13 votos

¿Cuán seguras son las actualizaciones de Windows Active Directory Schema?

Estoy tratando de conseguir una mejor comprensión acerca de cómo se Active Directory controla las actualizaciones del Esquema, específicamente qué tan seguro es el procedimiento en realidad es dado lo crítico de la AD es y, dada la variedad de situaciones donde se requieren actualizaciones. Exchange 2007, OCS, SCOM, requieren cambios de esquema para el ejemplo, no es simplemente algo que sucede cuando usted está considerando un cambio importante a partir de (digamos) un Windows 2003 a un Windows 2008 de la infraestructura.

Lo que estoy buscando es un consejo sobre el mejor plan de restitución de los cambios de esquema, sólo en caso de que realmente vaya mal. Sería aceptable tomar un DC fuera de línea durante la actualización, por ejemplo, y el uso que deshacer todo el entorno si el error al actualizar el esquema? ¿Hay problemas con la reactivación de un DC que estuvo fuera de línea durante un esquema de actualización?

10voto

Chris S Puntos 65813

El esquema de las actualizaciones son una forma de función. Sólo puede agregar nuevo esquema de AD, nunca se puede eliminar nada. Por esta razón siempre se debe evaluar cuidadosamente las alternativas al software requiere extensiones de esquema o actualizaciones; asegúrese de que es algo que usted está dispuesto a comprometerse a usar.

Primero, asegúrese de tener una buena copia de seguridad de la base de datos de AD (suele ser %SystemRoot%\ntds\NTDS.DIT)! Mantener en un lugar seguro.

Si sólo dispone de un controlador de dominio en el bosque, es muy sencillo. Sólo tiene que ejecutar el comando adprep como dicen las instrucciones (o dejar que la actualización de software propio ANUNCIO).

Si usted tiene más de un DC, a continuación, asegúrese de que no hay absolutamente ningún error reportado por dcdiag y replmon -syncall. Asegúrese de tener copias de seguridad de todos los ANUNCIOS de la Base de datos (de cada uno DC). Determinar la DC con la función de Maestro de Esquema. Hacer todas las actualizaciones/a que servidor donde sea posible.

ANUNCIO de protegerse a sí mismo en la mayoría de los casos de error de las actualizaciones del esquema. Si el archivo LDIF no pasa sintaxis (dicen que BSOD en el medio de una actualización), entonces no va a ser cargado. Cada "actualización" tiene su propio conjunto de archivos LDIF.

5voto

BlankVerse Puntos 85

Nunca he visto a un esquema de actualización (siempre y cuando se haga correctamente) ir mal. MS realmente parecen tener sacó todas las paradas para hacer de ésta una sólida y confiable del proceso, y se nota. La única escenarios reales en los que pude ver nada malo que ocurre sería si el poder perdido a mitad de camino a través de (incluso entonces no estoy seguro), o si el ANUNCIO ya estaba atornillado a empezar (en cuyo caso usted tiene problemas más grandes).

Todo lo que un esquema de actualización que realmente hace es extender el ANUNCIO con nuevas clases de objetos y propiedades (que una aplicación o una versión más reciente de la EA puede hacer uso de), por lo que el alcance de desastres es bastante limitada. Este artículo de technet le da una vista general decente y cubre algunos de los posibles Cosas Malas que Suceden los casos.

Enfoque estándar para mí sería para asegurarse de que todo está funcionando correctamente de antemano (a través de dcdiag, replmon, etc), y asegúrese de que tengo una buena y conocida de copia de seguridad de AD en caso de que suceda lo peor. Me gustaría mantener esta copia de seguridad para el mayor tiempo posible, como ANUNCIO puede ser tan maldito robusto que los problemas pueden no manifestarse durante un largo tiempo después. Así estándar de copia de seguridad y restaurar sería mi reversión. Pero como he dicho, nunca he visto que sea el caso.

0voto

Greg Askew Puntos 17236

El dc sin conexión enfoque de trabajo para un ambiente pequeño. Para un entorno de gran tamaño, yo preferiría realizar la actualización en un controlador de dominio que no está conectado. Proporcionar el proceso de actualización se completa con éxito, a continuación, conéctelo a la red y replicar los cambios. Una recuperación en este escenario sería tan sencillo como tirar de una unidad de un conjunto de espejos, y el cierre de la dc y vuelva a insertar el disco bueno que estaba vigente desde antes de la actualización.

En una red grande con cientos o miles de dc, la re-insertar la buena dc enfoque no sería práctico.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: