So kann beim Schema Upgrade für Windows 2008 (fast) nichts schiefgehen

  • Article

UPDATE 05.11.2014: Das hier beschriebene Vorgehen wird leider von unserer Produktgruppe nicht unterstützt. Dazu aus dem US Blog https://blogs.technet.com/b/askds/archive/2010/04/16/friday-mail-sack-i-live-again-edition.aspx\#isolate
Isolating the Schema Master for ADPREP /FORESTPREP is not tested by the Product Group and not recommended
...
Our supported and recommended methodology is for you to test the migration in your lab with a copy of your current forest/schema; if there are going to be problems in the schema upgrade, they will happen in your lab. Likewise if there are going to be problems with the Schema itself, they would occur there as well. Prior to upgrading your schema, we recommend that you get a good System State backup on all DC’s; but we recommend you do this every day, not just for Schema upgrades. If there was some irreconcilable issue you could restore your forest from backup using those system states using our forest recovery info here: https://technet.microsoft.com/en-us/library/planning-active-directory-forest-recovery(WS.10).aspx

Euer Rol

###

Hallo, Thomas hier. Immer wieder werden wir gefragt, wie man sich am Besten gegen etwaige Probleme beim Schema-Upgrade für Windows 2008 absichert. Deshalb habe ich einmal die wesentlichen Schritte für die Vor- und Nachbereitung zusammengestellt, die übrigens auch für alle anderen Schema-Updates analog verwendet werden können.

1. Stellen Sie sich die folgenden Fragen:

a.) Habe ich mir die Dokumentation zu ADPREP in der Technet ( https://technet.microsoft.com/en-us/library/dd464018.aspx ) genau angeschaut?

b.) Habe ich ein getestetes Konzept für die Recovery meines kompletten Forest in der Schublade?

Wenn nicht, hier abbrechen und dieses Konzept implementieren und vor allen Dingen testen. Hilfestellung hierzu findet man im Whitepaper “Planning for Active Directory Forest Recovery” unter https://www.microsoft.com/downloads/details.aspx?amilyid=afe436fa-8e8a-443a-9027-c522dee35d85&displaylang=en

Die Erfahrung lehrt, dass, wenn ein solches Konzept vorhanden ist und dessen Anwendung regelmäßig trainiert wird, Murphy die Lust zum Zuschlagen blitzartig vergeht.

c.) Funktioniert die AD-Replikation auf jedem DC meines Forests?

Wenn Sie Überwachungstools wie den Microsoft System Center Operations Manager einsetzen lässt sich die Frage relativ schnell beantworten.

Ansonsten ist es erforderlich, den Befehl

repadmin /replsum /bysrc /bydest /sort:delta >replsum<Sitename>.txt

in jeder Site auszuführen und die Textdateien auf Inkonsistenzen zu untersuchen.

d.) Wie aktuell sind meine System State Backups und lassen sich diese auch zurück sichern?

Dieses lässt sich ganz einfach überprüfen und als "Belohnung" hat man dann gleich die Testumgebung für das Schema Update:

  • Erstellen Sie die System State Backups Ihres Schema Masters und auf je einem DC aus jeder Child Domäne mit NTBACKUP und sichern Sie diese auf die lokale Festplatte Ihrer Domänen Controller.
  • Nehmen Sie jetzt die so entstandenen System State Backups und spielen Sie sie  in Ihrer (virtuellen) vom Produktivnetz komplett isolierten Testumgebung ein.
  • Wenn Sie die Fehler wegen fehlender Replikationspartner im Eventlog stören, entfernen Sie in der Testumgebung alle anderen DCs aus der AD Datenbank indemSie den Schritten aus KB 216498 How to remove data in Active Directory after an unsuccessful domain controller demotion https://support.microsoft.com/default.aspx?scid=kb;EN-US;216498 für jeden nicht mehr vorhandenen DC folgen.

e.) Funktioniert der Schema Upgrade in einer abgeschotteten Testumgebung?

Führen Sie jetzt die einzelnen ADPREP Schritte (/forestprep, /domainprep /gpprep und eventuell /rodcprep) in Ihrer Testumgebung durch.
Achtung: Bei 32-bit Systemen muss mit Windows 2008 R2 adprep32 verwendet werden.

Kontrollieren Sie nach jedem Schritt den Erfolg anhand der folgenden Kriterien:

  • Keine Fehlermeldung auf der Kommandozeile. Wenn Fehler auftreten, finden Sie detaillierte Informationen im Verzeichnis %windir%\adprep\logs.       
  • Falls Probleme auftreten sollten, schauen Sie unter - Ask the Directory Services Team : Troubleshooting ADPREP Errors https://blogs.technet.com/askds/archive/2008/12/15/troubleshooting-adprep-errors.aspx nach einer etwaigen Lösung.
  • Die Operational GUIDs unter CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain  sind auf allen DCs vorhanden. Eine  Liste finden Sie unter Windows Server 2008: Forest-Wide Updates https://technet.microsoft.com/en-us/library/cc771922.aspx
  • Die Operational GUIDs unter CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,[DC=ChildDomain],DC=ForestRootDomain sind auf allen DCs der    jeweiligen Domäne vorhanden. Eine Liste finden Sie unter Windows Server 2008: Domain-Wide Updates https://technet.microsoft.com/en-us/library/cc770385.aspx
  • Die letzten beiden Punkte überprüft man am einfachsten mit ADSIEDIT.msc:

2. Hat alles funktioniert, dann ab in die Live-Umgebung.

  1. Überprüfen Sie noch einmal die Replikation des gesamten Forest wie oben unter c.) beschrieben.
  2. In der Live-Umgebung muss der Schema-Master für das Upgrade isoliert werden. Hierfür existieren unterschiedliche Ansätze:
  1. Deaktivieren der Replikation auf dem Schema Master mit dem Befehl repadmin /options +DISABLE_OUTBOUND_REPL
    Dieser Ansatz ist dann zu wählen, wenn sichergestellt werden kann, dass kein anderer Administrator während des Upgrades den Befehl repadmin /force ausführt, da dieser das +DISABLE_OUTBOUND_REPL außer Kraft setzt.
  2. Verbringen des Schema Masters und eines anderen DCs in eine eigene Site, die vom restlichen Netzwerk isoliert ist. Die IP-Adressen dürfen hierfür nicht geändert werden. Am besten zwei Maschinen aus demselben Netzwerksegment verwenden und über einen Switch ohne Verbindung zum Hauptnetzwerk verbinden. Dieses ist die sicherste Methode in großen Umgebungen.
  3. Eintragen einer Sperrzeit von 1-2 Stunden auf allen Site-Links, die die Schema-Master Site mit dem Rest der Welt verbinden und Durchführen des Upgrades in diesem Zeitraum. Dieses stellt eine zusätzliche Absicherung dar und kann mit 2.1 und 2.2 kombiniert werden.
  • Führen Sie adprep /forestprep aus und überprüfen Sie den Erfolg wie oben unter e.) beschrieben.
  • Falls Probleme auftreten sollten, schauen Sie unter -   Ask the Directory Services Team : Troubleshooting ADPREP Errors https://blogs.technet.com/askds/archive/2008/12/15/troubleshooting-adprep-errors.aspx nach einer etwaigen Lösung. 
  • Schalten Sie die Replikation entweder über repadmin /options -DISABLE_OUTBOUND_REPL bzw.durch Verbinden des Switches mit dem Hauptnetzwerk wieder ein.
  • Starten Sie die Replikation via repadmin /syncall oder warten Sie das normale Replikationsintervall ab.
  • Überprüfen Sie die Replikation der Änderungen mithilfe der Operational GUIDs für CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain zumindest stichprobenartig. Beobachten Sie hier besonders die DCs mit der größten Replikationslatenz.
  • Warten Sie noch einen kompletten Replikationszyklus ab, bevor Sie fortfahren.
  • Hat alles funktioniert kann nun der adprep /domainprep /gpprep auf den Infrastruktur Mastern aller Domänen, die mit Windows Server 2008 DCs ausgestattet werden sollen durchgeführt werden.
  • Da hier keine dramatischen Eingriffe mehr geschehen kann auf die Absicherung wie in den Schritten 1. bis 8. dargestellt verzichtet werden.
  • Besonders unkritisch ist der adprep /rodcprep Befehl, da dieser beliebig oft ausgeführt werden kann.

Viel Erfolg und viele Grüße
Thomas