Может Второй Контроллер домена, с ошибочными аппаратными средствами жесткого диска, вызывать повреждение к Active Directory?
Вы перечисляете информацию о конфигурации каталога, но что Вы хотите, конфигурация авторизации, т.е. PAM. Можно выполнить то, что Вы хотите сделать при помощи pam_listfile, где Вы перечислили бы всех пользователей, которым разрешают войти в систему в файле и добавить pam_listfile к стопке pam.
Yes, there is a risk. There is no such thing as secondary Domain Controllers, AD is a Multi-Master setup. So if you have corruption on one you could corrupt your AD Database.
If you cannot replace your "secondary" DC's, it may be an idea to set them up as read only domain controllers (RODC).
These will basically replicate AD from your "primary" DC and can be queried against, but no changes to AD can be made from these machines. Therefore if one was to be corrupted, you could take it offline and have no risk of corruption of AD.
Я говорю, что да, есть небольшой риск, но на самом деле НЕТ
, поврежденный или отказавший диск, по всей вероятности, не разрушит вашу среду AD. Вот почему:
1) Отказ диска сделает данные нечитаемыми. Если это не единственный DC, который у вас есть (или единственный глобальный каталог), это не проблема. (Если у вас есть только один DC, который является сборщиком мусора, или только один глобальный каталог, вам нужно встать еще в спешке!)
Итак, теперь мы говорим только о коррупции:
2a) Для того, чтобы Чтобы изменить AD, ему придется изменить (допустим, простой переворот битов) файлы двоичной базы данных AD таким образом, чтобы данные изменились на новое значение, согласованное и совместимое со схемой AD для этого объекта.
(скорее всего, это приведет к ошибке проверки целостности, и AD будет выдавать сообщения об ошибках и, возможно, выбрасывать поврежденные части и извлекать новую копию самих данных AD.)
2b) Затем бит-флип должен был бы зарегистрировать действительное изменение данных и обновить USN ( Обновить порядковый номер), или переворот битов затем обновил бы USN до действительного USN в будущем. Если битовый переворот изменил USN на порядковый номер в прошлом, он будет рассматривать себя как имеющий устаревшие записи и извлекать текущий USN из других контроллеров домена.
Имейте в виду, что, если анонимные изменения не разрешены вашей AD (что не по умолчанию; я даже не уверен, что это возможно, но было бы огромным недостатком безопасности), для изменения AD требуется успешная проверка подлинности и разрешений. Какие учетные данные используются при повреждении диска? Опять же, еще одна причина сбоя проверки согласованности.
Итак, повреждение должно будет изменить данные значимым образом, предоставить действительную аутентифицированную учетную запись пользователя и либо инициировать обновление USN, либо само обновить USN до допустимого будущего значения. Если бы он сделал все это, ДА, это могло бы повредить вашу среду AD. Это абсолютно возможно, но крайне маловероятно.
Скорее всего, произойдет то, что AD захлебнется и выдаст ошибки на этом сервере, но другие контроллеры домена будут в порядке.
С учетом всего вышесказанного. , вам следует как можно скорее заменить неисправное или неисправное оборудование .