我正在尝试更好地理解Active Directory如何处理架构更新,特别是如何确保程序的实际安全性,以及关键AD是多么的重要,并给出了需要更新的情况。 例如,Exchange 2007,OCS,SCOM都需要模式更改,这不仅仅是在考虑从Windows 2003(例如Windows 2003)到Windows 2008基础架构的重大转变时发生的事情。
我正在寻找的是关于模式更改的最佳退出计划的build议,以防万一它出错。 例如,在更新过程中使一个DC脱机是否可以接受,如果模式更新失败,那么使用它来回滚整个环境? 重新激活架构更新期间脱机的DC是否有任何问题?
架构更新是一种单向函数。 您只能将新架构添加到AD,您永远不能删除任何东西。 出于这个原因,当软件需要模式扩展或更新时,您应该总是仔细评估select; 确保这是你愿意承诺使用的东西。
首先,确保你有一个AD数据库的好备份副本(通常是%SystemRoot%\ ntds \ NTDS.DIT)! 保存在一个安全的地方。
如果你在森林里只有一个DC,那就很简单了。 按照说明运行adprep(或让软件更新AD本身)。
如果您有多个DC,请确保dcdiag和replmon -syncall报告的绝对没有错误。 确保每个AD数据库都有备份(来自每个DC)。 使用架构主控angular色确定DC 。 尽可能在该服务器上执行所有更新。
AD在大多数情况下将保护自己免受模式更新失败的影响 如果LDIF文件没有传递语法(比如在更新中出现蓝屏),那么它将不会被加载。 每个“更新”都有自己的一套LDIF文件。
我从来没有见过架构更新(只要它正确完成)出问题了。 MS真的似乎已经把这个坚实可靠的过程全部拉出来了。 我发现任何不好的事情发生的唯一真实场景是,如果你在中途失去了权力(即使我不确定),或者如果你的广告已经搞乱了(在这种情况下,你有更大的问题)。
模式升级实际上所做的就是用新的对象类和属性(AD的一个应用程序或更新版本可以使用)来扩展AD,所以灾难的范围是相当有限的。 这个Technet文章给出了一个体面的概述,并涵盖了一些潜在的坏事情发生的情况。
对于我来说,标准的方法是确保所有的东西都能正常运行(通过dcdiag,replmon等),并确保我有一个AD的已知良好的备份,以防万一发生最坏的情况。 我会尽可能长时间保留这个备份,因为AD可以非常强大,以至于问题可能在很长一段时间之后不会出现。 所以标准的备份和恢复将是我的回滚。 但就像我说的,我从来没有见过这种情况。
一种直stream离线方式适用于小型环境。 对于大的环境,我宁愿在未连接的直stream电上进行更新。 提供更新过程成功完成,然后将其连接到networking并复制更改。 在这种情况下,退出操作将非常简单,只需拖动一个镜像集的一个驱动器,然后closures直stream电源,然后重新插入更新前电stream良好的驱动器。
在一个有数百或数千个直stream电的大型networking中,重新插入好的直stream电方法是不现实的。