Windows Active Directory 架構更新的安全性如何？

我試圖更好地了解 Active Directory 如何處理架構更新，特別是考慮到 AD 的重要性以及需要更新的情況範圍，該過程實際上有多安全。例如，Exchange 2007、OCS、SCOM 都需要架構更改，這不僅僅是在您考慮從（例如）Windows 2003 到 Windows 2008 基礎架構的重大轉變時發生的事情。

我正在尋找的是有關架構更改的最佳退出計劃的建議，以防萬一它確實出錯了。例如，在更新期間讓一個 DC 離線並在架構更新失敗時使用它來回滾整個環境是否可以接受？重新啟動在架構更新期間離線的 DC 是否有任何問題？

模式更新是一種單向功能。您只能向 AD 添加新架構，永遠不能刪除任何內容。因此，當軟體需要模式擴展或更新時，您應該始終仔細評估替代方案；確保這是您願意承諾使用的東西。

首先，確保您有一個良好的 AD 數據庫備份副本（通常是 %SystemRoot%\ntds\NTDS.DIT​​）！將其保存在安全的地方。

如果您的森林中只有一個 DC，那非常簡單。只需按照說明執行 adprep（或讓軟體更新 AD 本身）。

如果您有多個 DC，請確保絕對沒有由dcdiagand報告的錯誤replmon -syncall。確保您有每個 AD 數據庫的備份（來自每個 DC）。確定具有 Schema Master 角色的 DC。盡可能在該伺服器上/對該伺服器進行所有更新。

在大多數情況下，AD 將保護自己免受架構更新失敗的影響。如果 LDIF 文件沒有通過語法（比如你在更新過程中出現 BSOD），那麼它將不會被載入。每個“更新”都有自己的一組 LDIF 文件。

引用自：https://serverfault.com/questions/112691