Contrôler Forestprep

? Les ingénieurs
et les administrateurs système
sont prudents par nature. Ils hésiteront
peut-être à  exécuter une opération
à  faible risque mais à  fort impact
(si elle cause une corruption de
schéma) sans pouvoir maîtriser sa dissémination
ou sans avoir un plan de secours.
Si le processus Forestprep
échoue, vous ne trouverez pas facilement
un plan de secours. Votre seul espoir
sera que la réplication fonctionne
encore afin d’effectuer une restauration
autoritaire de votre partition de
schéma ou exécuter une reprise de forêt.
Vous pouvez télécharger un document
de reprise de forêt à  partir du site
Web Microsoft (http://download.microsoft.
com/download/win2000srv/
utility/1.001/nt5/enus/forestrecovery.
exe).
Microsoft reconnaît l’existence de
ce problème. Les fichiers d’aide de
Windows 2003 vous conseillent de déconnecter
le schema operation master
du réseau avant d’utiliser Forestprep.
Cependant, l’article Microsoft « Windows
Server 2003 Help Files Contain
Incorrect Information About How to
Update a Windows 2000 Domain »
(http://support.microsoft.com/?kbid=
821076) déclare que la recommandation
du fichier Help est incorrecte.
Pourquoi est-il incorrect de déconnecter
le schema master ? A première vue,
déconnecter le schema master du
reste du réseau semble parfaitement
logique. Si vous le faites et si le schéma
se corrompt pendant l’opération de
mise à  niveau du schéma, la corruption
ne se répliquera pas dans la forêt. Mais
des tests de développement de
Forestprep effectués par Microsoft sur
un schema master Win2K SP3 ont
constaté que quand le master isolé est
réinitialisé, il ne reprend pas le rôle de
schema master s’il n’a pas un autre DC
avec lequel effectuer la réplication. Par
conséquent, si vous retirez un second
DC du réseau public, vous devez modifier
les enregistrements DNS pour que
les deux machines communiquent correctement. Si vous n’avez pas restauré
tous les enregistrements à  leur
état d’origine (en éliminant la communication
entre les deux machines),
quand vous remettrez le système en
ligne, les enregistrements DNS modifiés
se répliqueront dans le domaine.
Cette méthode n’en vaut pas la peine
parce qu’il existe une méthode plus
simple : vous pouvez contrôler la réplication
des changements de Forestprep
et de Domainprep en isolant le schema
master dans son propre site et en
contrôlant la réplication entre ce site et
le reste des sites de la forêt.
Vous pouvez pousser plus loin ce
concept de quarantaine en isolant un
site existant (généralement le site sur
lequel le schema master réside) à  la
fois à  partir du site schema master et
du reste de la forêt. Bien que ce soit
une excellente idée que d’avoir un site
schema master, le test d’AD que l’on
peut effectuer sur un DC isolé est forcément
limité. Vous devez tester les
changements de Forestprep sur vos
applications de type AD cruciales
comme Exchange 2000 avant de pouvoir
certifier que la mise à  niveau est
réussie. Ce n’est qu’alors que vous
pourrez libérer la mise à  niveau du
schéma pour qu’elle se réplique dans
toute la forêt. Examinons le processus
de quarantaine. Pour cela, appelons le
site schema master le site de quarantaine
phase 1 et l’autre site, le site de
quarantaine phase 2.