我有理由相信,以前的pipe理员在最近的一段时间内克隆了我们的域控制器。 一点的DC在Server 2003上运行,并且已经升级到Server 2008 R2 Standard。 function级别也在2008年。 在Server 2012之前,微软不支持克隆域控制器。我们已经看到很多不合理的情况,并且认为我们的辅助DC只是简单的克隆。 甚至我们现有的主要DC也是过去DC的克隆。 我们的DC是VM在Microsofts Hyper-V上运行。 目前他们坐在一台装有Server 20012 R2的主机上,而我们的第二台DC装在Server 2008 R2上。
有没有人知道是否有办法看到一个DC是否被克隆?
Sysinternals的PS GetSid会显示SIDS是否匹配。
https://technet.microsoft.com/en-us/sysinternals/bb897417.aspx
如果它们匹配,那么这就是答案,如果它们不同,那么它将不会显示它是否被克隆和系统准备,或通过另一种方法更改,或者根本不是克隆。
OTOH,MS提供180天的免费试用,启动一个新的2012 vm,升级它,然后从可能的克隆中删除AD。 如果问题停止,那么至less有一个已知的解决scheme。
[编辑]以上是不正确的,谢谢@RyanRies。
GetSID将为域中的所有DC返回相同的计算机帐户SID。 在非克隆的环境中,2个DC位于同一个站点:ADSIEdit将列出不同的ObjectGUID,ObjectSID将匹配GETSID +“ – %4DifferentDigits%”。