背景故事。
我们有一个开发工程师(他恰好有权访问域管理员帐户),他在我们的域上设置了一些 DHCP 服务器。这带来了麻烦,因为新的 DHCP 服务器在我们的域上获得授权并具有权威性。
这些服务器是临时的,正在转移到另一个第三方站点。我们已经解决了麻烦,并制定了在迁移前取消授权的时间表。我的工作是在迁移服务器时取消授权并清理任何残留物。
一台服务器已退役(角色已移除并从域中移除)。这意味着我的操作顺序必须是这样的(对于第一台服务器):
1. 从恶意服务器中移除 DHCP 服务角色。2
. 从我们的域中移除恶意服务器。3
. 在 DHCP mmc 中取消对恶意服务器的授权。
我希望在移除服务器角色之前取消对服务器的授权。我可以对稍后要移动的其他 2 台服务器执行此操作。继续...
另一位系统管理员在我之前处理此事,她担心 AD 会将 AD 信息/对象与 DHCP 服务器同步。我不知道 AD 会同步任何东西到DHCP 服务器,但另一位系统管理员提到这一点让我(和我的经理)感到担忧。我的经理希望完全确保在流氓服务器退役并移出后,服务器上没有 AD 数据,包括对 DHCP 服务在其下运行的域帐户的任何引用。重建服务器(在将它们移出后彻底消除任何安全隐患)似乎不是一个选择。我(还)不知道他们运行的是哪个版本的 Windows Server。
那么问题是: 操作
顺序需要纠正或清理什么?
任何我需要从已停用的 DHCP 服务器中清除 AD 数据(包括日志,尽管它们的位置通常很标准)吗?
是否有任何对 DHCP 服务所运行的域帐户的引用?我在哪里可以找到它们并清除它们?
答案1
操作顺序方面需要修正或清理什么?
没有什么
是否有任何 AD 数据(包括日志,尽管它们的位置通常非常标准)需要我从已取消推荐的 DHCP 服务器中清理?
不。DHCP 数据库中没有 AD 数据,AD 数据在 AD 数据库中。
是否会有任何对 DHCP 服务运行所处的域帐户的引用?我在哪里可以找到这些引用并清除它们?
通常,DHCP 不作为服务帐户运行。如果设置了,请查看该死的服务器,看看 DHCP 服务器服务以什么身份运行。
仅供参考,你肯定是想太多了。
答案2
如果 DHCP 服务器已添加到域中,那么在从域中删除它们后,肯定会有对域的引用。保证服务器上没有 AD 数据的唯一安全方法是擦除磁盘并重新安装 Windows(尽管仍有可能使用数据恢复软件恢复数据)。