У меня есть основания полагать, что предыдущие администраторы клонировали наш Контроллер домена в какой-то момент его недавнего существования. В какой-то момент DC работал на сервере 2003 и с тех пор был обновлен до Server 2008 R2 Standard. Функциональный уровень также находится на уровне 2008 года. Клонирование контроллера домена не поддерживается Microsoft до Server 2012. Мы видели много странностей, которые не имеют смысла, и полагаем, что наш вторичный DC является просто клоном первичного. Или даже наш существующий первичный DC является клоном прошлого DC. Наш DC - это виртуальные машины, работающие на Microsoft Hyper-V. В настоящее время они находятся на хосте с сервером 20012 R2, а наш второй контроллер домена размещен на сервере 2008 R2.
Кто-нибудь знает, есть ли способ узнать, был ли клонирован DC?
PS GetSid от Sysinternals покажет, совпадают ли SIDS.
https://technet.microsoft.com/en-us/sysinternals/bb897417.aspx
Если они совпадают, то это и есть ответ, если они разные, то он не покажет, был ли он клонирован и подготовлен с помощью sysprep'd, или изменен другим методом, или не был клоном вообще.
OTOH, MS предоставляет 180-дневную бесплатную пробную версию, запускает новую виртуальную машину 2012, продвигает ее, а затем удаляет AD из возможного клона. Если проблемы прекратятся, то есть хотя бы одно известное решение.
[EDIT] Выше неверно, спасибо @RyanRies.
GetSID вернет один и тот же SID учетной записи компьютера для всех контроллеров домена в домене. В неклонированной среде 2 контроллера домена на одном сайте: ADSIEdit перечислит разные ObjectGUID, а ObjectSID будет соответствовать GETSID + "-% 4DifferentDigits%".