Вопрос к знатокам АД, что будет в следующей ситуации, забекапили контроллер домена, потом сменили пароль админа и забекапили другие сервера?

Question

[aleks-th]

Возник вопрос.
Ситуация такая, в разное время суток бекапится сначала контроллер AD, потом по очереди 2 сервера с другими ролями.
Бэкапится просто, тупо виртуалки выгружаются без каких то премудростей в архив.
---
Вот такой вопрос возник если сменить пароли админов, после бэкапа контроллера домена, но до бэкапа остальных серверов.
После запуска бэкапов, пустит под старым паролем или выпадет в какую-то ошибку ?

Я понимаю что можно поставить эксперимент, запустить и проверить, просто сейчас нет свободной машинки для экспериментов, может кто сталкивался с такой ситуаций и подскажет как себя в этом случае поведет себя система.

Comments

[Alexey Dmitriev]

Чтобы ответить на этот вопрос - нужно понимать, где и как хранится и используется БД Active Directory и что происходит с входом через AD при доступности и не доступности контроллеров AD.
Вам системный администратор должен знать такие вещи - попробуйте распросить его.

[aleks-th]

Alexey Dmitriev, :) не.... наш системный администратор щас пьяный поэтому и пишет такие вопросы.

С новым годом вас !

Answer 1

[hint000]

После запуска бэкапов, пустит под старым паролем или выпадет в какую-то ошибку ?

Звучит, как после новогоднего бокала шампанского, :) но по смыслу предполагаю, что под "запуском бэкапов" подразумевается "восстановление из бэкапов". Если так, то пустит под старым паролем при доступности восстановленного AD DC; но если контроллер по какой-то причине будет недоступен, то зависит от состояния кэша логинов - можно представить ситуацию, что до бэкапа совершался логин уже с новым паролем и после восстановления при недоступности контроллера пустит локально по кэшу с новым паролем;

Comments

[aleks-th]

Ну естественно шампанское было )

Логично, спасибо.
То-есть я правильно понимаю. что если контроллер домена доступен, то он пустит по тем учетным данным которые были у него на момент его бэкапа.
И если на сервера уже логинились с новыми данными, то кэш будет работать только при недоступности контроллера домена, и каких-нибудь страшных конфликтов это несогласованность не вызовет ?

[hint000]

aleks-th, верно. Не вижу тут причин для конфликтов, вполне рабочая ситуация.

Answer 2

[AntHTML]

В зависимости от настроек GPO.
Если разрешено кэширование паролей, то при недоступности КД может пустить на сервак с новым кэшированным паролем
Если КД развернулся - то может синхронизировать с него старый.
В общем одно из двух.

PS. Контроллеров должно быть минимум 2 и бэкапить их нужно через день, чтобы избежать таких косяков с рассыпанием домена - развернули копию - синхронизировали со вторым, а потом уже работаем.