobación de si la ampliación del esquema ha funcionado](verify.md)

# Paso 3: comprobación de si la ampliación del esquema ha funcionado
<a name="verify"></a>

Tras terminar el proceso de importación, es importante comprobar si se aplicaron las actualizaciones de esquema al directorio. Esto es especialmente clave antes de migrar o actualizar cualquier aplicación que se base en la actualización del esquema. Puede hacerlo usando varias herramientas LDAP diferentes o escribiendo una herramienta de pruebas que ejecute los comandos LDAP adecuados. 

En este procedimiento, se utiliza el complemento de esquema de Active Directory and/or PowerShell para comprobar que se han aplicado las actualizaciones del esquema. Debe ejecutar estas herramientas desde un equipo que sea un dominio unido a su Microsoft AD AWS administrado. Puede ser un servidor de Windows que se ejecute en la red local con acceso a la nube virtual privada (VPC) o a través de una conexión de red privada virtual (VPN). También puede ejecutar estas herramientas en una instancia de Amazon EC2 de Windows (consulte [Cómo lanzar una nueva instancia de EC2 con la unión de dominios fluida](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html#join-domain-console)).

**Verificación con el complemento de esquema de Active Directory**

1. Instale el complemento Active Directory Schema siguiendo las instrucciones del [TechNet](https://technet.microsoft.com/en-us/library/cc732110.aspx)sitio web. 

1. Abra Microsoft Management Console (MMC) y amplíe el árbol **AD Schema** correspondiente a su directorio. 

1. Recorra las carpetas **Classes** y **Attributes** hasta encontrar los cambios de esquema que efectuó antes.

**Para verificar mediante PowerShell**

1. Abre una PowerShell ventana.

1. Utilice el cmdlet `Get-ADObject` tal y como se muestra a continuación para verificar el cambio del esquema. Por ejemplo:

   `get-adobject -Identity 'CN=Shoe-Size,CN=Schema,CN=Configuration,DC=example,DC=com' -Properties *`

**Paso opcional**

[Incorporación de un valor al nuevo atributo (opcional)](addvalue.md)

# Incorporación de un valor al nuevo atributo (opcional)
<a name="addvalue"></a>

Utilice este paso opcional cuando haya creado un atributo nuevo y desee añadir un nuevo valor al atributo en el directorio de Microsoft AD AWS administrado.

**Adición de un valor a un atributo**

1. Abra la utilidad de línea de comandos de PowerShell y configure el nuevo atributo con el siguiente comando. En este ejemplo, agregaremos un nuevo valor de EC2 instanceID al atributo de un equipo específico.

   `PS C:\> set-adcomputer -Identity computer name -add @{example-EC2InstanceID = 'EC2 instance ID'}`

1. Puede validar si el valor EC2 instanceID se agregó al objeto de la computadora ejecutando el siguiente comando:

   `PS C:\> get-adcomputer -Identity computer name –Property example-EC2InstanceID`

# Recursos relacionados
<a name="additional"></a>

En el sitio web de Microsoft encontrará los siguientes enlaces a recursos, con información relacionada. 

 
+ [Extending the Schema (Windows)](https://msdn.microsoft.com/en-us/library/ms676900(v=vs.85).aspx)
+ [Active Directory Schema (Windows)](https://msdn.microsoft.com/en-us/library/ms674984(v=vs.85).aspx)
+ [Active Directory Schema](https://technet.microsoft.com/en-us/library/cc961581.aspx)
+ [Administración de Windows: Ampliación del esquema de Active Directory](https://technet.microsoft.com/en-us/magazine/a39543ba-e561-4933-b590-0878885f44f5)
+ [Restrictions on Schema Extension (Windows)](https://msdn.microsoft.com/en-us/library/ms677924(v=vs.85).aspx)
+ [Ldifde](https://technet.microsoft.com/en-us/library/cc731033(v=ws.11).aspx)