Les mises à jour de schéma Windows Active Directory sont-elles sûres?

13

J'essaie de mieux comprendre la façon dont Active Directory gère les mises à jour de schéma, en particulier la sécurité de la procédure, compte tenu de la criticité d'AD et de la gamme de situations dans lesquelles des mises à jour sont requises. Exchange 2007, OCS, SCOM nécessitent tous des changements de schéma par exemple, ce n'est pas seulement quelque chose qui se produit lorsque vous envisagez un changement majeur d'une (disons) une infrastructure Windows 2003 vers une infrastructure Windows 2008.

Ce que je recherche, c'est des conseils sur le meilleur plan de sauvegarde pour les changements de schéma, juste au cas où cela se passerait réellement. Serait-il acceptable de mettre un DC hors ligne pendant la mise à jour, par exemple, et de l'utiliser pour restaurer l'ensemble de l'environnement si la mise à jour du schéma a échoué? Y a-t-il des problèmes avec la réactivation d'un contrôleur de domaine qui était hors ligne lors d'une mise à jour du schéma?

Helvick
la source
Suivi: Il y a plus d'informations maintenant dans cette autre question également, quelqu'un pourrait trouver utile de mettre à jour Server 2003 AD serverfault.com/questions/161891
Chris S

Réponses:

10

Les mises à jour de schéma sont une fonction à sens unique. Vous pouvez uniquement ajouter un nouveau schéma à AD, vous ne pouvez jamais rien supprimer. Pour cette raison, vous devez toujours évaluer soigneusement les alternatives lorsque le logiciel nécessite des extensions ou des mises à jour de schéma; assurez-vous que c'est quelque chose que vous êtes prêt à vous engager à utiliser.

Tout d'abord, assurez-vous d'avoir une bonne copie de sauvegarde de la base de données AD (généralement% SystemRoot% \ ntds \ NTDS.DIT)! Conservez-le dans un endroit sûr.

Si vous n'avez qu'un seul DC dans votre forêt, c'est très simple. Exécutez simplement l'adprep comme le disent les instructions (ou laissez le logiciel mettre à jour AD lui-même).

Si vous avez plus d'un contrôleur de domaine, assurez-vous qu'il n'y a absolument aucune erreur signalée par dcdiaget replmon -syncall. Assurez-vous que vous disposez de sauvegardes de chaque base de données AD (à partir de chaque DC). Déterminez le contrôleur de domaine avec le rôle de maître de schéma . Effectuez toutes les mises à jour sur / vers ce serveur lorsque cela est possible.

AD se protégera dans la plupart des cas contre les mises à jour de schéma ayant échoué. Si le fichier LDIF ne passe pas la syntaxe (par exemple, vous BSOD au milieu d'une mise à jour), il ne sera pas chargé. Chaque "mise à jour" possède son propre ensemble de fichiers LDIF.

Chris S
la source
5

Je n'ai jamais vu une mise à jour de schéma (tant qu'elle est effectuée correctement) se tromper. La SEP semble vraiment avoir mis tout en œuvre pour en faire un processus solide et fiable, et cela se voit. Les seuls vrais scénarios dans lesquels je pourrais voir quelque chose de mauvais se produiraient seraient si vous perdiez de l'énergie à mi-chemin (même alors je ne suis pas certain), ou si votre AD était déjà vissée pour commencer (dans ce cas, vous avez de plus gros problèmes).

Tout ce qu'une mise à niveau de schéma fait réellement, c'est étendre l'AD avec de nouvelles classes d'objets et de nouvelles propriétés (qu'une application ou une version plus récente d'AD peut utiliser), de sorte que l'étendue du sinistre est assez limitée. Cet article technet donne un aperçu décent et couvre certains cas potentiels de Bad Things Happening.

L'approche standard pour moi serait de s'assurer que tout fonctionne correctement au préalable (via dcdiag, replmon, etc.) et de disposer d'une sauvegarde connue de l'AD au cas où le pire se produirait. Je garderais cette sauvegarde aussi longtemps que possible, car AD peut être tellement solide que les problèmes peuvent ne pas se manifester longtemps après. La sauvegarde et la restauration standard seraient donc ma restauration. Mais comme je l'ai dit, je n'ai jamais vu que ce soit le cas.

Maximus Minimus
la source
0

L'approche hors ligne à un courant continu fonctionnerait pour un petit environnement. Pour un grand environnement, je préférerais effectuer la mise à jour sur un DC qui n'est pas connecté. À condition que le processus de mise à jour se termine avec succès, puis connectez-le au réseau et répliquez les modifications. Dans ce scénario, une annulation serait aussi simple que d'extraire un lecteur d'un jeu de miroirs, d'arrêter le courant continu et de réinsérer le bon lecteur qui était actuel avant la mise à jour.

Sur un grand réseau avec des centaines ou des milliers de CC, la réinsertion de la bonne approche CC ne serait pas pratique.

Greg Askew
la source