虚拟化的域控制器安全还原体系结构
概述
AD DS 依赖于虚拟机监控程序平台以显示名为 VM 生成 ID 的标识符,来检测虚拟机的快照还原。 在域控制器升级期间,AD DS 最初将此标识符的值存储在其数据库 (NTDS.DIT) 中。 当管理员从之前的快照还原虚拟机时,将比较虚拟机中 VM 生成 ID 的当前值和数据库中的值。 如果两个值不同,则域控制器重置调用 ID 并弃用 RID 池,从而阻止重复使用 USN 或消除创建重复安全主体的可能性。 安全还原可能在以下两种应用场景中发生:
在虚拟域控制器已关闭的情况下,在还原快照后启动虚拟域控制器
在正在运行的虚拟域控制器上恢复快照
如果快照中的虚拟化域控制器处于已挂起状态,而不是关闭状态,则需要重启 AD DS 服务以触发新的 RID 池请求。 你可以通过使用服务管理单元或使用 Windows PowerShell (Restart-Service NTDS -force) 重新启动 AD DS 服务。
以下部分将针对每个应用场景详细说明安全还原。
安全还原详细处理
以下流程图显示了在关闭虚拟域控制器时,在还原快照后启动虚拟域控制器的情况下如何发生安全还原。
当虚拟机在快照还原后启动时,由于快照还原,它将具有由虚拟机监控程序主机提供的新 VM 生成 ID。
虚拟机中的新 VM 生成 ID 将与数据库中的 VM 生成 ID 进行比较。 因为这两个 ID 不匹配,所以将它使用虚拟化安全措施(请参阅上一部分中的步骤 3)。 应用完还原后,将更新其 AD DS 计算机对象上设置的 VM 生成 ID,以匹配由虚拟机监控程序主机提供的新 ID。
来宾将通过以下方式使用虚拟化安全措施:
a. 将本地 RID 池设为无效。
b. 设置域控制器数据库的新调用 ID