我们有一个新的域控制器,它承担所有 FSMO 角色。我们还有两个旧的硬件服务器,每个大约有 4-5 年的历史,设置为辅助域控制器(或者更好地描述为域控制器,它们也是 DNS 服务器,不承担任何 FSMO 角色,但在同一站点中是全局目录服务器)。我的问题是,如果由于旧硬件导致其中一个辅助域控制器上的驱动器出现故障,我是否会面临 Active Directory 损坏的风险。我真的想说服客户为我们的第二个域控制器购买一台新的基于硬件的服务器,但预算又很紧张。谢谢。
答案1
是的,存在风险。没有所谓的辅助域控制器,AD 是多主设置。因此,如果您的某个域控制器损坏,您可以破坏您的 AD 数据库。
答案2
我认为是的,风险确实有点大,但实际上
不
,损坏或发生故障的驱动器很可能不会破坏您的 AD 环境。原因如下:1) 驱动器故障将导致数据无法读取。除非这是您拥有的唯一 DC(或唯一的全局目录),否则这不是问题。(如果您只有一个作为 GC 的 DC,或者只有一个全局目录,则需要尽快建立另一个!)
现在我们只讨论腐败:
2a) 为了让损坏修改 AD,它必须修改(假设是简单的位翻转)AD 二进制数据库文件,将数据更改为与该对象的 AD 模式一致且兼容的新值。
(这可能会导致一致性检查错误,并且 AD 会抛出错误消息,并可能丢弃损坏的部分并提取 AD 数据本身的新副本。)
2b) 然后,位翻转必须记录对数据的有效更改并更新 USN(更新序列号),否则位翻转将不得不将 USN 更新为未来的有效 USN。如果位翻转将 USN 更改为过去的序列号,它将认为自己拥有过期的记录,并从其他 DC 中提取当前 USN。
请记住,除非您的 AD 允许匿名更改(这不是默认设置;我甚至不确定这是否可行,但从安全角度来看,这绝对是不行的),否则需要通过成功的身份验证和权限检查才能修改 AD。磁盘损坏时使用了哪些凭据?同样,这也是一致性检查失败的另一个原因。
因此,损坏必须以有意义的方式更改数据,提供有效的经过身份验证的用户帐户,并触发对 USN 的更新或将 USN 本身更新为有效的未来值。如果它做了所有这些事情,是的,它可能会破坏您的 AD 环境。这绝对是可能的,但可能性极低。
最有可能发生的情况是,AD 将在该服务器上阻塞并抛出错误,但其他 DC 则不会出现问题。
尽管如此,你绝对应该尽快更换出现故障或发生故障的硬件。
答案3
如果您无法替换“辅助”DC,则可以将其设置为只读域控制器 (RODC)。
这些基本上会从您的“主”DC 复制 AD 并可对其进行查询,但无法从这些机器对 AD 进行任何更改。因此,如果其中一个被损坏,您可以将其脱机,并且不会有 AD 损坏的风险。