Wie sicher sind Windows Active Directory-Schemaaktualisierungen?

13

Ich versuche, ein besseres Verständnis darüber zu bekommen, wie Active Directory Schemaaktualisierungen behandelt, insbesondere, wie sicher das Verfahren tatsächlich ist, wie kritisch AD ist und in welchen Situationen Aktualisierungen erforderlich sind. Exchange 2007, OCS und SCOM erfordern alle Schemaänderungen. Dies ist beispielsweise nicht nur dann der Fall, wenn Sie über eine größere Verlagerung von (beispielsweise) einer Windows 2003- zu einer Windows 2008-Infrastruktur nachdenken.

Ich suche Ratschläge zum besten Backout-Plan für Schemaänderungen, nur für den Fall, dass tatsächlich etwas schief geht. Wäre es akzeptabel, einen Domänencontroller während der Aktualisierung offline zu schalten und damit die gesamte Umgebung zurückzusetzen, wenn die Schemaaktualisierung fehlgeschlagen wäre? Gibt es Probleme beim Reaktivieren eines DCs, der während einer Schemaaktualisierung offline war?

windows-server-2003  windows-server-2008  backup  active-directory  schema 
Helvick
quelle
Follow-up: Es gibt jetzt auch mehr Informationen in dieser anderen Frage. Jemand könnte es nützlich finden, wenn er Server 2003 AD aktualisiert. Serverfault.com/questions/161891
Chris S

Antworten:

10

Schemaaktualisierungen sind eine Einwegfunktion. Sie können AD nur ein neues Schema hinzufügen, Sie können nie etwas löschen. Aus diesem Grund sollten Sie Alternativen immer sorgfältig prüfen, wenn für die Software Schemaerweiterungen oder -aktualisierungen erforderlich sind. Stellen Sie sicher, dass Sie bereit sind, diese zu verwenden.

Stellen Sie als erstes sicher, dass Sie eine gute Sicherungskopie der AD-Datenbank haben (normalerweise% SystemRoot% \ ntds \ NTDS.DIT)! Bewahren Sie es an einem sicheren Ort auf.

Wenn Sie nur ein DC in Ihrem Wald haben, ist es sehr einfach. Führen Sie einfach das Adprep wie in den Anweisungen angegeben aus (oder lassen Sie die Software AD selbst aktualisieren).

Wenn Sie mehr als einen DC haben, stellen Sie sicher, dass von dcdiagund absolut keine Fehler gemeldet werden replmon -syncall. Stellen Sie sicher, dass Sie Sicherungen jeder AD-Datenbank (von jedem Domänencontroller) haben. Bestimmen Sie den Domänencontroller mit der Rolle "Schema-Master" . Führen Sie nach Möglichkeit alle Aktualisierungen auf diesem Server durch.

AD schützt sich in den meisten Fällen vor fehlgeschlagenen Schemaaktualisierungen. Wenn die LDIF-Datei die Syntax nicht erfüllt (z. B. BSOD während eines Updates), wird sie nicht geladen. Jedes "Update" hat einen eigenen Satz von LDIF-Dateien.

Chris S
quelle
5

Ich habe noch nie gesehen, dass ein Schema-Update (sofern es ordnungsgemäß durchgeführt wird) schief geht. MS scheint wirklich alles daran gesetzt zu haben, dies zu einem soliden und verlässlichen Prozess zu machen, und das zeigt es. Die einzigen realen Szenarien, in denen ich sehen könnte, dass etwas Schlimmes passiert, wären ein Stromausfall (auch dann bin ich mir nicht sicher) oder eine Verschraubung Ihrer AD (in diesem Fall haben Sie größere Probleme).

Alles , was ein Schema - Upgrade wirklich tut , ist die AD mit neuen Objektklassen und Eigenschaften erweitern (dass eine Anwendung oder eine neuere Version von AD Gebrauch machen kann), so für eine Katastrophe Umfang recht begrenzt ist. Dieser Technet-Artikel bietet einen anständigen Überblick und behandelt einige potenzielle Fälle von Bad Things Happening.

Standardansatz für mich wäre, vorher sicherzustellen, dass alles ordnungsgemäß funktioniert (über dcdiag, replmon usw.), und sicherzustellen, dass ich für den Fall, dass das Schlimmste passiert, ein bekanntermaßen gutes Backup von AD habe. Ich würde dieses Backup so lange wie möglich aufbewahren, da AD so verdammt robust sein kann, dass sich Probleme möglicherweise erst lange danach einstellen. Standard Backup und Restore wäre also mein Rollback. Aber wie gesagt, das habe ich noch nie gesehen.

Maximus Minimus
quelle
0

Der One-DC-Offline-Ansatz würde für eine kleine Umgebung funktionieren. In einer großen Umgebung würde ich das Update lieber auf einem nicht angeschlossenen DC durchführen. Wenn der Aktualisierungsvorgang erfolgreich abgeschlossen wurde, stellen Sie eine Verbindung zum Netzwerk her und replizieren Sie die Änderungen. Ein Backout in diesem Szenario ist so einfach wie das Ziehen eines Laufwerks eines Spiegelsatzes und das Herunterfahren der DC und das erneute Einsetzen des guten Laufwerks, das vor der Aktualisierung aktuell war.

In einem großen Netzwerk mit Hunderten oder Tausenden von DCs wäre das erneute Einfügen des guten DC-Ansatzes nicht praktikabel.

Greg Askew
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.