检查域控制器是否已克隆

检查域控制器是否已克隆

我有理由相信,以前的管理员在最近的某个时候克隆了我们的域控制器。DC 曾经在 Server 2003 上运行,后来升级到 Server 2008 R2 Standard。功能级别也为 2008。直到 Server 2012,Microsoft 才支持克隆域控制器。我们已经看到许多不合理的现象,并认为我们的辅助 DC 只是主 DC 的克隆。甚至我们现有的主 DC 也是过去 DC 的克隆。我们的 DC 是在 Microsofts Hyper-V 上运行的 VM。目前它们位于装有 Server 20012 R2 的主机上,我们的第二个 DC 托管在 Server 2008 R2 上。

有人知道是否有办法查看 DC 是否已被克隆?

答案1

Sysinternals 的 PS GetSid 将显示 SIDS 是否匹配。
https://technet.microsoft.com/en-us/sysinternals/bb897417.aspx

如果它们匹配那么这就是答案,如果它们不同那么它将不会显示它是否被克隆和系统准备,或者通过另一种方法更改,或者根本不是克隆。

另一方面,MS 提供 180 天免费试用,启动新的 2012 vm,推广它,然后从可能的克隆中删除 AD。如果问题停止,那么至少有一个已知的解决方案。

[编辑] 以上内容不正确,谢谢@RyanRies。GetSID
将为域中的所有 DC 返回相同的计算机帐户 SID。在非克隆环境中,同一站点中的 2 个 DC:ADSIEdit 将列出不同的 ObjectGUID,并且 ObjectSID 将与 GETSID +“-%4DifferentDigits%”匹配。

相关内容