dasko Asked: 2012-07-14 07:59:29 +0800 CST2012-07-14 07:59:29 +0800 CST 2012-07-14 07:59:29 +0800 CST 带有故障硬盘驱动器硬件的第二个域控制器是否会导致 Active Directory 损坏? 772 我们有一个新的域控制器,它拥有所有 FSMO 角色。我们还有两台旧硬件服务器,每台大约 4-5 年,设置为辅助域控制器(或更好地描述为域控制器,它们是 DNS 服务器,也没有任何 FSMO 角色,而是同一站点中的全局目录服务器)。我的问题是,如果我在其中一个辅助域控制器上出现驱动器故障(由于旧硬件),我是否会冒 Active Directory 损坏的风险。我真的很想说服客户为我们的第二个域控制器购买一个新的基于硬件的服务器,但预算又很紧张。谢谢。 windows-server-2003 domain-controller active-directory 3 个回答 Voted gWaldo 2012-07-14T09:46:24+08:002012-07-14T09:46:24+08:00 我说是的,有一点风险,但实际上不,损坏或故障的驱动器很可能不会破坏您的 AD 环境。原因如下: 1) 驱动器故障会使数据不可读。除非这是您拥有的唯一 DC(或者它是唯一的全局目录),否则这不是问题。(如果你只有一个 DC 是 GC,或者只有一个 Global Catalog,你需要再站起来!) 所以现在,我们只谈论腐败: 2a) 为了损坏修改 AD,它必须修改(让我们假设一个简单的位翻转)AD 二进制数据库文件,将数据更改为与 AD 架构一致且兼容的新值对于那个对象。 (这可能会记录一致性检查错误,并且 AD 会抛出错误消息并可能丢弃损坏的部分并提取 AD 数据本身的新副本。) 2b) bit-flip 然后必须注册对数据的有效更改并更新 USN(更新序列号),否则 bit-flip 将在未来将 USN 更新为有效的 USN。如果 bit-flip 将 USN 更改为过去的序列号,它会认为自己有过时的记录,并从其他 DC 中提取当前的 USN。 请记住,除非您的 AD 允许匿名更改(这不是默认设置;我什至不确定这是否可能,但这是一个巨大的安全禁忌),否则需要成功的身份验证和权限检查才能修改 AD . 磁盘损坏中使用了哪些凭据?同样,一致性检查失败的另一个原因。 因此,损坏必须以有意义的方式更改数据,提供经过身份验证的有效用户帐户,并触发对 USN 的更新或本身将 USN 更新为有效的未来值。如果它做了所有这些事情,是的,它可能会破坏您的 AD 环境。这绝对有可能,但极不可能。 最有可能发生的是 AD 会阻塞并在该服务器上抛出错误,但其他 DC 会很好。 综上所述,您绝对应该尽快更换出现故障或出现故障的硬件。 Best Answer Zypher 2012-07-14T08:02:24+08:002012-07-14T08:02:24+08:00 是的,有风险。没有辅助域控制器之类的东西,AD 是一个多主设置。因此,如果您有一个损坏,您可能会损坏您的 AD 数据库。 Robin Gill 2012-07-14T08:32:07+08:002012-07-14T08:32:07+08:00 如果您无法替换“辅助”DC,则将它们设置为只读域控制器 (RODC) 可能是个好主意。 这些基本上会从您的“主要”DC 复制 AD,并且可以对其进行查询,但不能从这些机器对 AD 进行任何更改。因此,如果一个要损坏,您可以将其脱机并且没有 AD 损坏的风险。
我说是的,有一点风险,但实际上
不
,损坏或故障的驱动器很可能不会破坏您的 AD 环境。原因如下:1) 驱动器故障会使数据不可读。除非这是您拥有的唯一 DC(或者它是唯一的全局目录),否则这不是问题。(如果你只有一个 DC 是 GC,或者只有一个 Global Catalog,你需要再站起来!)
所以现在,我们只谈论腐败:
2a) 为了损坏修改 AD,它必须修改(让我们假设一个简单的位翻转)AD 二进制数据库文件,将数据更改为与 AD 架构一致且兼容的新值对于那个对象。
(这可能会记录一致性检查错误,并且 AD 会抛出错误消息并可能丢弃损坏的部分并提取 AD 数据本身的新副本。)
2b) bit-flip 然后必须注册对数据的有效更改并更新 USN(更新序列号),否则 bit-flip 将在未来将 USN 更新为有效的 USN。如果 bit-flip 将 USN 更改为过去的序列号,它会认为自己有过时的记录,并从其他 DC 中提取当前的 USN。
请记住,除非您的 AD 允许匿名更改(这不是默认设置;我什至不确定这是否可能,但这是一个巨大的安全禁忌),否则需要成功的身份验证和权限检查才能修改 AD . 磁盘损坏中使用了哪些凭据?同样,一致性检查失败的另一个原因。
因此,损坏必须以有意义的方式更改数据,提供经过身份验证的有效用户帐户,并触发对 USN 的更新或本身将 USN 更新为有效的未来值。如果它做了所有这些事情,是的,它可能会破坏您的 AD 环境。这绝对有可能,但极不可能。
最有可能发生的是 AD 会阻塞并在该服务器上抛出错误,但其他 DC 会很好。
综上所述,您绝对应该尽快更换出现故障或出现故障的硬件。
是的,有风险。没有辅助域控制器之类的东西,AD 是一个多主设置。因此,如果您有一个损坏,您可能会损坏您的 AD 数据库。
如果您无法替换“辅助”DC,则将它们设置为只读域控制器 (RODC) 可能是个好主意。
这些基本上会从您的“主要”DC 复制 AD,并且可以对其进行查询,但不能从这些机器对 AD 进行任何更改。因此,如果一个要损坏,您可以将其脱机并且没有 AD 损坏的风险。