Jak bezpieczne są aktualizacje schematu Windows Active Directory?

Próbuję lepiej zrozumieć, w jaki sposób usługa Active Directory obsługuje aktualizacje schematu, a konkretnie, jak bezpieczna jest procedura, biorąc pod uwagę krytyczną AD i biorąc pod uwagę zakres sytuacji, w których wymagane są aktualizacje. Exchange 2007, OCS, SCOM wymagają na przykład zmian schematu, nie jest to po prostu coś, co dzieje się, gdy rozważasz poważne przejście z (powiedzmy) systemu Windows 2003 na infrastrukturę Windows 2008.

To, czego szukam, to porady na temat najlepszego planu wycofania zmian schematu, na wypadek, gdyby rzeczywiście się nie udało. Czy dopuszczalne byłoby na przykład wyłączenie jednego kontrolera domeny w trybie offline podczas aktualizacji i użycie go do wycofania całego środowiska, jeśli aktualizacja schematu się nie powiedzie? Czy są jakieś problemy z ponowną aktywacją kontrolera domeny, który był offline podczas aktualizacji schematu?

Aktualizacje schematu są funkcją jednokierunkową. Możesz dodać tylko nowy schemat do AD, nigdy nie możesz niczego usunąć. Z tego powodu należy zawsze uważnie oceniać alternatywy, gdy oprogramowanie wymaga rozszerzeń lub aktualizacji schematu; upewnij się, że jest to coś, do czego chcesz się zobowiązać.

Po pierwsze, upewnij się, że masz dobrą kopię zapasową bazy danych AD (zwykle% SystemRoot% \ ntds \ NTDS.DIT)! Przechowuj w bezpiecznym miejscu.

Jeśli masz tylko jednego DC w lesie, jest to bardzo proste. Po prostu uruchom adprep, jak mówią instrukcje (lub pozwól, aby oprogramowanie zaktualizowało samą AD).

Jeśli masz więcej niż jeden DC, upewnij się, że absolutnie nie ma błędów zgłaszanych przez dcdiagi replmon -syncall. Upewnij się, że masz kopie zapasowe każdej bazy danych AD (z każdego kontrolera domeny). Określ kontroler domeny za pomocą roli wzorca schematu . Wykonuj wszystkie aktualizacje na tym serwerze, jeśli to możliwe.

AD w większości przypadków zabezpieczy się przed nieudanymi aktualizacjami schematu. Jeśli plik LDIF nie przejdzie składni (powiedzmy, że BSOD jest w trakcie aktualizacji), nie zostanie załadowany. Każda „aktualizacja” ma swój własny zestaw plików LDIF.

Nigdy nie widziałem, aby aktualizacja schematu (pod warunkiem, że została wykonana poprawnie) nie działała poprawnie. Wygląda na to, że stwardnienie rozsiane naprawdę wyciągnęło wszelkie starania, aby ten proces był solidny i niezawodny. Jedynymi prawdziwymi scenariuszami, w których widziałem coś złego, byłyby, gdybyś stracił moc w połowie (nawet wtedy nie jestem pewien), lub gdyby twoje AD było już wkręcone (w takim przypadku masz większe problemy).

Jedyne, co naprawdę robi aktualizacja schematu , to rozszerzenie AD o nowe klasy obiektów i właściwości (z których może korzystać aplikacja lub nowsza wersja AD), więc zakres katastrofy jest dość ograniczony. Ten artykuł w technecie daje porządny przegląd i omawia niektóre potencjalne przypadki, w których zdarzają się złe rzeczy.

Dla mnie standardowym podejściem byłoby upewnienie się, że wszystko działa wcześniej (za pomocą dcdiag, replmon itp.) I upewnić się, że mam dobrze znaną kopię zapasową AD na wypadek najgorszego. Zachowam tę kopię zapasową tak długo, jak to możliwe, ponieważ AD może być tak cholernie solidna, że ​​problemy mogą nie pojawić się przez długi czas. Tak więc przywracanie kopii zapasowej byłoby standardowe. Ale jak powiedziałem, nigdy nie widziałem, żeby tak było.

Podejście offline typu dc działałoby w małym środowisku. W przypadku dużego środowiska wolałbym przeprowadzić aktualizację na komputerze stacjonarnym, który nie jest podłączony. Pod warunkiem, że proces aktualizacji zakończy się pomyślnie, a następnie podłącz go do sieci i zreplikuj zmiany. Wycofanie w tym scenariuszu byłoby tak proste, jak wyciągnięcie jednego dysku z zestawu kopii lustrzanych, wyłączenie dc i ponowne włożenie dobrego dysku, który był aktualny przed aktualizacją.

W dużej sieci z setkami lub tysiącami prądu stałego ponowne włożenie dobrej metody prądu stałego nie byłoby praktyczne.