必须完成验证兼容性、准备双组权限账户、执行三项备份及测试环境验证后,方可扩展AD Schema;Schema扩展不可逆,失败需离线重建DC。
在windows域环境中扩展ad schema前,必须完成一系列严谨的准备工作。schema扩展不可逆、影响全林,一旦出错可能导致整个目录服务异常,因此不能跳过验证和备份环节。
确认扩展需求与兼容性
不是所有功能升级都需要手动扩展Schema。例如Windows Server 2016/2019/2022的林功能级别提升会自动触发部分Schema更新,但Exchange、LAPS、SCCM等第三方或附加组件通常需独立运行adprep /forestprep。务必查阅对应产品的官方文档,确认所需最小Schema版本号(如LAPS v2要求Schema版本≥87),并用ldifde -f schema.txt -s -d "cn=schema" -l objectVersion查当前版本。
执行权限与操作账户准备
Schema扩展必须由具有Schema Admins和Enterprise Admins双重组成员身份的账户执行,且该账户需在森林根域中。注意:仅加入组不生效,需重新登录或运行klist purge刷新Kerberos票据。建议新建专用运维账号,避免使用Administrator或日常管理账号,降低误操作风险。
备份与回滚方案落实
扩展前必须完成三项备份:
- 对森林根域的至少一台全局编录服务器执行wbadmin start systemstatebackup(系统状态备份)
- 导出当前Schema快照:ldifde -f schema_pre.ldf -s
-d "cn=schema" -p subtree - 记录所有DC的repadmin /showrepl输出,确认复制健康、无延迟
注意:无法通过“还原系统状态”直接回退Schema变更。若扩展失败,只能从备份恢复整个DC系统状态——这意味着该DC需离线重建,所以备份必须可验证、可恢复。
测试环境先行验证
绝对禁止在生产环境首次运行Schema扩展命令。应在隔离的测试林中完整复现目标环境(相同OS版本、补丁级别、现有Schema版本、DC数量及角色分布),执行相同adprep流程,并用repadmin /replsummary和dcdiag验证复制与服务状态。尤其关注FSMO角色持有者是否正常响应、新类/属性能否被LDAP客户端正确读写。
