Windows Server 2012 R2 с графическим интерфейсом, хост Hyper-V, DC виртуальной машины
Я устанавливаю свой первый второй контроллер домена (DC) (звучит странно, но это действительно то, что я делаю). У меня есть то, что я считаю хорошим процессом, чтобы следовать по этой ссылке .
Я задавался вопросом, будет ли один из контроллеров домена рассматриваться как «мастер», или другой термин, который я видел, «первичный контроллер домена». Но если я понимаю, как теперь работают контроллеры домена, они все общаются и обновляют друг друга, они должны вступить во владение в случае сбоя, так что, похоже, больше не существует такого понятия, как первичный контроллер домена. Но я продолжаю видеть, что терминология используется в относительно недавних постах.
Если бы кто-то мог понять, почему эта концепция все еще обсуждается, это помогло бы мне понять. Если мне нужно установить какие-то отношения, я не вижу, где это сделать.
Я также видел, где различные люди испытывают проблемы, когда контроллеры домена больше не синхронизированы. Каковы основные причины этого и как узнать, что произошло?
Благодарю.
Ответы:
Да и нет, вроде.
Репликация Active Directory в целом является мультимастерной. Вы можете создать или изменить объект на любом доступном для записи контроллере домена, и это изменение будет реплицировано на все остальные контроллеры домена. В этом узком смысле все DC "равны".
Но есть несколько выбранных операций, которые могут иметь только одного мастера одновременно. Это так называемые гибкие одиночные основные операции. Эти роли могут одновременно существовать только на одном контроллере домена, и они не могут перемещаться самостоятельно в случае сбоя (их необходимо перенести вручную.) Кроме того, в домене AD есть определенные вещи, которые не будут работать, если только не определена роль FSMO. Держатели онлайн. (Изменение пароля, добавление дочернего домена и т. Д.) Поэтому можно сказать, что все контроллеры домена не равны.
Существуют также контроллеры домена, выступающие в качестве глобальных каталогов. Контроллер домена глобального каталога содержит полную копию объектов из других доменов в этом лесу. Где в качестве контроллеров домена, которые не являются GC, содержатся только объекты из их собственного домена. Это еще один способ, которым все DC не могут быть равны. Тем не менее, самая простая и рекомендуемая конфигурация состоит в том, чтобы все DC были GC. Но это не обязательно.
Существуют также контроллеры домена только для чтения (RODC). Как следует из названия, эти контроллеры домена недоступны для записи.
На одном контроллере домена (например, в зонах DNS) также можно хранить вещи, которые не реплицируются на другие контроллеры домена.
Так что нет, они не на 100% равны во всех смыслах этого слова.
Люди говорят «Основной контроллер домена» по историческим причинам. Так было раньше, в NT 4 дня. Но на самом деле «PDC» больше нет. Точно так же больше нет «BDC». Не называйте их так, особенно если вы обращаетесь за помощью в таких местах, как сбой сервера, потому что мы будем так горячо исправлять вашу терминологию, что даже не будем обращать внимания на ваш реальный вопрос / проблему.
Что там есть , это FSMO роль называется «Primary Domain Controller Emulator » , или PDC е . Эта роль PDCe очень важна, хотя мы по-прежнему не должны называть контроллер домена, который выполняет эту роль, «PDC».
Во многих организациях люди развертывают контроллер домена в своем главном офисе, и они могут развернуть другой контроллер домена в удаленном месте ... иногда они называют эти контроллеры домена «основными» и «резервными» только из-за логической структуры своей организации. , Несмотря на то, что на обоих этих контроллерах домена размещены полные копии AD, доступные для записи.
Хуже всего то, что до сих пор есть много ссылок на «PDC» даже в собственной документации и инструментах Microsoft. Например, запустите
nltest /dclist:domain.com
илиnetdom query fsmo
, и инструмент командной строки скажет вам, кто ваш «PDC». (На самом деле это ваш держатель PDC и FSMO.) В API и документах Microsoft все еще есть много ссылок на «PDC». Это приводит к большой путанице по историческим причинам.Это очень большая тема, и существует множество причин, по которым AD может расходиться по двум DC. Инструменты устранения неполадок, которые вы чаще всего используете для решения этих проблем
repadmin.exe
, 'dcdiag.exe
, и события AD регистрируются на контроллерах домена. Google для "AD задерживающихся объектов", который может быть интересным для вас.Я оставлю вас с этим, от контроллера домена Server 2012 R2:
источник