Remove From My Forums

restaurer le schéma AD ou ne pas abimé le schéma AD si setup /ps "E2010 SP2US" pose pb

Question
0

Connectez-vous pour voter

Bonjour,

Question sur Restauration du schéma 'DC-W2008SP2 Mode Windows 2003'(et pas W2008R2SP1)

Contexte :

On me demande de disposer d'une possibilité de restaurer le schéma AD si les
commandes de mise à jour du schéma réalisée avec le setup /ps "E2010 SP2US" abime le schéma.

Puis je effectuer une restauration faisant autorité du schéma avec ntdsutil ou un autre utilitaire windows 2008 ?

Remarque : il n'existe pas d'outil tiers sous forme d'agent (Tina , BackupExec etc...) dans ce cas de figure.
La question n'est pas de restaurer une OU ou un objet user , ou Sysvol, ou CA ou le cluster mais uniquement le schéma.
Les DC démarre Boot On SAN.

Mais peut etre que la commande setup /ps d'E2010 SP2US présente toutes les garanties de cohérence de la mise à jour sur le schéma et rend inutile
la mise en oeuvre d'une procédure de restauration du schéma de l'active directory.

Autre solution avant d’effectuer la mise à jour du schéma, désactivez les réplications sortantes sur le Schéma Master.

Quelle direction est la plus fiable (sans danger et la plus légère à mettre en oeuvre)?
PATMOY
BOAT

vendredi 13 juillet 2012 09:42

Réponse

|

Citation

Réponses

2

Connectez-vous pour voter
Bonjour,

vous avez un article très complet sur le sujet sur ce site :
http://blogs.technet.com/b/janelewis/archive/2009/05/12/schema-what-is-the-best-practise-for-updating.aspx

À ma connaissance, il n'y a pas de moyen simple de revenir en arrière lorsque vous avez procédé à une mise à jour du schéma. Tous les contrôleurs en seront informés et il serait alors nécessaire de restaurer l'état du système de tous les contrôleurs de domaine (et c'est une supposition, je n'ai jamais procédé de cette manière).

Microsoft ne recommande pas non plus d'isoler le maître de schéma pour réaliser l'opération. Aussi, lorsqu'on m'a demandé à titre professionnel de valider que l'extension de schéma fonctionnait convenablement (reste à définir ce qu'on appelle "fonctionner" convenablement), j'ai souvent eu recours à la méthode suivante:

- création d'une VM et ajout comme contrôleur de domaine supplémentaire (les données de l'annuaire sont alors répliquées sur ce contrôleur) ; N'oubliez pas d'en faire un serveur DNS que le serveur interrogera lui-même par la suite ;
- isolation du contrôleur de domaine (le déconnecter du réseau mais en lui laissant un "link" up sur la carte réseau, comme le mode "Host Only" d'un certain émulateur de machine virtuelles :-)
Une fois la VM déconnectée de la production:
- nettoyage sur la production du contrôleur de domaine. En effet, les anciens contrôleurs vont rapidement générer des erreurs relatives à des problèmes de réplication. Dans ce cas, on considère que le contrôleur de domaine a été supprimé manuellement: http://support.microsoft.com/kb/216498
Une fois cette opération réalisée, la production reste inchangée puisque vous avez faire "disparaitre le contrôleur situé dans la VM"

- sur la VM: Faites pointer le client DNS du serveur sur son propre serveur DNS (sans quoi les ouvertures de session seront très longues) ;
- Utilisation de NTDSUTIL et des commandes appropriées pour forcer les rôles FSMO sur le contrôleur de domaine (schema master en particulier mais également les autres) http://support.microsoft.com/kb/255504 ;
- toujours sur la VM, en faire un serveur de catalogue global.
- nettoyage de tous les contrôleurs de production depuis la VM isolée (afin qu'il ne reste plus que le contrôleur de de la VM: http://support.microsoft.com/kb/216498

À ce stade, vous avez un contrôleur de domaine isolé avec tous les rôles FSMO et le GC. Il ne vous reste qu'à procéder aux tests que vous jugerez utiles pour l'extension de schéma. Si tout fonctionne comme vous le souhaitez, vous pouvez éteindre cette VM et procéder à l'opération sur le véritable maître de schéma.

Je ne prétends pas qu'il s'agit là de la solution la plus simple, mais c'est celle que j'ai déjà utilisée sur le terrain lorsque cela était nécessaire. Si vous décidez de la suivre, soyez prudent et méticuleux avec les commandes NTDSUTIL. C'est un peu comme ADSIEDIT pour éditer les objets Active Directory.

Que vous suiviez cette méthode ou une autre, j'espère que ces quelques lignes vous donneront des indices pour réussir au mieux cette opération.

Thierry
Groupe des Administrateurs de Microsoft Exchange Server (GAMES) http://exchange.microsoftgroups.org
- Proposé comme réponse Florin Ciuca lundi 16 juillet 2012 15:45
- Marqué comme réponse Florin Ciuca vendredi 20 juillet 2012 13:10
vendredi 13 juillet 2012 10:39

Réponse

|

Citation
1

Connectez-vous pour voter
Il s'agit d'une extension de schéma : Exchange rajoute des classes et définitions d'attribut dans le schéma AD. Rien n'est enlever, il y a quelques attributs Exchange modifiés.

Si l'installation se fait mal, au pire vous aurez des jeux d'attributs supplémentaires dans le schéma, et vous devrez repasser une couche de /prepareschema. Vous ne pouvez pas restaurer le schéma: "An authoritative restore will not overwrite new objects that have been created after the backup was taken. You can authoritatively restore only objects from the configuration and domain-naming contexts. Authoritative restores of schema-naming contexts are not supported." source :http://technet.microsoft.com/en-us/library/bb727048.aspx

De toute façon la restauration d'un schéma poserait plus de problème qu'elle n'en résoud, il faudra quasiment détruire tous les DC autre que le schéma master, restaurer le schéma master sur la sauvegarde, et reconstruire les autres DC par la suite sous peine d'avoir des bases AD complètement tordues.

Les modifications apportées par l'extension de schéma sont consultables ici : http://msdn.microsoft.com/en-us/library/dd877014(EXCHG.140).aspx
- Modifié Bruce JDCModerator vendredi 13 juillet 2012 10:21
- Proposé comme réponse Florin Ciuca lundi 16 juillet 2012 15:45
- Marqué comme réponse Florin Ciuca vendredi 20 juillet 2012 13:10
vendredi 13 juillet 2012 10:19

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter
Bonsoir,

concrètement, je n'ai JAMAIS rencontré de cas où l'extension de schéma a nécessité une restauration.

Au pire, ce serait au moment de l'utilisation des nouveaux éléments (attributs) qu'il pourrait y avoir des soucis.

Le seul cas connu correspond à une mise à jour dans le désordre de Exchange 2003 à 2003 puis de Windows 2000 à 2003, qui pouvait faire perdre la liaison/délégation dans Outlook.

Microsoft déconseille formellement de désactiver les réplications de AD, quelles qu'en soient les raisons!!!! C'est le meilleur moyen d'avoir des problèmes là où il ne devrait pas y en avoir. (Attention, plusieurs procédures indiquant ces méthodes ne sont pas complètes et oublient d'indiquer comment réactiver les réplications).

Au pire, si le client insiste pour avoir un POC et les frais correspondants, on peut tester la mise à jour sur une maquette (réalisée à partir d'une sauvegarde de l' AD actuel).

A bientôt,
Thierry DEMAN. Exchange MVP. https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info
- Marqué comme réponse Florin Ciuca vendredi 20 juillet 2012 13:10
lundi 16 juillet 2012 17:35

Réponse

|

Citation

Modérateur

Toutes les réponses

1

Connectez-vous pour voter
Il s'agit d'une extension de schéma : Exchange rajoute des classes et définitions d'attribut dans le schéma AD. Rien n'est enlever, il y a quelques attributs Exchange modifiés.

Si l'installation se fait mal, au pire vous aurez des jeux d'attributs supplémentaires dans le schéma, et vous devrez repasser une couche de /prepareschema. Vous ne pouvez pas restaurer le schéma: "An authoritative restore will not overwrite new objects that have been created after the backup was taken. You can authoritatively restore only objects from the configuration and domain-naming contexts. Authoritative restores of schema-naming contexts are not supported." source :http://technet.microsoft.com/en-us/library/bb727048.aspx

De toute façon la restauration d'un schéma poserait plus de problème qu'elle n'en résoud, il faudra quasiment détruire tous les DC autre que le schéma master, restaurer le schéma master sur la sauvegarde, et reconstruire les autres DC par la suite sous peine d'avoir des bases AD complètement tordues.

Les modifications apportées par l'extension de schéma sont consultables ici : http://msdn.microsoft.com/en-us/library/dd877014(EXCHG.140).aspx
- Modifié Bruce JDCModerator vendredi 13 juillet 2012 10:21
- Proposé comme réponse Florin Ciuca lundi 16 juillet 2012 15:45
- Marqué comme réponse Florin Ciuca vendredi 20 juillet 2012 13:10
vendredi 13 juillet 2012 10:19

Réponse

|

Citation

Modérateur
2

Connectez-vous pour voter
Bonjour,

vous avez un article très complet sur le sujet sur ce site :
http://blogs.technet.com/b/janelewis/archive/2009/05/12/schema-what-is-the-best-practise-for-updating.aspx

À ma connaissance, il n'y a pas de moyen simple de revenir en arrière lorsque vous avez procédé à une mise à jour du schéma. Tous les contrôleurs en seront informés et il serait alors nécessaire de restaurer l'état du système de tous les contrôleurs de domaine (et c'est une supposition, je n'ai jamais procédé de cette manière).

Microsoft ne recommande pas non plus d'isoler le maître de schéma pour réaliser l'opération. Aussi, lorsqu'on m'a demandé à titre professionnel de valider que l'extension de schéma fonctionnait convenablement (reste à définir ce qu'on appelle "fonctionner" convenablement), j'ai souvent eu recours à la méthode suivante:

- création d'une VM et ajout comme contrôleur de domaine supplémentaire (les données de l'annuaire sont alors répliquées sur ce contrôleur) ; N'oubliez pas d'en faire un serveur DNS que le serveur interrogera lui-même par la suite ;
- isolation du contrôleur de domaine (le déconnecter du réseau mais en lui laissant un "link" up sur la carte réseau, comme le mode "Host Only" d'un certain émulateur de machine virtuelles :-)
Une fois la VM déconnectée de la production:
- nettoyage sur la production du contrôleur de domaine. En effet, les anciens contrôleurs vont rapidement générer des erreurs relatives à des problèmes de réplication. Dans ce cas, on considère que le contrôleur de domaine a été supprimé manuellement: http://support.microsoft.com/kb/216498
Une fois cette opération réalisée, la production reste inchangée puisque vous avez faire "disparaitre le contrôleur situé dans la VM"

- sur la VM: Faites pointer le client DNS du serveur sur son propre serveur DNS (sans quoi les ouvertures de session seront très longues) ;
- Utilisation de NTDSUTIL et des commandes appropriées pour forcer les rôles FSMO sur le contrôleur de domaine (schema master en particulier mais également les autres) http://support.microsoft.com/kb/255504 ;
- toujours sur la VM, en faire un serveur de catalogue global.
- nettoyage de tous les contrôleurs de production depuis la VM isolée (afin qu'il ne reste plus que le contrôleur de de la VM: http://support.microsoft.com/kb/216498

À ce stade, vous avez un contrôleur de domaine isolé avec tous les rôles FSMO et le GC. Il ne vous reste qu'à procéder aux tests que vous jugerez utiles pour l'extension de schéma. Si tout fonctionne comme vous le souhaitez, vous pouvez éteindre cette VM et procéder à l'opération sur le véritable maître de schéma.

Je ne prétends pas qu'il s'agit là de la solution la plus simple, mais c'est celle que j'ai déjà utilisée sur le terrain lorsque cela était nécessaire. Si vous décidez de la suivre, soyez prudent et méticuleux avec les commandes NTDSUTIL. C'est un peu comme ADSIEDIT pour éditer les objets Active Directory.

Que vous suiviez cette méthode ou une autre, j'espère que ces quelques lignes vous donneront des indices pour réussir au mieux cette opération.

Thierry
Groupe des Administrateurs de Microsoft Exchange Server (GAMES) http://exchange.microsoftgroups.org
- Proposé comme réponse Florin Ciuca lundi 16 juillet 2012 15:45
- Marqué comme réponse Florin Ciuca vendredi 20 juillet 2012 13:10
vendredi 13 juillet 2012 10:39

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour PATMOY,

Merci de nous tenir au courant.

Cordialement,

Florin
Florin CIUCA, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

lundi 16 juillet 2012 15:46

Réponse

|

Citation
0

Connectez-vous pour voter
Bonsoir,

concrètement, je n'ai JAMAIS rencontré de cas où l'extension de schéma a nécessité une restauration.

Au pire, ce serait au moment de l'utilisation des nouveaux éléments (attributs) qu'il pourrait y avoir des soucis.

Le seul cas connu correspond à une mise à jour dans le désordre de Exchange 2003 à 2003 puis de Windows 2000 à 2003, qui pouvait faire perdre la liaison/délégation dans Outlook.

Microsoft déconseille formellement de désactiver les réplications de AD, quelles qu'en soient les raisons!!!! C'est le meilleur moyen d'avoir des problèmes là où il ne devrait pas y en avoir. (Attention, plusieurs procédures indiquant ces méthodes ne sont pas complètes et oublient d'indiquer comment réactiver les réplications).

Au pire, si le client insiste pour avoir un POC et les frais correspondants, on peut tester la mise à jour sur une maquette (réalisée à partir d'une sauvegarde de l' AD actuel).

A bientôt,
Thierry DEMAN. Exchange MVP. https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info
- Marqué comme réponse Florin Ciuca vendredi 20 juillet 2012 13:10
lundi 16 juillet 2012 17:35

Réponse

|

Citation

Modérateur

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

restaurer le schéma AD ou ne pas abimé le schéma AD si setup /ps "E2010 SP2US" pose pb

Question

Réponses

Toutes les réponses