Wir haben einen neuen Domänencontroller, der alle FSMO-Rollen innehat. Wir haben auch zwei alte Hardwareserver, die jeweils etwa 4 bis 5 Jahre alt sind und als sekundäre Domänencontroller eingerichtet sind (oder besser als Domänencontroller beschrieben werden, bei denen es sich ebenfalls um DNS-Server handelt, die keine FSMO-Rollen haben, aber globale Katalogserver auf derselben Site sind). Meine Frage ist, ob ich das Risiko einer Beschädigung in Active Directory habe, wenn auf einem der sekundären Domänencontroller ein Laufwerksfehler aufgrund alter Hardware auftritt. Ich versuche wirklich, den Kunden davon zu überzeugen, einen neuen hardwarebasierten Server für unseren zweiten Domänencontroller zu kaufen, aber auch hier ist das Budget knapp. Vielen Dank.

Ja, es besteht ein Risiko. Es gibt keine sekundären Domänencontroller, AD ist ein Multi-Master-Setup. Wenn Sie also die Korruption auf der einen haben Sie könnte korrupt Ihre AD - Datenbank.

Ich sage ja, es gibt ein kleines Risiko, aber in Wirklichkeit

NEIN

1) Ein Laufwerksfehler macht die Daten unlesbar. Dies ist kein Problem, es sei denn, dies ist der einzige DC, den Sie haben (oder es ist der einzige globale Katalog). (Wenn Sie nur einen DC haben, der ein GC ist, oder nur einen globalen Katalog, müssen Sie eine weitere Post-Eile aufstehen!)

Jetzt reden wir also nur über Korruption:

2a) Damit Korruption AD ändern kann, müssten die AD-Binärdatenbankdateien so geändert werden (nehmen wir einen einfachen Bit-Flip an), dass die Daten auf einen neuen Wert geändert werden, der konsistent und mit dem AD-Schema kompatibel ist für dieses Objekt.

(Dies würde wahrscheinlich einen Konsistenzprüfungsfehler registrieren, und AD würde Fehlermeldungen auslösen und möglicherweise die beschädigten Teile wegwerfen und eine neue Kopie der AD-Daten selbst abrufen.)

2b) Der Bit-Flip müsste dann eine gültige Änderung der Daten registrieren und die USN (Update Sequence Number) aktualisieren, oder der Bit-Flip hätte dann die USN in Zukunft auf eine gültige USN aktualisieren müssen. Wenn der Bit-Flip die USN in der Vergangenheit in eine Sequenznummer geändert hätte, hätte er sich selbst als veraltet angesehen und würde die aktuelle USN aus den anderen DCs ziehen.

Beachten Sie, dass eine erfolgreiche Authentifizierungs- und Berechtigungsprüfung erforderlich ist, um AD zu ändern, sofern Ihr AD keine anonymen Änderungen zulässt (was nicht die Standardeinstellung ist; ich bin mir nicht einmal sicher, ob dies möglich ist, aber ein großes Sicherheits-Nein-Nein wäre) . Welche Anmeldeinformationen werden bei der Beschädigung der Festplatte verwendet? Wieder eine andere Ursache für einen Fehler bei der Konsistenzprüfung.

Die Beschädigung müsste also die Daten auf sinnvolle Weise ändern, ein gültiges authentifiziertes Benutzerkonto bereitstellen und entweder eine Aktualisierung der USN auslösen oder selbst die USN auf einen gültigen zukünftigen Wert aktualisieren. Wenn all diese Dinge getan werden, JA, könnte dies Ihre AD-Umgebung beschädigen. Es ist absolut möglich, aber es ist höchst unwahrscheinlich.

Was am wahrscheinlichsten ist, ist, dass AD erstickt und Fehler auf diesem Server auslöst, aber die anderen DCs sind in Ordnung.

Nach alledem sollten Sie ausgefallene oder fehlerhafte Hardware so schnell wie möglich unbedingt ersetzen .

Wenn Sie Ihre "sekundären" DCs nicht ersetzen können, sollten Sie sie als schreibgeschützte Domänencontroller (RODC) einrichten.

Diese replizieren AD grundsätzlich von Ihrem "primären" DC und können abgefragt werden, aber auf diesen Computern können keine Änderungen an AD vorgenommen werden. Wenn eine Person beschädigt werden sollte, können Sie sie offline schalten und haben kein Risiko einer Beschädigung von AD.