确定对象修改的域控

在域的multiple master环境中，任何的一台域控都可读写的，当然除了RODC外。在一个典型的域环境中，有N台域控，有M个站点，这里我们提一个有趣的问题，就是如果我们更改其中的一个对象属性，那么我们如何知道这个操作发生在哪个域控之上呢？

要回答这样的一个问题，我们可能先得解答另外的一个问题，那就是为什么要知道相应的操作发生在哪个域控上？这个很好理解，对于一些安全策略严格的环境，或是排错的环境，我们可能要去跟踪或是记录这样的一些信息，有助于我们去完成相应的安全目标或是排错任务。

好了，接下来的，就是我们如何知道对象属性的更改发生在哪一个域控上呢？看似一个复杂的问题，但我们要明白一点，这个信息记录在对象的meta信息之上的，微软提供了相应的工具，能让我们执行一键查询，搞定它，这个命令就是repadmin，我们要做的就是执行

repadmin /showobjectmeta dc1.contoso.com objectcn

其中dc1.contoso.com就是执行此操作的计算机当前站点有的域服务器，而objectcn，就是需要查询的对象的CN名，给个截图吧，看清楚明白点

在图中，通过起始DSA就可以看出相应的属性是由哪台域控做的更改。

事情发展到这里，是不是该团圆大结局了。现实不是粤语长片，还有一点波折。我们还得注意一个属性，就是当用户密码修改时，问题处理起来又有一些不一样了。

当用户的密码做了修改，同样是需要复制到其它服务器的，密码做修改时，它主要更改了以下的几个属性

 dBCSPwd
unicodePwd
ntPwdHistory
pwdLastSet
lmPwdHistory
supplementalCredentials

密码一旦做了修改，那么它是通过紧急复制这样一种机制首先复制到PDC，而PDC会把前五个属性的起始DSA更改为PDC自己，完成PDC的复制后，调转头来，PDC开始了正常的站点内和站点间的复制规则，把这些值复制给包括源更改域控在内的域中所有域控。所以我们要追踪密码更改或是重置发生在哪台域控上，得查看最后一个值。

本文出自 “I AM A VM” 博客，谢绝转载！