本文解释了将 AD 设置复制到隔离网络中的测试机器是多么简单的过程。显而易见的问题是,如果隔离林与生产环境物理连接,你就完蛋了。
我该如何安全地防范这种情况?是否可以更改林根域名?如果连接到生产环境,这是否足以防止冲突?
答案1
The obvious issue is that if the isolated forest gets physically connected to production your screwed.
不仅仅是因为您将其连接到生产网络,还因为它将具有与您的生产 DC 相同的 IP 地址,并且生产域客户端将通过 DNS 找到它并尝试与其通信。所有 DC 通信都从 DNS 开始。域客户端通过查询 DNS 以获取 DC 的 SRV 记录来查找 DC。如果您要更改测试域控制器的 IP 地址,则生产域客户端将找不到它,也不会尝试与其通信。
现在,我并不是说即使您确实更改了 IP 地址,将此重复的 DC 连接到您的生产网络也是一个好主意,我只是澄清一下,这背后并没有“魔法”。如果生产客户端无法通过 DNS 找到此 DC,那么它们就无法与其通信。
答案2
在克隆域控制器以防止生产损坏时,Microsoft 支持部门提供了最佳实践。我假设您的测试环境中只有一个 DC:
打开管理命令提示符,为测试域控制器重置计算机帐户密码(两次):netdom resetpwd /server: /userD:Administrator /passwordD:*
如果存在任何林信任,请打开管理命令提示符以重置信任密码。如果没有 AD 信任,则可以跳过此步骤。请记住,对于任何子域,都需要对每个子域执行此操作,并且从每个子域到根域也需要执行此操作。
netdom trust /domain: /resetOneSide /passwordT: /userO:administrator /passwordO:*
使用 Active Directory 用户和计算机,查看高级,找到已禁用的 krbtgt 帐户(默认情况下在用户容器中)。重新设置密码两次。使用复杂的密码并取消选中“用户必须在下次登录时更改密码”框。由于该帐户始终处于禁用状态,因此无需记录此密码。但是,该密码用于派生 Kerberos 密钥。
正如所述乔奎蒂小心使用 IP 地址。此外,您需要测试网络上的 DNS 服务器仅用于测试。确保 DC 在该服务器上注册,而不是在生产 DNS 上注册。如果使用 WINS,您还需要考虑它。
虽然我们没有重新连接到生产网络,但上述过程是我们执行模拟林恢复时众多步骤的一部分。现在,每当我们进行有风险的 AD 更改时,我们都会将虚拟机放在专用网络上以备不时之需,以便进行紧急恢复。