我是MS Active Directory管理员。我有一个新项目,需要移动一些AD OU。其中一些OU已经存在多年。我担心如果我移动这些OU,它可能会破坏使用直接LDAP DN查询的服务。
例如,如果我在OU = Test_OU有一个OU,dc = domain,dc = local而我移动它我担心那里会有OU = Test_OU,dc = domain,dc的应用程序=在其配置中明确显示本地。我移动此OU因此更改LDAP DN时服务将中断。
我目前正准备在我的DC上安装Wireshark,并为TCP / 389应用捕获过滤器。我已经仔细研究了流量,可以看到我认为我应该寻找似乎包含DN的SearchRequest属性。根据这些数据包,我将进行搜索,以确定是否已经通过当前的LDAP DN显式访问了我想要移动的OU,并进行相应的计划。
我犹豫不决,因为我不熟悉LDAP协议本身。是否找到所有传入的LDAP SearchRequest数据包是去那里的最佳途径,还是我需要寻找其他LDAP流量?
答案 0 :(得分:0)
您是否考虑过使用对象审核?有点奇怪的用例,但如果正确调整可能会导致你走上正确的道路。
答案 1 :(得分:-1)
您不应该'找到已配置的现有服务'。您不应该对DIT进行任何更改,否则会破坏现有应用程序。
DIT不应该试图成为组织结构的镜像,因为组织结构比DIT更便宜。如果由于某些不幸而构建或继承了一个反映它的DIT,那么你就会坚持下去,但是你应该严格保留它,并使用别名而不是内部重组来提供你现在需要的新结构。