Проверьте, был ли клонирован контроллер домена
У меня есть основания полагать, что предыдущие администраторы клонировали наш контроллер домена в какой-то момент его существования. Контроллер домена в какой-то момент работал на Server 2003 и с тех пор был обновлен до Server 2008 R2 Standard. Функциональный уровень действует и в 2008 году. Клонирование контроллера домена не поддерживалось Microsoft до Server 2012. Мы видели много странностей, которые не имеют смысла, и считаем, что наш вторичный DC является просто клоном первичного. Или даже наш существующий Первичный DC - клон прошлого DC. Наши DC - это виртуальные машины, работающие на Microsoft Hyper-V. В настоящее время они находятся на хосте с сервером 20012 R2, а наш второй контроллер домена расположен на сервере 2008 R2.
Кто-нибудь знает, есть ли способ узнать, был ли клонирован DC?
1 ответ
PS GetSid от Sysinternals покажет, соответствует ли SIDS.
https://technet.microsoft.com/en-us/sysinternals/bb897417.aspx
Если они совпадают, то это ответ, если они отличаются, тогда не будет видно, был ли он клонирован и sysprep'd, или изменен с помощью другого метода, или вообще не клонирован.
OTOH, MS предоставляет бесплатную 180-дневную пробную версию, раскручивает новый 2012 vm, продвигает его и затем удаляет AD из возможного клона. Если проблемы прекращаются, то есть хотя бы одно известное решение.
[РЕДАКТИРОВАТЬ] Выше это неправильно, спасибо @RyanRies.
GetSID возвращает одинаковый SID учетной записи компьютера для всех контроллеров домена в домене. В не клонированной среде 2 DC на одном сайте: ADSIEdit перечислит разные ObjectGUID, а ObjectSID будет соответствовать GETSID + "-%4DifferentDigits%".