Windows-Server-2003
Windows Active Directory 架構更新的安全性如何?
我試圖更好地了解 Active Directory 如何處理架構更新,特別是考慮到 AD 的重要性以及需要更新的情況範圍,該過程實際上有多安全。例如,Exchange 2007、OCS、SCOM 都需要架構更改,這不僅僅是在您考慮從(例如)Windows 2003 到 Windows 2008 基礎架構的重大轉變時發生的事情。
我正在尋找的是有關架構更改的最佳退出計劃的建議,以防萬一它確實出錯了。例如,在更新期間讓一個 DC 離線並在架構更新失敗時使用它來回滾整個環境是否可以接受?重新啟動在架構更新期間離線的 DC 是否有任何問題?
模式更新是一種單向功能。您只能向 AD 添加新架構,永遠不能刪除任何內容。因此,當軟體需要模式擴展或更新時,您應該始終仔細評估替代方案;確保這是您願意承諾使用的東西。
首先,確保您有一個良好的 AD 數據庫備份副本(通常是 %SystemRoot%\ntds\NTDS.DIT)!將其保存在安全的地方。
如果您的森林中只有一個 DC,那非常簡單。只需按照說明執行 adprep(或讓軟體更新 AD 本身)。
如果您有多個 DC,請確保絕對沒有由
dcdiag
and報告的錯誤replmon -syncall
。確保您有每個 AD 數據庫的備份(來自每個 DC)。確定具有 Schema Master 角色的 DC。盡可能在該伺服器上/對該伺服器進行所有更新。在大多數情況下,AD 將保護自己免受架構更新失敗的影響。如果 LDIF 文件沒有通過語法(比如你在更新過程中出現 BSOD),那麼它將不會被載入。每個“更新”都有自己的一組 LDIF 文件。