Czy wszystkie kontrolery domeny w małej sieci są uważane za równoważne / równe?

Windows Server 2012 R2 z graficznym interfejsem użytkownika, host Hyper-V, VM DC

Instaluję swój pierwszy drugi kontroler domeny (DC) (brzmi dziwnie, ale tak naprawdę to robię). Mam, jak sądzę, dobry proces do naśladowania z tego linku .

Zastanawiałem się, czy jeden z kontrolerów domeny zostanie uznany za „główny”, czy też inny termin, który widziałem, „Podstawowy kontroler domeny”. Ale jeśli rozumiem sposób, w jaki teraz działają kontrolery domeny, wszyscy się komunikują i aktualizują, powinni przejąć kontrolę, jeśli jedna ulegnie awarii, więc nie wydaje się, aby istniała już taka koncepcja jak główny kontroler domeny. Ale wciąż widzę tę terminologię stosowaną w stosunkowo nowych postach.

Gdyby ktoś mógł wyjaśnić, dlaczego koncepcja jest wciąż dyskutowana, pomogłoby mi to zrozumieć. Jeśli muszę nawiązać taki związek, nie wiem, gdzie to zrobić.

Widziałem także, gdzie różni ludzie doświadczają problemów, gdy kontrolery domeny nie są już zsynchronizowane. Jakie są tego główne przyczyny i skąd wiadomo, że tak się stało?

Dzięki.

domain-controller windows-server-2012-r2

— Alan
źródło

Gdy zobaczysz, że „PDC” jest używane w odniesieniu do czegokolwiek innego niż domena Windows NT, osoba ta nie wie, o czym mówi ... chyba że mówi o roli AD Emulator PDC, którą można wypełnić przez kontroler domeny AD.

— EEAA

Jeśli widzisz PDC, informacje są prawdopodobnie nieaktualne lub odnoszą się do małego środowiska, w którym oznaczają, że mają tylko jeden prawdziwy serwer Active Directory i inny serwer do przełączania awaryjnego.

— IceMage

Tak i nie, w pewnym sensie.

Ogólnie rzecz biorąc, replikacja usługi Active Directory jest wielozadaniowa. Możesz utworzyć lub zmienić obiekt na dowolnym zapisywalnym kontrolerze domeny, a ta zmiana zostanie zreplikowana na wszystkich innych kontrolerach domeny. W tym wąskim znaczeniu wszystkie DC są „równe”.

Ale istnieje kilka wybranych operacji, które mogą mieć jednocześnie tylko jednego wzorca. Są to tak zwane role elastycznych pojedynczych operacji głównych. Role te mogą występować jednocześnie tylko na jednym kontrolerze domeny i nie mogą unosić się samodzielnie w przypadku awarii (należy je migrować ręcznie). Ponadto w domenie AD są pewne rzeczy, które nie będą działać, chyba że określona rola FSMO posiadacze są online. (Zmiana hasła, dodanie domeny podrzędnej itp.) Dlatego można powiedzieć, że wszystkie kontrolery domeny nie są sobie równe.

Istnieją również kontrolery domeny służące jako katalogi globalne. Kontroler domeny wykazu globalnego przechowuje pełną kopię obiektów z innych domen w tym lesie. Gdzie jako kontrolery domeny, które nie są GC, zawierają tylko obiekty z własnej domeny. Jest to kolejny sposób, w jaki wszystkie DC mogą nie być równe. Najprostszą i zalecaną konfiguracją jest jednak, aby wszystkie DC były GC. Ale to nie jest obowiązkowe.

Istnieją również kontrolery domeny tylko do odczytu (RODC). Jak sama nazwa wskazuje, tych kontrolerów domeny nie można zapisywać.

Możesz także przechowywać rzeczy na jednym kontrolerze domeny (takim jak strefy DNS), które nie są replikowane na innych kontrolerach domeny.

Więc nie, nie są w 100% równe w każdym znaczeniu tego słowa.

Ludzie mówią „Podstawowy kontroler domeny” z powodów historycznych. Tak było kiedyś, w NT za 4 dni. Ale tak naprawdę nie ma już „PDC”. Podobnie tak naprawdę nie ma już „BDC”. Nie odnoszą się do nich w ten sposób, zwłaszcza jeśli prosisz o pomoc w miejscach takich jak Błąd serwera, ponieważ będziemy tak gorliwi, aby poprawić twoją terminologię, że nawet nie będziemy zwracać uwagi na twoje aktualne pytanie / problem.

Co tam jest , to rola FSMO nazwie "Primary Domain Controller Emulator " lub PDC e . Ta rola PDCe jest bardzo ważna, chociaż tak naprawdę nie powinniśmy nazywać kontrolera domeny, który pełni tę rolę, „PDC”.

W wielu organizacjach ludzie wdrażają kontroler domeny w swoim biurze głównym i mogą wdrażać inny kontroler domeny w lokalizacji zdalnej ... czasami określają te kontrolery domeny jako „podstawowe” i „zapasowe” tylko z powodu logicznego układu organizacji . Mimo że oba te DC faktycznie przechowują pełne zapisywalne kopie AD.

Co gorsza, wciąż istnieje wiele odniesień do „PDC”, nawet we własnej dokumentacji i narzędziach Microsoftu. Na przykład uruchom nltest /dclist:domain.comlub netdom query fsmo, a narzędzie wiersza polecenia powie ci, kto jest twoim „PDC”. (W rzeczywistości jest to posiadacz roli PDC e FSMO.) W API i dokumentach Microsoft wciąż jest wiele odniesień do „PDC”. Prowadzi to do wielu nieporozumień z przyczyn historycznych.

Widziałem także, gdzie różni ludzie doświadczają problemów, gdy kontrolery domeny nie są już zsynchronizowane. Jakie są tego główne przyczyny i skąd wiadomo, że tak się stało?

To bardzo duży temat i istnieje wiele powodów, dla których AD może być rozbieżna w dwóch DC. Narzędziami do rozwiązywania problemów, których najczęściej używasz w przypadku tych problemów, są repadmin.exe„ dcdiag.exe, a dzienniki zdarzeń AD są rejestrowane na kontrolerach domeny. Google dla „obiektów trwałych AD”, które mogą być dla Ciebie interesującą lekturą.

Zostawię to z kontrolerem domeny Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.

— Ryan Ries
źródło

Więcej na ten temat: Umieszczanie i optymalizacja FSMO na kontrolerach domeny Active Directory

— Daniel

Znakomita reakcja i świetna pomoc. W końcu nie byłem szalony, myśląc, że PDC to archaiczne określenie. Ale w końcu to była strona Microsoftu, która sprawiła, że zapytałem, więc twój dyskurs na tle tego tematu naprawdę pomógł i uwielbiałem twoją ostateczną kopię R2 i wkleić. Na podstawie twoich komentarzy znalazłem kilka stron TechNet na temat identyfikacji PDCe i jej zmiany. Więc jeśli stracisz maszynę lub serwer, który obecnie pełni rolę PDCe, czy możesz po prostu użyć karty PDC „Operations Masters”, aby ustawić nowy kontroler domeny w miarę, jak PDCe i życie toczy się dalej?

— Alan

@Alan Tak - jeśli chcesz migrować role FSMO z jednego kontrolera domeny na inny, możesz przenieść rolę lub przejąć rolę. Przeniesienie roli to „pełna gracji” trasa, którą obrałbyś, gdyby oba DC były zdrowe i zdrowe. Ale jeśli pierwotny posiadacz roli jest całkowicie martwy, nigdy się nie obudzi, to jedynym wyjściem jest przejęcie roli od innego DC. W obu przypadkach usługa Active Directory może wykonać pełne odzyskiwanie i wszystko będzie w porządku. Pamiętaj tylko, że jeśli przejmiesz rolę z martwego kontrolera domeny, konieczne jest, aby stary kontroler domeny nigdy nie został ponownie podłączony do sieci.

— Ryan Ries

Nie powiedziałeś, ile jest ról FSMO ... :)

— Totem - Przywróć Monikę

Istnieje 5 ról FSMO . Ponieważ wszystkie role FSMO muszą być obecne w domenie, pierwszy kontroler domeny w lesie, który ma zostać skonfigurowany, ma wszystkie 5, a wielu leniwych ludzi nazywa ten kontroler domeny jako PDC, chociaż nie można tego powiedzieć. Istnieją 2 role FSMO w skali całego przedsiębiorstwa (lub 1 na las): „Schema Master” i „Domain Naming Master”. Często obie te role są na jednym serwerze wraz z 3 innymi rolami dla domeny głównej lasu, co czyni ten serwer ważnym dla całego lasu.

— BeowulfNode42