Все контроллеры домена в небольшой сети считаются эквивалентными / равными?

14

Windows Server 2012 R2 с графическим интерфейсом, хост Hyper-V, DC виртуальной машины

Я устанавливаю свой первый второй контроллер домена (DC) (звучит странно, но это действительно то, что я делаю). У меня есть то, что я считаю хорошим процессом, чтобы следовать по этой ссылке .

Я задавался вопросом, будет ли один из контроллеров домена рассматриваться как «мастер», или другой термин, который я видел, «первичный контроллер домена». Но если я понимаю, как теперь работают контроллеры домена, они все общаются и обновляют друг друга, они должны вступить во владение в случае сбоя, так что, похоже, больше не существует такого понятия, как первичный контроллер домена. Но я продолжаю видеть, что терминология используется в относительно недавних постах.

Если бы кто-то мог понять, почему эта концепция все еще обсуждается, это помогло бы мне понять. Если мне нужно установить какие-то отношения, я не вижу, где это сделать.

Я также видел, где различные люди испытывают проблемы, когда контроллеры домена больше не синхронизированы. Каковы основные причины этого и как узнать, что произошло?

Благодарю.

Алан
источник
1
Когда вы видите, что «PDC» используется в отношении чего-либо, кроме домена Windows NT, человек не знает, о чем говорит ... если только он не говорит о роли AD «PDC Emulator», которую можно заполнить контроллером домена AD.
EEAA
Если вы видите PDC, информация, вероятно, устарела или относится к небольшой среде, где они означают, что у них есть только один реальный сервер Active Directory и другой сервер, который у них есть для отработки отказа.
IceMage

Ответы:

18

Да и нет, вроде.

Репликация Active Directory в целом является мультимастерной. Вы можете создать или изменить объект на любом доступном для записи контроллере домена, и это изменение будет реплицировано на все остальные контроллеры домена. В этом узком смысле все DC "равны".

Но есть несколько выбранных операций, которые могут иметь только одного мастера одновременно. Это так называемые гибкие одиночные основные операции. Эти роли могут одновременно существовать только на одном контроллере домена, и они не могут перемещаться самостоятельно в случае сбоя (их необходимо перенести вручную.) Кроме того, в домене AD есть определенные вещи, которые не будут работать, если только не определена роль FSMO. Держатели онлайн. (Изменение пароля, добавление дочернего домена и т. Д.) Поэтому можно сказать, что все контроллеры домена не равны.

Существуют также контроллеры домена, выступающие в качестве глобальных каталогов. Контроллер домена глобального каталога содержит полную копию объектов из других доменов в этом лесу. Где в качестве контроллеров домена, которые не являются GC, содержатся только объекты из их собственного домена. Это еще один способ, которым все DC не могут быть равны. Тем не менее, самая простая и рекомендуемая конфигурация состоит в том, чтобы все DC были GC. Но это не обязательно.

Существуют также контроллеры домена только для чтения (RODC). Как следует из названия, эти контроллеры домена недоступны для записи.

На одном контроллере домена (например, в зонах DNS) также можно хранить вещи, которые не реплицируются на другие контроллеры домена.

Так что нет, они не на 100% равны во всех смыслах этого слова.

Люди говорят «Основной контроллер домена» по историческим причинам. Так было раньше, в NT 4 дня. Но на самом деле «PDC» больше нет. Точно так же больше нет «BDC». Не называйте их так, особенно если вы обращаетесь за помощью в таких местах, как сбой сервера, потому что мы будем так горячо исправлять вашу терминологию, что даже не будем обращать внимания на ваш реальный вопрос / проблему.

Что там есть , это FSMO роль называется «Primary Domain Controller Emulator » , или PDC е . Эта роль PDCe очень важна, хотя мы по-прежнему не должны называть контроллер домена, который выполняет эту роль, «PDC».

Во многих организациях люди развертывают контроллер домена в своем главном офисе, и они могут развернуть другой контроллер домена в удаленном месте ... иногда они называют эти контроллеры домена «основными» и «резервными» только из-за логической структуры своей организации. , Несмотря на то, что на обоих этих контроллерах домена размещены полные копии AD, доступные для записи.

Хуже всего то, что до сих пор есть много ссылок на «PDC» даже в собственной документации и инструментах Microsoft. Например, запустите nltest /dclist:domain.comили netdom query fsmo, и инструмент командной строки скажет вам, кто ваш «PDC». (На самом деле это ваш держатель PDC и FSMO.) В API и документах Microsoft все еще есть много ссылок на «PDC». Это приводит к большой путанице по историческим причинам.

Я также видел, где различные люди испытывают проблемы, когда контроллеры домена больше не синхронизированы. Каковы основные причины этого и как узнать, что произошло?

Это очень большая тема, и существует множество причин, по которым AD может расходиться по двум DC. Инструменты устранения неполадок, которые вы чаще всего используете для решения этих проблем repadmin.exe, ' dcdiag.exe, и события AD регистрируются на контроллерах домена. Google для "AD задерживающихся объектов", который может быть интересным для вас.

Я оставлю вас с этим, от контроллера домена Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.
Райан Райс
источник
1
Подробнее читайте на эту тему: размещение и оптимизация FSMO на контроллерах домена Active Directory
Даниэль
Отличный ответ и отличная помощь. В конце концов, я не сошел с ума, думая, что PDC - это архаичный термин. Но, в конце концов, это была страница Microsoft, которая заставила меня спросить, так что ваш дискурс на фоне этой темы действительно помог, и мне понравилась ваша последняя версия R2 для копирования и вставки. На основании ваших комментариев я нашел несколько страниц TechNet по определению PDCe и его изменению. Таким образом, если вы потеряете машину или сервер, который в настоящее время имеет роль PDCe, можете ли вы просто использовать вкладку PDC «Operations Masters», чтобы установить новый DC в качестве PDCe, и жизнь будет продолжаться?
Алан
2
@ Алан Да - если вы хотите перенести роли FSMO с одного DC на другой, вы либо переносите роль, либо захватываете роль. Перенос роли - это «изящный» путь, который вы бы выбрали, если бы оба DC были исправны и работоспособны. Но если первоначальный обладатель роли полностью мертв, и никогда его не разбудить, тогда единственным выходом для вас будет захватить роль у другого DC. В любом случае Active Directory может сделать полное восстановление, и все будет хорошо. Просто помните, что если вы заберете роль из мертвого DC, то обязательно, чтобы старый DC никогда не был повторно подключен к сети.
Райан Райс
Вы не сказали, сколько ролей в FSMO ... :)
Уорд - Восстановить Монику
Есть 5 ролей FSMO . Так как все роли FSMO должны присутствовать в домене, первый DC в лесу, который нужно настроить, содержит все 5, и многие ленивые люди называют этот DC как PDC, хотя это неправильно. Существует 2 роли FSMO, которые являются общеорганизационными (или 1 на лес): «Мастер схемы» и «Мастер именования домена». Часто обе эти роли находятся на одном сервере вместе с тремя другими ролями для корневого домена леса, что делает этот сервер важным для всего леса.
BeowulfNode42