1

私は MS Active Directory 管理者です。AD OU の移動を伴う新しいプロジェクトがあります。これらの OU の一部は、何年にもわたって配置されています。これらの OU を移動すると、直接 LDAP DN クエリを使用するサービスが壊れる可能性があるのではないかと心配しています。

たとえば、OU=Test_OU,dc=domain,dc=local に OU があり、それを移動した場合、そこに OU=Test_OU,dc=domain,dc=local を明示的に持つアプリケーションが存在するのではないかと心配しています。それらの構成で。この OU を移動すると、LDAP DN が変更され、サービスが中断されます。

現在、DC で Wireshark をセットアップし、TCP/389 のキャプチャ フィルタを適用するところまで来ています。トラフィックを詳しく調べたところ、DN が含まれていると思われる SearchRequest 属性を探す必要があることがわかりました。これらのパケットに基づいて、移動しようとしている OU が現在の LDAP DN を介して明示的にアクセスされているかどうかを検索し、それに応じて計画を立てます。

LDAPプロトコル自体に慣れていないため、これを行うのをためらっています。すべての受信 LDAP SearchRequest パケットを検索するのが最善のルートですか? それとも、他の LDAP トラフィックを探す必要がありますか?

4

2 に答える 2

-1

「既に構成されている既存のサービスを見つける」ことは想定されていません。既存のアプリケーションを破壊するような変更を DIT に加えることは想定されていません。

組織構造は DIT よりも大幅に安価に変更できるため、DIT は組織構造の鏡になろうとするべきではありません。なんらかの事故で、それを反映する DIT を構築または継承した場合は、それで行き詰まりますが、それを厳密にそのままにしておき、内部再編成ではなくエイリアスを使用して、現在必要な新しい構造を提供する必要があります。

于 2013-07-10T01:08:01.320 に答える