Kann ein zweiter Domänencontroller mit fehlerhafter Festplattenhardware eine Beschädigung von Active Directory verursachen?

7

Wir haben einen neuen Domänencontroller, der alle FSMO-Rollen innehat. Wir haben auch zwei alte Hardwareserver, die jeweils etwa 4 bis 5 Jahre alt sind und als sekundäre Domänencontroller eingerichtet sind (oder besser als Domänencontroller beschrieben werden, bei denen es sich ebenfalls um DNS-Server handelt, die keine FSMO-Rollen haben, aber globale Katalogserver auf derselben Site sind). Meine Frage ist, ob ich das Risiko einer Beschädigung in Active Directory habe, wenn auf einem der sekundären Domänencontroller ein Laufwerksfehler aufgrund alter Hardware auftritt. Ich versuche wirklich, den Kunden davon zu überzeugen, einen neuen hardwarebasierten Server für unseren zweiten Domänencontroller zu kaufen, aber auch hier ist das Budget knapp. Vielen Dank.

dasko
quelle
1
Wenn das Budget knapp ist, ziehen sie möglicherweise einen neuen, energieeffizienten Server mit niedrigeren Spezifikationen in Betracht, mit dem sie Stromkosten sparen können, oder ein gebrauchtes / überholtes Angebot. Zur Hölle, ich habe kürzlich einen praktisch neuen Server bei eBay für 30% der Kosten mit einer aktiven Herstellergarantie gekauft. Selbst bei einem knappen Budget gibt es viele bessere Optionen als die Ausführung alter, fehlerhafter Server in der Produktion.
HopelessN00b

Antworten:

6

Ja, es besteht ein Risiko. Es gibt keine sekundären Domänencontroller, AD ist ein Multi-Master-Setup. Wenn Sie also die Korruption auf der einen haben Sie könnte korrupt Ihre AD - Datenbank.

Zypher
quelle
Ok, das ist es, wovor ich Angst hatte, besser als diesen "anderen" Domänencontroller mit klickenden Laufwerken offline zu lassen und eine ntdustil-Bereinigung der Metadaten durchzuführen. Wir hatten letzte Nacht einen Laufwerksausfall und haben uns gefragt, ob ich ihn wieder ins Netzwerk stellen soll, aber ich habe ihn nicht. Diese Art bringt mich dazu, offline zu gehen und AD aufzuräumen. Macht das auch für dich Sinn? Vielen Dank.
Dasko
1
Ja, lass es aus, klickige Laufwerke == bbaaaad
Zypher
1
Dieses Risiko ist - solange vorhanden - SEHR unwahrscheinlich. Aus diesem Grund verfügt AD über ein Schema und Konsistenzprüfungen. Standardmäßig müssen Änderungen von einem authentifizierten Konto mit den erforderlichen Berechtigungen vorgenommen werden.
GWaldo
1
Klicken Klicken Klicken Klicken Klicken Usn Update mit fehlerhaften Daten Klicken Klicken Klicken Klicken Klicken
MDMarra
Ja, die Daten können geändert werden, ABER sie müssen in gültige Daten geändert werden. Wie oft kippt das Klicken-Klicken-Klicken eines Lesekopfs, der auf den Plattenteller trifft, ein wenig? Alles, was ich jemals gesehen habe, ist, Daten unlesbar zu machen.
GWaldo
8

Ich sage ja, es gibt ein kleines Risiko, aber in Wirklichkeit

NEIN

Ein beschädigtes oder ausgefallenes Laufwerk wird Ihre AD-Umgebung höchstwahrscheinlich nicht ruinieren. Hier ist warum:

1) Ein Laufwerksfehler macht die Daten unlesbar. Dies ist kein Problem, es sei denn, dies ist der einzige DC, den Sie haben (oder es ist der einzige globale Katalog). (Wenn Sie nur einen DC haben, der ein GC ist, oder nur einen globalen Katalog, müssen Sie eine weitere Post-Eile aufstehen!)

Jetzt reden wir also nur über Korruption:

2a) Damit Korruption AD ändern kann, müssten die AD-Binärdatenbankdateien so geändert werden (nehmen wir einen einfachen Bit-Flip an), dass die Daten auf einen neuen Wert geändert werden, der konsistent und mit dem AD-Schema kompatibel ist für dieses Objekt.

(Dies würde wahrscheinlich einen Konsistenzprüfungsfehler registrieren, und AD würde Fehlermeldungen auslösen und möglicherweise die beschädigten Teile wegwerfen und eine neue Kopie der AD-Daten selbst abrufen.)

2b) Der Bit-Flip müsste dann eine gültige Änderung der Daten registrieren und die USN (Update Sequence Number) aktualisieren, oder der Bit-Flip hätte dann die USN in Zukunft auf eine gültige USN aktualisieren müssen. Wenn der Bit-Flip die USN in der Vergangenheit in eine Sequenznummer geändert hätte, hätte er sich selbst als veraltet angesehen und würde die aktuelle USN aus den anderen DCs ziehen.

Beachten Sie, dass eine erfolgreiche Authentifizierungs- und Berechtigungsprüfung erforderlich ist, um AD zu ändern, sofern Ihr AD keine anonymen Änderungen zulässt (was nicht die Standardeinstellung ist; ich bin mir nicht einmal sicher, ob dies möglich ist, aber ein großes Sicherheits-Nein-Nein wäre) . Welche Anmeldeinformationen werden bei der Beschädigung der Festplatte verwendet? Wieder eine andere Ursache für einen Fehler bei der Konsistenzprüfung.

Die Beschädigung müsste also die Daten auf sinnvolle Weise ändern, ein gültiges authentifiziertes Benutzerkonto bereitstellen und entweder eine Aktualisierung der USN auslösen oder selbst die USN auf einen gültigen zukünftigen Wert aktualisieren. Wenn all diese Dinge getan werden, JA, könnte dies Ihre AD-Umgebung beschädigen. Es ist absolut möglich, aber es ist höchst unwahrscheinlich.

Was am wahrscheinlichsten ist, ist, dass AD erstickt und Fehler auf diesem Server auslöst, aber die anderen DCs sind in Ordnung.


Nach alledem sollten Sie ausgefallene oder fehlerhafte Hardware so schnell wie möglich unbedingt ersetzen .

gWaldo
quelle
1
Das war eine nette Erklärung für Ihren Punkt, danke.
Dasko
2
Genau. AD verwendet die Extensible Storage Engine (ESE) als zugrunde liegende Datenbank-Engine, und die Datenbankseiten werden mit einer Prüfsumme versehen. Sie würden "JET" -Fehler in Ihrem "Directory Service" -Ereignisprotokoll auf dem "beschädigten" DC sehen, wenn die Datenbank "Bit Rot" ausgesetzt wäre. Es ist höchst unwahrscheinlich, dass eine "Beschädigung" in der Datenbank jemals über die Replikation zu anderen Domänencontrollern gelangen würde. Ich bin jedoch nicht einverstanden mit Ihrer Prämisse bezüglich der Beschädigung der Festplatte, die eine Art authentifizierungsbezogene Interaktion aufweist. Die Beschädigung von Daten durch die Festplatte selbst würde von Windows als "vertrauenswürdig" eingestuft.
Evan Anderson
Ich wünschte, ich hätte eine Möglichkeit, meine Prämisse zu testen, @EvanAnderson. Ich denke, dass eine Bit-Flip-Änderung der gültigen Daten auf der Festplatte, die jedoch nicht als authentifiziertes Ereignis (und ohne USN-Update) aufgezeichnet wurde, ebenfalls Konsistenzfehler verursachen würde.
GWaldo
3

Wenn Sie Ihre "sekundären" DCs nicht ersetzen können, sollten Sie sie als schreibgeschützte Domänencontroller (RODC) einrichten.

Diese replizieren AD grundsätzlich von Ihrem "primären" DC und können abgefragt werden, aber auf diesen Computern können keine Änderungen an AD vorgenommen werden. Wenn eine Person beschädigt werden sollte, können Sie sie offline schalten und haben kein Risiko einer Beschädigung von AD.

Robin Gill
quelle
Dies ist für eine Server 2003-Umgebung. Ich denke, Sie könnten in einem Server 2008 bedeuten, dass Sie einen Rodc verwenden können. Ich glaube nicht, dass ich das in meinem ersten Beitrag klargestellt habe. Vielen Dank.
Dasko