Windows Active Directory Schema ปลอดภัยแค่ไหน

13

ฉันกำลังพยายามทำความเข้าใจเกี่ยวกับวิธีที่ Active Directory จัดการกับการปรับปรุง Schema โดยเฉพาะความปลอดภัยของกระบวนการจริง ๆ นั้นได้รับการกำหนดว่าโฆษณาที่สำคัญคืออะไรและกำหนดช่วงของสถานการณ์ที่จำเป็นต้องมีการอัปเดต Exchange 2007, OCS, SCOM ทั้งหมดต้องการการเปลี่ยนแปลงแบบแผนไม่ใช่แค่สิ่งที่เกิดขึ้นเมื่อคุณกำลังพิจารณาการเปลี่ยนแปลงครั้งใหญ่จาก (พูด) Windows 2003 เป็นโครงสร้างพื้นฐาน Windows 2008

สิ่งที่ฉันกำลังมองหาคือคำแนะนำเกี่ยวกับแผนการแบ็กเอนด์ที่ดีที่สุดสำหรับการเปลี่ยนแปลงสคีมาในกรณีที่มันผิดพลาดจริง เป็นที่ยอมรับหรือไม่ที่จะใช้ DC ออฟไลน์หนึ่งตัวในระหว่างการอัปเดตและใช้เพื่อย้อนกลับสภาพแวดล้อมทั้งหมดหากการปรับปรุงสคีมาล้มเหลว มีปัญหาใด ๆ กับการเปิด DC อีกครั้งที่ออฟไลน์ระหว่างการอัพเดตสกีมาหรือไม่

windows-server-2003  windows-server-2008  backup  active-directory  schema 
Helvick
แหล่งที่มา
การติดตาม: มีข้อมูลเพิ่มเติมตอนนี้ในคำถามอื่นเช่นกันบางคนอาจพบว่ามีประโยชน์หากอัปเดต Server 2003 AD serverfault.com/questions/161891
Chris S

คำตอบ:

10

การปรับปรุง Schema เป็นฟังก์ชันทางเดียว คุณสามารถเพิ่มสคีมาใหม่ไปยัง AD เท่านั้นคุณไม่สามารถลบอะไรได้อีก ด้วยเหตุนี้คุณควรประเมินทางเลือกอย่างรอบคอบเสมอเมื่อซอฟต์แวร์ต้องการส่วนขยายสคีมาหรือการอัปเดต ตรวจสอบให้แน่ใจว่าเป็นสิ่งที่คุณยินดีที่จะใช้

สิ่งแรกตรวจสอบให้แน่ใจว่าคุณมีสำเนาสำรองที่ดีของฐานข้อมูลโฆษณา (ปกติคือ% SystemRoot% \ ntds \ NTDS.DIT)! เก็บไว้ในสถานที่ปลอดภัย.

หากคุณมี DC เพียงอันเดียวในป่าของคุณมันตรงไปตรงมามาก เพียงแค่เรียกใช้ adprep ตามคำแนะนำที่บอกไว้ (หรือปล่อยให้ตัวโฆษณาอัปเดตซอฟต์แวร์เอง)

หากคุณมีมากกว่าหนึ่งซีแล้วให้แน่ใจว่ามีอย่างไม่มีข้อผิดพลาดที่รายงานโดยและdcdiag replmon -syncallตรวจสอบให้แน่ใจว่าคุณมีสำเนาสำรองของทุกฐานข้อมูล AD (จากแต่ละ DC) ตรวจสอบ DC กับบทบาทแบบแผนหลัก ทำการอัปเดตทั้งหมดบน / ไปยังเซิร์ฟเวอร์นั้นหากทำได้

โฆษณาจะป้องกันตัวเองในกรณีส่วนใหญ่จากการปรับปรุงสคีมาที่ล้มเหลว หากไฟล์ LDIF ไม่ผ่านทางไวยากรณ์ (พูดว่าคุณ BSOD ระหว่างการอัพเดท) ไฟล์นั้นจะไม่ถูกโหลด "อัพเดท" แต่ละอันมีชุดไฟล์ LDIF ของตนเอง

คริส
แหล่งที่มา
5

ฉันไม่เคยเห็นการอัปเดตสคีมา (ตราบใดที่มันทำอย่างถูกต้อง) ผิดไป MS ดูเหมือนจะดึงเอาการหยุดทั้งหมดในการทำสิ่งนี้ให้เป็นกระบวนการที่มั่นคงและเชื่อถือได้และมันแสดงให้เห็น สถานการณ์จริงเพียงอย่างเดียวที่ฉันสามารถเห็นสิ่งที่ไม่ดีเกิดขึ้นได้คือถ้าคุณสูญเสียพลังงานไปทางหนึ่ง (แม้ว่าฉันจะไม่แน่ใจ) หรือโฆษณาของคุณถูกเมาแล้วเริ่มต้นด้วย (ในกรณีที่คุณมีปัญหาใหญ่)

สิ่งที่อัพเกรดสกีมานั้นทำจริงๆนั้นคือการขยายโฆษณาด้วยคลาสและคุณสมบัติของออบเจ็กต์ใหม่ (ซึ่งแอพพลิเคชั่นหรือเวอร์ชั่นที่ใหม่กว่าของ AD สามารถใช้ประโยชน์ได้) ดังนั้นขอบเขตของภัยพิบัติจึงค่อนข้าง จำกัด บทความด้านเทคนิคนี้ให้ภาพรวมที่ดีและครอบคลุมบางกรณีที่อาจเกิดขึ้นกับสิ่งเลวร้าย

วิธีการมาตรฐานสำหรับฉันคือเพื่อให้แน่ใจว่าทุกอย่างทำงานได้อย่างถูกต้องล่วงหน้า (ผ่าน dcdiag, replmon ฯลฯ ) และตรวจสอบให้แน่ใจว่าฉันมีการสำรองข้อมูลโฆษณาที่เป็นที่รู้จักดีในกรณีที่เลวร้ายที่สุดเกิดขึ้น ฉันจะเก็บสำรองข้อมูลนี้ให้นานที่สุดเท่าที่จะเป็นไปได้เนื่องจากโฆษณานั้นแข็งแกร่งมากจนปัญหาอาจไม่ปรากฏขึ้นหลังจากนั้นเป็นเวลานาน ดังนั้นการสำรองข้อมูลและกู้คืนมาตรฐานจะเป็นการย้อนกลับของฉัน แต่อย่างที่ฉันพูดฉันไม่เคยเห็นว่าเป็นอย่างนั้น

Maximus Minimus
แหล่งที่มา
0

แนวทางแบบออฟไลน์ dc เดียวจะทำงานสำหรับสภาพแวดล้อมขนาดเล็ก สำหรับสภาพแวดล้อมขนาดใหญ่ฉันต้องการทำการอัปเดตบน dc ที่ไม่ได้เชื่อมต่อ การให้กระบวนการอัปเดตเสร็จสมบูรณ์จากนั้นเชื่อมต่อกับเครือข่ายและทำซ้ำการเปลี่ยนแปลง backout ในสถานการณ์นี้จะง่ายเหมือนการดึงหนึ่งไดรฟ์ของชุดมิเรอร์และปิด dc และใส่ไดรฟ์ที่ดีที่เป็นปัจจุบันอีกครั้งก่อนการอัพเดท

บนเครือข่ายขนาดใหญ่ที่มี dc นับร้อยหรือพัน ดี.ซี. การแทรกวิธีการ dc ที่ดีจะไม่สามารถนำไปใช้ได้จริง

เกร็กเบน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.