1

我是 MS Active Directory 管理员。我有一个需要移动一些 AD OU 的新项目。其中一些 OU 已经存在多年。我担心如果我移动这些 OU,它可能会破坏使用直接 LDAP DN 查询的服务。

例如,如果我在 OU=Test_OU,dc=domain,dc=local 有一个 OU,然后我将其移动,我担心会有应用程序明确具有 OU=Test_OU,dc=domain,dc=local在他们的配置中。当我移动此 OU 从而更改 LDAP DN 时,服务将中断。

我目前已经到了在我的 DC 上设置 Wireshark 并正在为 TCP/389 应用捕获过滤器的地步。我仔细阅读了流量,可以看到我认为我应该寻找似乎包含 DN 的 SearchRequest 属性。根据这些数据包,然后我将进行搜索以查明我要移动的 OU 是否已通过当前 LDAP DN 显式访问并相应地进行计划。

我犹豫是否这样做,因为我不熟悉 LDAP 协议本身。找到所有传入的 LDAP SearchRequest 数据包是去那里的最佳路线,还是我需要寻找其他 LDAP 流量?

4

2 回答 2

0

您是否考虑过为此使用对象审计?有点奇怪的用例,但如果调整正确,可能会引导你走上正确的道路。

于 2013-07-10T00:24:05.523 回答
-1

您不应该“找到已配置的现有服务”。您不应该对您的 DIT 进行任何会破坏现有应用程序的更改。

DIT 不应该试图成为组织结构的镜像,因为组织结构的改变比 DIT 便宜得多。如果由于某种意外,您构建或继承了一个镜像它的 DIT,您会被它困住,但您应该严格地保留它,并使用别名而不是内部重组来提供您现在需要的新结构。

于 2013-07-10T01:08:01.320 回答