Windows Active Directory Şema Güncelleştirmeleri ne kadar güvenlidir?

Active Directory'nin şema güncellemelerini nasıl işlediği hakkında daha iyi bir anlayış elde etmeye çalışıyorum, özellikle yordamın ne kadar güvenli olduğu ve AD'nin ne kadar kritik olduğu ve güncellemelerin gerekli olduğu durumlar aralığı verildi. Exchange 2007, OCS, SCOM, örneğin şema değişiklikleri gerektirir, bu sadece bir Windows 2003'ten Windows 2008 altyapısına büyük bir geçiş düşünürken gerçekleşen bir şey değildir.

Aradığım şey, aslında yanlış gitmesi durumunda, şema değişiklikleri için en iyi backout planı hakkında tavsiyedir. Örneğin, güncelleme sırasında bir DC'yi çevrimdışına almak ve şema güncellemesi başarısız olursa tüm ortamı geri almak için bunu kullanmak kabul edilebilir mi? Şema güncellemesi sırasında çevrimdışı olan bir DC'yi yeniden etkinleştirmeyle ilgili herhangi bir sorun var mı?

Şema güncellemeleri tek yönlü bir işlevdir. AD'ye yalnızca yeni şema ekleyebilir, hiçbir şeyi silemezsiniz. Bu nedenle, yazılım şema uzantıları veya güncellemeleri gerektirdiğinde alternatifleri her zaman dikkatli bir şekilde değerlendirmelisiniz; kullanmak istediğiniz bir şey olduğundan emin olun.

İlk olarak, AD veritabanının iyi bir yedek kopyasına sahip olduğunuzdan emin olun (genellikle% SystemRoot% \ ntds \ NTDS.DIT)! Güvenli bir yerde saklayın.

Ormanınızda sadece bir DC varsa, çok basittir. Adprep'i talimatlarda belirtildiği gibi çalıştırın (veya yazılımın AD'nin kendisini güncellemesine izin verin).

Birden fazla DC'niz varsa dcdiagve tarafından kesinlikle hiçbir hata bildirilmediğinden emin olun replmon -syncall. Her AD Veritabanının (her DC'den) yedeğine sahip olduğunuzdan emin olun. DC'yi Şema Yöneticisi rolü ile belirleyin . Mümkünse bu sunucudaki / sunucudaki tüm güncellemeleri yapın.

AD, çoğu durumda başarısız şema güncellemelerinden kendini korur. LDIF dosyası sözdizimini geçmezse (güncellemenin ortasında BSOD olduğunuzu varsayalım), yüklenmez. Her "güncelleme" nin kendi LDIF dosyaları seti vardır.

(Düzgün yapıldığı sürece) bir şema güncellemesi görmedim yanlış. MS, bunu sağlam ve güvenilir bir süreç haline getirmek için tüm durakları kaldırmış gibi görünüyor ve gösteriyor. Kötü bir şey olduğunu görebildiğim tek gerçek senaryo, yarı yolda güç kaybettiyseniz (o zaman bile emin değilim) veya AD'nizin zaten başlaması için vidalanmışsa (bu durumda daha büyük sorunlarınız varsa) olacaktır.

Bir şema yükseltmesinin gerçekten yaptığı tek şey, AD'yi yeni nesne sınıfları ve özellikleriyle (AD'nin bir uygulaması veya daha yeni bir sürümünün kullanabileceği) genişletmektir, bu nedenle felaket kapsamı oldukça sınırlıdır. Bu technet makalesi iyi bir genel bakış sağlar ve bazı Kötü Şeyler Oluyor vakalarını kapsar.

Benim için standart yaklaşım, her şeyin önceden düzgün çalıştığından emin olmak (dcdiag, replmon, vb.) Ve en kötüsü durumunda AD'nin iyi bilinen bir yedeğine sahip olmamı sağlamak olacaktır. Bu yedeği mümkün olduğunca uzun süre saklıyorum, çünkü AD çok uzun süre sonra problemler ortaya çıkmayabilir. Yani standart yedekleme ve geri yükleme benim geri dönüşüm olacaktı. Ama dediğim gibi, bunun böyle olduğunu hiç görmedim.

Bir dc çevrimdışı yaklaşımı küçük bir ortam için işe yarar. Geniş bir ortam için, güncellemeyi bağlı olmayan bir dc üzerinde gerçekleştirmeyi tercih ederim. Güncelleme işleminin başarıyla tamamlanması sağlandıktan sonra ağa bağlanın ve değişiklikleri çoğaltın. Bu senaryodaki bir arka plan, bir ayna setinin bir sürücüsünü çekmek ve dc'yi kapatmak ve güncellemeden önce güncel olan iyi sürücüyü yeniden takmak kadar basit olacaktır.

Yüzlerce veya binlerce dc'ye sahip büyük bir ağda, iyi dc yaklaşımını yeniden eklemek pratik olmaz.