¿Qué tan seguras son las actualizaciones de esquema de Active Directory de Windows?

Estoy tratando de comprender mejor cómo Active Directory maneja las actualizaciones de Schema, específicamente qué tan seguro es el procedimiento, en realidad, cuán crítico es AD y dada la variedad de situaciones en las que se requieren actualizaciones. Exchange 2007, OCS, SCOM requieren cambios en el esquema, por ejemplo, no es solo algo que sucede cuando está considerando un cambio importante de (digamos) una infraestructura de Windows 2003 a una infraestructura de Windows 2008.

Lo que estoy buscando es asesoramiento sobre el mejor plan de retroceso para cambios de esquema, en caso de que realmente salga mal. ¿Sería aceptable desconectar un DC durante la actualización, por ejemplo, y usarlo para revertir todo el entorno si falla la actualización del esquema? ¿Hay algún problema con la reactivación de un DC que estaba fuera de línea durante una actualización de esquema?

Las actualizaciones de esquema son una función unidireccional. Solo puede agregar un nuevo esquema a AD, nunca puede eliminar nada. Por esta razón, siempre debe evaluar cuidadosamente las alternativas cuando el software requiere extensiones o actualizaciones de esquema; asegúrese de que sea algo que esté dispuesto a comprometerse a usar.

¡Primero, asegúrese de tener una buena copia de seguridad de la base de datos de AD (generalmente% SystemRoot% \ ntds \ NTDS.DIT)! Guárdelo en un lugar seguro.

Si solo tienes un DC en tu bosque, es muy sencillo. Simplemente ejecute el adprep como dicen las instrucciones (o deje que el software actualice AD ​​mismo).

Si tiene más de un DC, asegúrese de que no haya absolutamente ningún error informado por dcdiagy replmon -syncall. Asegúrese de tener copias de seguridad de cada base de datos de AD (de cada DC). Determine el DC con el rol de maestro de esquema . Realice todas las actualizaciones en / a ese servidor siempre que sea posible.

AD se protegerá en la mayoría de los casos de actualizaciones de esquema fallidas. Si el archivo LDIF no pasa la sintaxis (digamos que BSOD en medio de una actualización), entonces no se cargará. Cada "actualización" tiene su propio conjunto de archivos LDIF.

Nunca he visto una actualización de esquema (siempre y cuando se haga correctamente) que salga mal. MS realmente parece haber eliminado todas las paradas para hacer de este un proceso sólido y confiable, y se nota. Los únicos escenarios reales en los que podría ver que algo malo sucedería sería si perdiste la energía a mitad de camino (incluso entonces no estoy seguro), o si tu AD ya estaba jodido para empezar (en cuyo caso tienes problemas más grandes).

Todo lo que una actualización de esquema realmente hace es extender el AD con nuevas clases de objetos y propiedades (que una aplicación o una versión más nueva de AD pueden usar), por lo que el alcance para el desastre es bastante limitado. Este artículo de Technet ofrece una descripción general decente y cubre algunos casos potenciales de cosas malas que suceden.

El enfoque estándar para mí sería garantizar que todo funcione correctamente de antemano (a través de dcdiag, replmon, etc.) y asegurarme de que tengo una copia de seguridad de AD bien conocida en caso de que ocurra lo peor. Mantendría esta copia de seguridad el mayor tiempo posible, ya que AD puede ser tan robusto que los problemas pueden no manifestarse durante mucho tiempo después. Por lo tanto, el respaldo y la restauración estándar serían mi reversión. Pero como dije, nunca he visto que ese sea el caso.

El enfoque fuera de línea de DC funcionaría para un entorno pequeño. Para un entorno grande, preferiría realizar la actualización en un DC que no está conectado. Si el proceso de actualización se completa con éxito, conéctelo a la red y replique los cambios. Un retroceso en este escenario sería tan simple como extraer una unidad de un conjunto de espejos y apagar el CC y volver a insertar la unidad correcta que era actual antes de la actualización.

En una red grande con cientos o miles de cc, volver a insertar el buen enfoque de cc no sería práctico.