none
Update Schema Best Practice RRS feed

  • Общие обсуждения

  • Коллеги, доброе время суток!

    Есть вопрос на тему обновления схемы СК AD.

    В просторах сети масса документации на тему как безопасно и правильно обновлять схему AD, основные шаги это:

    1. Бакап

    2. Проверка репликации с партнерами

    3. Отключение исходящей репликации на мастере схемы.

    По поводу 3. пункта есть ответ от DS Team: 

    http://blogs.technet.com/b/askds/archive/2010/04/16/friday-mail-sack-i-live-again-edition.aspx#isolate

     And to be clear here , yes it is possible to disable replication temporarily. Older documentation even used to say things like "disconnect your schema master" or "block outbound replication". Newer documentation does NOT, as we now have a decade's worth of experience with customers using those techniques in lieu of proper testing. And dealing with the fallout of that! We've had customers disable the replication then forget to ever turn it back on again; guess what happened after 61 days?

    When the AskDS team says something is possible, it often gets construed as it's recommended and supported. It's not. Testing your schema update in a lab costs nothing thanks to free virtualization products aplently. Do that and you cannot go wrong.

    Возможно я не встречался с такого рода проблемами, но по большому счету я проводил обновления следующим образом:

    1. Бакап

    2. проверка репликации

    3. Обновление

    4. Проверка значений атрибута objVersion на каждом контроллере вручную.

    По поводу тестовых сред на предмет тестирования обновлений, самому не приходилось разворачивать, вспоминали с коллегами - тоже никто не вспомнил что это делал, возможно просто по тому что никто на это не выделяет бюджета в проектах.

    У кого, какое мнение по этому поводу?

    30 октября 2012 г. 6:12

Все ответы

  • На самом деле странное объяснение от AD Team, я так понял что они не рекомендуют откчать репликацию, потому что - пользователи забывают ее включить, по мне - так это их проблемы...
    30 октября 2012 г. 6:19
  • Если вдаться глубже, то в отключении репликации кроется ещё один малопопулярный момент - Initial Sync при старте владельца любой из FSMO в изолированной среде. Как уже писал во многих профильных темах - если уж отрывать, то отрывать парой - в полностью изолированный VLAN. И все операции проводить именно с парой. DC должен синхронизироваться с любым из своих партнёров по репликации - рассказать хотя бы кому-то, что он владелец FSMO. Случаи, когда камикадзе отключают требование синхронизации в политиках - настоятельно не рассматриваю.
    30 октября 2012 г. 6:30
    Отвечающий
  • Если вдаться глубже, то в отключении репликации кроется ещё один малопопулярный момент - Initial Sync при старте владельца любой из FSMO в изолированной среде. Как уже писал во многих профильных темах - если уж отрывать, то отрывать парой - в полностью изолированный VLAN. И все операции проводить именно с парой. DC должен синхронизироваться с любым из своих партнёров по репликации - рассказать хотя бы кому-то, что он владелец FSMO. Случаи, когда камикадзе отключают требование синхронизации в политиках - настоятельно не рассматриваю.

    Скорей всего такой проблемы не будет, ибо контроллер при загрузке выполнить должен входящую репликацию, а при обновлении в отключении входящей репликации смысла большого нет.

    http://support.microsoft.com/kb/305476

    При каждой загрузке операционной системы контроллеры доменов Active Directory пытаются выполнить репликацию входящих изменений для каждого раздела каталога, хранящегося на данном контроллере домена (разделы каталога также называют контекстами именования). Контроллеры домена, работающие под управлением Microsoft Windows Server 2003 и Microsoft Windows 2000 с пакетом обновления 3 (SP3) или более поздней версии и являющиеся хозяевами операций, должны успешно выполнить репликацию входящих изменений для разделов каталога, хранящих сведения о состоянии соответствующих хозяев операций и осуществляющих репликацию этих сведений. 


    30 октября 2012 г. 7:16
  • Скорей всего такой проблемы не будет, ибо контроллер при загрузке выполнить должен входящую репликацию, а при обновлении в отключении входящей репликации смысла большого нет.
    Рекомендую к прохождению: WorkshopPLUS - Active Directory Backup and Disaster Recovery и WorkshopPLUS - Active Directory Troubleshooting. После этого можно будет продолжить про документированные публично особенности AD и про не совсем... :)
    Без сарказма, но "скорее всего" в реальности у админов как правило не совпадает с ожидаемым :(
    30 октября 2012 г. 8:02
    Отвечающий
  • Ну а я и говорю о той проблеме, что вы описали - ее не будет потому, что при загрузке контроллер запрашивает входящую репликацию, а ее отключать  в принципе незачем, поэтому рекомендация для Initial Sync считаю в этом случае лишней. 

    P.S. Спасибо за ссылки, полезно. Но как ответ на тему Initial Sync совсем не в тему.

    • Изменено ЮА 30 октября 2012 г. 8:43
    30 октября 2012 г. 8:30
  • Вопчем, дабы не флудить публично - напишите мне на andrico-собака-мейл.ру, попробую вспомнить реальное положение дел и бумажную литературу дома поднять.

    30 октября 2012 г. 8:45
    Отвечающий
  • ок, спасибо.
    30 октября 2012 г. 8:46