Spencer's questions

Crowdstrike 推送了一个错误的内容文件，导致全球中断。很多其他地方都对此进行了详尽的报道，因此我就不多说了。

我感兴趣的是，公司延迟自动更新的政策是否能够遏制中断。

Crowdstrike 可以设置策略，将 Falcon 传感器版本限制为 n-1、n-2 甚至特定版本。因此，您可以指定测试组获取最新的传感器版本，并指定生产组获取稍早的版本。

这是用于其他类型修补的常见做法，例如 Windows 更新。我知道信息安全产品的速度必然更快，但也许某种形式的审查是可能的。

导致问题的文件被归类为“内容文件”，因此传感器更新策略可能无法阻止它。

另一方面，Dave Plummer 的 Youtube 视频表明 Crowdstrike 正在使用内容更新来修补传感器代码，而无需每次都经过 Microsoft 的驱动程序审批流程。而且传感器版本号似乎确实增长得相当快。因此，这些政策也有可能控制内容更新。

那么，我们可以说，如果 Crowdstrike 客户在批准在公司内部全面发布之前，已经建立了一个程序来针对传感器更新测试机器，那么中断就可以控制在测试组中吗？

一些 NTP 服务器所依赖的 gpsd 中的一个错误已经知道了几个月，但直到最近才真正成为常识 ，就在 2021 年 10 月 24 日翻转之前，可能会将一些 NTP 服务器的时钟设置回2002. GPSD 的补丁修复了这个错误。

由于我的公司与外界没有很高的时间同步需求，我们使用 NTP 池服务器作为我们准确时间的最终来源。（网络中的所有内容都与网络中的单个设备同步，该设备与池服务器同步。）

NTP 池网站在 2019 年之后没有任何消息，但有趣的是， 其中一项是关于2019 年发生的另一次 GPSD 周翻转。

各个机构都是自愿加入 NTP 服务器池的，因此它们各自都有自己的方法来获取准确的时间。

是否知道这些服务器是否使用 gpsd？

这个其他服务器故障问题没有解决这个问题，但它确实举例说明了为什么问题可能如此复杂。

我在生产中有一个 Active Directory 域（我们将调用OLD.TLD它）并且需要更改名称（原因我不会详细说明）。

在这个域中有很多很多文件链接到 DFS 命名空间。他们主要使用 NetBIOS 名称，因此引用类似于\\OLD\DFS\FOLDERwhich 引用\\SERVER\FOLDER.

在该过程结束时，所有内容都将位于新域 ( NEW.TLD) 中，服务器将位于SERVER.NEW.TLD. 但是\\OLD\DFS即使在旧域消失后也需要工作。

我考虑过一次性域名重命名，只更改 FQDN，但保持 NetBIOS 名称不变。但这将对在家工作的人造成很大的破坏。（另外它将保留 NetBIOS 作为要求）。

因此，我考虑使用 ADMT 迁移到新域。

为了调查这一点，我：

• TEST.TLD在新林中创建了一个测试域
• OLD.TLD在和之间创建了双向森林信任TEST.TLD
• 在其中创建了一个 DNS 存根区域OLD.TLD以指向TEST.TLD
• 在中创建 DNS CNAME 记录以TEST.TLD引用和SERVER指向. 还有 CNAME 将旧域控制器指向旧域。SERVER.OLD.TLDOLDOLD.TLD

所以现在，帐户TEST.TLD可以\\OLD\DFS毫无问题地访问。接下来，我试图看看我是否可以欺骗测试域，使其认为它\\OLD\DFS在新域中。这是我设想的一个过程，它是在移除信任和关闭旧域控制器之前迁移的最后一步。

• 为它创建了一个域 DFS 命名空间TEMP.TLD并添加了几个文件夹引用，这样我就可以将两者区分开来。
• 在 TCP/IP 上禁用 NetBIOSTEMP.TLD
• 将 CNAME 记录更改为OLD指向TEST.TLD。
• 清除所有三个 DFS 缓存，以及 DNS 服务器和本地缓存。

但是，当我尝试访问时\\OLD\DFS，我得到了所有\\OLD.TLD\DFS文件夹。我需要更改其他设置吗？甚至可以以这种方式为域 DFS 命名空间“别名”吗？

它看起来越来越像我必须重命名我的 Active Directory 域。

进行此更改有一个众所周知的过程，其中包括关于 Server Fault 的一些非常好的答案（例如这个）。我知道您可能认为我想问一个重复的问题，但这包括不触发革命的软弱话题。

我从 Active Directory 诞生之初就继承了一个内部 Active Directory 域。我们将ACRO.TLD使用 NetBIOS 名称ACRO（“首字母缩写词”的缩写）来称呼它。

当每个人都在防火墙后面使用爷爷盒子时，这很棒。但是这种做法现在已被弃用，可能会导致麻烦。有更多的移动设备，如果域名泄露到整个互联网，那可能会非常糟糕。

我需要

1. 把改变卖给经理
2. 尽量减少对用户的干扰，尤其是那些喜欢方便的用户（参见要求 1）。（更改 NetBIOS 域名ACRO将是一个交易破坏者）。

在规划和展示变更时必然会做出增加成功机会的决定（即用户不会拿着干草叉和火把出现在我家门口）。这显然是一个主观问题，最好的答案将来自已经经历过变革的人。

将其出售给管理层可能包括解释“非常糟糕的事情”背后的原因，并结合“变化不应该那么糟糕”。

所以现在的问题是如何让改变不那么糟糕，换句话说，尽量减少对用户的干扰。我讨厌听起来很开放，但我可能会被一些基本的东西绊倒。

我们拥有我将调用的域COMPANYNAME.COM和COMPANYNAME.NET. 我们的外部网络存在和电子邮件地址（电子邮件在外部托管，没有 Exchange）使用COMPANYNAME.COM；我们有COMPANYNAME.NET作为防止域名抢注的缓冲区。

所以我认为我最好的选择是

ACRO.COMPANYNAME.COM（子域）
COMPANYNAME.NET

我更喜欢ACRO.COMPANYNAME.COM，因为用户已经习惯ACRO并且COMPANYNAME.COM我们只是将两者结合在一起。无需更改 NetBIOS 域名，当然 Windows 10 登录屏幕默认使用计算机加入的域。

由于我已经制定了现有的做法，用户已经接受过培训，可以为 Windows 登录和电子邮件使用单独的用户名和密码（托管电子邮件可能是一件好事）

一些缺点是

• ACRO.COMPANYNAME.COM已经是在 Internet DNS 中注册的主机名。
• 当两个帐户都包含companyname.
• 一个潜在的痛点是人们必须输入三倍才能输入登录凭据。

但这些是继续前进的真正障碍ACRO.COMPANYNAME.COM吗？我错过了什么吗？