Windows Active Directory 스키마 업데이트는 얼마나 안전합니까?

Active Directory가 스키마 업데이트를 처리하는 방법, 특히 절차에 실제로 AD가 얼마나 중요한지, 업데이트가 필요한 상황의 범위가 얼마나 안전한지에 대해 더 잘 이해하려고합니다. 예를 들어 Exchange 2007, OCS, SCOM은 모두 스키마 변경이 필요합니다. 이는 Windows 2003에서 Windows 2008 인프라로의 주요 전환을 고려할 때 발생하는 것이 아닙니다.

내가 찾고있는 것은 실제로 변경되는 경우를 대비하여 스키마 변경에 대한 최상의 취소 계획에 대한 조언입니다. 예를 들어 업데이트 중에 하나의 DC를 오프라인으로 전환하여 스키마 업데이트에 실패한 경우 전체 환경을 롤백하는 데 사용할 수 있습니까? 스키마 업데이트 중에 오프라인 상태 인 DC를 다시 활성화하는 데 문제가 있습니까?

스키마 업데이트는 단방향 기능입니다. AD에는 새 스키마 만 추가 할 수 있으며 아무 것도 삭제할 수 없습니다. 이러한 이유로 소프트웨어에 스키마 확장 또는 업데이트가 필요한 경우 항상 대안을 신중하게 평가해야합니다. 당신이 기꺼이 사용하고자하는 것이 있는지 확인하십시오.

먼저 AD 데이터베이스의 백업 복사본이 있어야합니다 (보통 % SystemRoot % \ ntds \ NTDS.DIT)! 안전한 장소에 보관하십시오.

포리스트에 DC가 하나만 있으면 매우 간단합니다. 지침에 따라 adprep을 실행하십시오 (또는 소프트웨어가 AD 자체를 업데이트하도록 함).

DC가 둘 이상인 경우 dcdiag및로 보고 된 오류가 없는지 확인하십시오 replmon -syncall. 모든 AD 데이터베이스 (각 DC에서)의 백업이 있는지 확인하십시오. 스키마 마스터 역할을 사용하여 DC를 결정합니다 . 가능한 경우 해당 서버에서 모든 업데이트를 수행하십시오.

AD는 대부분의 경우 실패한 스키마 업데이트로부터 스스로를 보호합니다. LDIF 파일이 구문을 전달하지 않으면 (예 : 업데이트 도중 BSOD)로드되지 않습니다. 각 "업데이트"에는 고유 한 LDIF 파일 세트가 있습니다.

스키마 업데이트가 제대로 수행되지 않는 것을 본 적이 없습니다. MS는이 과정을 견고하고 신뢰할 수있는 프로세스로 만드는 데있어 모든 중단 점을 제거한 것으로 보입니다. 내가 잘못하고있는 일을 볼 수있는 유일한 실제 시나리오는 전원을 도중에 잃어 버렸거나 (아무도 확실하지 않은 경우) AD가 이미 시작되어 망가진 경우 (이 경우 더 큰 문제가 있음)입니다.

스키마 업그레이드가 실제로 하는 것은 응용 프로그램이나 최신 버전의 AD에서 사용할 수있는 새로운 개체 클래스 및 속성으로 AD를 확장하는 것이므로 재해 범위는 상당히 제한적입니다. 이 기술 문서 는 적절한 개요를 제공하고 몇 가지 잠재적 인 나쁜 일이 발생할 수있는 사례를 다룹니다.

나를위한 표준 접근법은 모든 것이 사전에 올바르게 작동하는지 (dcdiag, replmon 등을 통해) 보장하고 최악의 상황이 발생할 경우 AD의 백업이 잘되도록하는 것입니다. AD가 너무 강력 해 나중에 문제가 오랫동안 나타나지 않을 수 있기 때문에 가능한 한 오랫동안이 백업을 유지합니다. 따라서 표준 백업 및 복원이 롤백입니다. 그러나 내가 말했듯이, 나는 그런 경우를 본 적이 없다.

하나의 dc 오프라인 접근 방식은 소규모 환경에서 작동합니다. 대규모 환경에서는 연결되지 않은 dc에서 업데이트를 수행하는 것이 좋습니다. 업데이트 프로세스 제공이 완료되면 네트워크에 연결하고 변경 사항을 복제하십시오. 이 시나리오의 백 아웃은 미러 세트의 하나의 드라이브를 당기고 dc를 종료하고 업데이트 이전의 현재 상태였던 양호한 드라이브를 다시 삽입하는 것만 큼 간단합니다.

수백 또는 수천 개의 dc가있는 대규모 네트워크에서 올바른 dc 접근 방식을 다시 삽입하는 것은 실용적이지 않습니다.