Quão seguras são as atualizações de esquema do Windows Active Directory?

Question

Quão seguras são as atualizações de esquema do Windows Active Directory?

#1 resposta do (10 votos)
#2 resposta do (5 votos)
#3 resposta do (0 votos)

13

Estou tentando entender melhor como o Active Directory lida com as atualizações de esquema, especificamente quanto a segurança do procedimento é realmente significativa, e considerando a variedade de situações em que as atualizações são necessárias. O Exchange 2007, o OCS, o SCOM todos exigem alterações de esquema, por exemplo, não é apenas algo que acontece quando você está considerando uma mudança importante (digamos) de uma infraestrutura do Windows 2003 para uma do Windows 2008.

O que estou procurando é um conselho sobre o melhor plano de reversão para alterações de esquema, caso isso realmente dê errado. Seria aceitável colocar um DC off-line durante a atualização, por exemplo, e usá-lo para reverter todo o ambiente se a atualização do esquema falhasse? Existe algum problema com a reativação de um DC que estava offline durante uma atualização de esquema?

backup active-directory windows-server-2008 windows-server-2003 schema

por Helvick 14.02.2010 / 13:03

3 respostas

5

Nunca vi uma atualização de esquema (desde que seja feita corretamente) dar errado. MS realmente parece ter retirado todas as paradas para tornar este processo sólido e confiável, e mostra. Os únicos cenários reais em que eu poderia ver qualquer coisa ruim acontecendo seria se você perdesse o poder no meio (mesmo assim eu não tenho certeza), ou se o seu AD já estava estragado (caso em que você tem problemas maiores).

Tudo que uma atualização de esquema realmente faz é estender o AD com novas classes e propriedades de objetos (que um aplicativo ou uma versão mais nova do AD pode usar), portanto, o escopo para o desastre é bastante limitado. Este artigo do technet oferece uma visão geral decente e abrange algumas possíveis coisas ruins que estão acontecendo casos.

A abordagem padrão para mim seria garantir que tudo esteja funcionando corretamente de antemão (via dcdiag, replmon, etc), e garantir que eu tenha um backup do AD bem conhecido, caso o pior aconteça. Eu manteria esse backup pelo maior tempo possível, pois o AD pode ser tão robusto que os problemas podem não se manifestar por um longo tempo depois. Então backup e restauração padrão seria minha reversão. Mas como eu disse, nunca vi esse ser o caso.

por 14.02.2010 / 14:08

0

A abordagem offline dc funcionaria para um ambiente pequeno. Para um ambiente grande, eu preferiria executar a atualização em um dc que não esteja conectado. Se o processo de atualização for concluído com êxito, conecte-o à rede e replique as alterações. Um retrocesso neste cenário seria tão simples quanto puxar uma unidade de um conjunto de espelhos e desligar a CC e reinserir a unidade boa que estava em vigor antes da atualização.

Em uma grande rede com centenas ou milhares de dc's, a reinserção da boa abordagem dc não seria prática.

por 14.02.2010 / 19:47

Tags backup active-directory windows-server-2008 windows-server-2003 schema

Maneira correta de lidar com sistemas de arquivos XFS corrompidos qual é a diferença entre / dev / vda e / dev / sda

score 10 · Accepted Answer

Atualizações de esquema são uma função unidirecional. Você só pode adicionar um novo esquema ao AD, nunca pode excluir nada. Por esse motivo, você deve sempre avaliar cuidadosamente alternativas quando o software exigir extensões ou atualizações de esquema; Certifique-se de que é algo que você está disposto a comprometer-se a usar.

Em primeiro lugar, certifique-se de ter uma boa cópia de backup do banco de dados do AD (geralmente% SystemRoot% \ ntds \ NTDS.DIT)! Guarde-o em um lugar seguro.

Se você tiver apenas um DC em sua floresta, é muito simples. Basta executar o adprep como as instruções dizem (ou deixar o software atualizar o próprio AD).

Se você tiver mais de um DC, verifique se não há erros reportados por dcdiag e replmon -syncall . Certifique-se de ter backups de todos os bancos de dados do AD (de cada DC). Determine o controlador de domínio com a função de mestre de esquema . Faça todas as atualizações no / para esse servidor, sempre que possível.

O AD se protegerá na maioria dos casos de atualizações de esquema com falha. Se o arquivo LDIF não passar a sintaxe (digamos que você BSOD no meio de uma atualização), então ele não será carregado. Cada "atualização" tem seu próprio conjunto de arquivos LDIF.