В нашей компании мы используем службу каталогов AWS для управления удостоверениями пользователей (мы хотим разместить всю нашу основную инфраструктуру в облаке с VPN-подключениями типа «сайт-сайт» между офисами и AWS).
Мы также используем Office 365 с их размещенным Exchange как часть нашего плана o365. Пользователи, группы и т. д. синхронизируются из нашего Amazon AD в Azure AD для o365.
Теперь, когда я создаю группу рассылки внутри нашего собственного AD, нет возможности указать, хочу ли я разрешить внешним отправителям отправлять почту в нее. У меня не установлен Exchange, и я не могу изменить схему своего AD, потому что это размещенная служба, и у меня нет разрешения «Enterprise Admins» или «Schema Admins». Поэтому я даже не могу запустить Exchange setup.exe с возможностью изменения только схемы AD.
Office365 не позволяет мне изменять эту настройку с помощью веб-администратора, поскольку группа синхронизируется с удаленным доменом, и мне не следует изменять ее локально.
Однако AWS поддерживает расширение вашей схемы AD с помощью собственного веб-интерфейса, но для этого им требуется файл LDIF. Я хотел бы использовать это, чтобы вручную добавить msExchRequireAuthToSendTo, чтобы он синхронизировался с Azure AD.
Единственная проблема в том, что я нигде не могу найти такой ldif, а также не могу найти все необходимые метаатрибуты (например, OID) этого атрибута, чтобы все работало правильно.
Какой самый простой способ добавить этот атрибут в мой AWS Active Directory?
решение1
Лучшим вариантом для вас будет использовать файл LDIF, как того требует Amazon. Вы можете не найти конкретный LDIF где-либо, но детали атрибута (включая attributeID -нетOID) можно найтиздесь.
Но вместо того, чтобы использовать эту информацию для создания своего собственного, я бы рекомендовал использовать собственный файл LDIF от Microsoft для выполнения задачи. Конечно, это не то, что вы можете просто поискать его на их веб-сайте.
Если задуматься, установочный носитель Exchange Server должен содержать все необходимые материалы для установки Exchange с нуля в новом лесу, поэтому даже последнее квартальное обновление (Exchange Server 2016 CU8выпущенный сегодня, по совпадению) должен иметь эту информацию. Как и каждая версия установочного носителя Exchange Server, начиная с 2003 года.
У меня уже есть копия носителя, и я попробую прикрепить ее для справки, но если у вас есть более старая копия установочного носителя Exchange, вы обнаружите, что у вас на самом деле уже есть эта информация -иВы даже можете рассмотреть возможность добавления еще нескольких известных атрибутов Exchange в ваш размещенный лес, пока вы этим занимаетесь.
Редактировать: Изменение схемы содержится в нескольких файлах LDIF, включенных в установочный носитель Exchange Server. После извлечения вы сможете найти его в следующих четырех файлах; все файлы содержат одинаковую информацию:
.\setup\data\postexchange2000_schema0.ldf
.\setup\data\postwindows2003_schema27.ldf
.\setup\data\schema36.ldf
.\setup\data\schemaadam.ldf
dn: CN=ms-Exch-RequireAuthToSendTo,<SchemaContainerDN>
changetype: ntdsSchemaAdd
adminDescription: ms-Exch-RequireAuthToSendTo
adminDisplayName: ms-Exch-RequireAuthToSendTo
attributeID: 1.2.840.113556.1.4.5062
attributeSecurityGuid:: iYopH5jeuEe1zVcq1T0mfg==
attributeSyntax: 2.5.5.8
isMemberOfPartialAttributeSet: TRUE
isSingleValued: TRUE
lDAPDisplayName: msExchRequireAuthToSendTo
name: ms-Exch-RequireAuthToSendTo
oMSyntax: 1
objectCategory: CN=Attribute-Schema,<SchemaContainerDN>
objectClass: attributeSchema
schemaIdGuid:: O+sz9Vv3s0+y+wjNU3qE0Q==
searchFlags: 0