das*_*sko 7 windows-server-2003 active-directory domain-controller
我们有一个拥有所有 FSMO 角色的新域控制器。我们还有两台旧硬件服务器,每台大约有 4 到 5 年的历史,设置为辅助域控制器(或者更好地描述为域控制器,这些域控制器也是 DNS 服务器,也没有任何 FSMO 角色,而是同一站点中的全局目录服务器)。我的问题是,如果我在一个辅助域控制器上由于旧硬件而出现驱动器故障,我是否会冒着 Active Directory 损坏的风险。我真的想说服客户为我们的第二个域控制器购买一个新的基于硬件的服务器,但预算再次紧张。谢谢。
我说是的,风险很小,但实际上
1) 驱动器故障将使数据无法读取。除非这是您拥有的唯一 DC(或者它是唯一的全局目录),否则这不是问题。(如果你只有一个 GC 的 DC,或者只有一个全局目录,你需要站起来再急!)
所以现在,我们只谈论腐败:
2a) 为了让损坏修改 AD,它必须修改(让我们假设一个简单的位翻转)AD 二进制数据库文件,以将数据更改为与 AD 架构一致且兼容的新值对于那个对象。
(这可能会记录一致性检查错误,并且 AD 会抛出错误消息并可能丢弃损坏的部分并提取 AD 数据本身的新副本。)
2b) 然后位翻转必须注册对数据的有效更改并更新 USN(更新序列号),否则位翻转将在未来将 USN 更新为有效的 USN。如果位翻转将 USN 更改为过去的序列号,它会认为自己具有过时的记录并从其他 DC 中提取当前的 USN。
请记住,除非您的 AD 允许匿名更改(这不是默认设置;我什至不确定它是否可能,但这将是一个巨大的安全禁忌),否则需要成功的身份验证和权限检查才能修改 AD . 哪些凭据用于磁盘损坏?同样,一致性检查失败的另一个原因。
因此,损坏必须以有意义的方式更改数据,提供有效的经过身份验证的用户帐户,并触发对 USN 的更新或本身将 USN 更新为有效的未来值。如果它做了所有这些事情,是的,它可能会破坏您的 AD 环境。这绝对有可能,但极不可能。
最有可能发生的是 AD 会阻塞并在该服务器上抛出错误,但其他 DC 会很好。
综上所述,您绝对应该尽快更换出现故障或出现故障的硬件。
| 归档时间: |
|
| 查看次数: |
408 次 |
| 最近记录: |