Tutti i controller di dominio su una piccola rete sono considerati equivalenti / uguali?

14

Windows Server 2012 R2 con GUI, host Hyper-V, VM DC

Sto installando il mio secondo secondo controller di dominio (DC) (sembra strano ma è proprio quello che sto facendo). Ho quello che penso sia un buon processo da seguire da questo link .

Mi chiedevo se uno dei controller di dominio sarebbe stato considerato "il master" o un termine diverso che ho visto "controller di dominio primario". Ma se capisco come funzionano ora i controller di dominio, tutti comunicano e si aggiornano a vicenda, si suppone che subentrino se uno fallisce, quindi non sembra più che esista un concetto come controller di dominio primario. Ma continuo a vedere quella terminologia utilizzata in post relativamente recenti.

Se qualcuno potesse chiarire perché il concetto è ancora in discussione, mi aiuterebbe a capire. Se c'è qualche relazione come questa che devo stabilire, non vedo dove farlo.

Ho anche visto dove varie persone hanno problemi quando i controller di dominio non sono più sincronizzati. Quali sono le ragioni principali di ciò e come si fa a sapere che è successo?

Grazie.

domain-controller  windows-server-2012-r2 
Alan
fonte
1
Quando vedi "PDC" usato per qualcosa di diverso da un dominio Windows NT, la persona non sa di cosa sta parlando ... a meno che non stia parlando del ruolo "Emulatore PDC" di AD che può essere ricoperto da un controller di dominio AD.
EEAA
Se vedi PDC, le informazioni sono probabilmente obsolete o si riferiscono a un piccolo ambiente in cui significano che hanno solo un vero server Active Directory e un altro server che hanno per il failover.
IceMage,

Risposte:

18

Sì e no, in un certo senso.

La replica di Active Directory in generale è multi-master. È possibile creare o modificare un oggetto su qualsiasi controller di dominio scrivibile e tale modifica verrà replicata su tutti gli altri controller di dominio. In questo senso stretto, tutti i DC sono "uguali".

Ma ci sono alcune operazioni selezionate che possono avere un solo master alla volta. Questi sono chiamati ruoli Operazioni Single Master flessibili . Questi ruoli possono vivere solo su un controller di dominio alla volta e non possono galleggiare da soli in caso di errore (devono essere migrati manualmente). Inoltre, in un dominio AD ci sono alcune cose che non funzioneranno a meno che un determinato ruolo FSMO i titolari sono online. (La password cambia, l'aggiunta di un dominio figlio, ecc.) Pertanto, si potrebbe dire che tutti i controller di dominio non sono uguali.

Esistono anche controller di dominio che fungono da cataloghi globali. Un controller di dominio del catalogo globale contiene una copia completa degli oggetti di altri domini in quella foresta. Dove come controller di dominio che non sono GC contengono solo oggetti del proprio dominio. Questo è un altro modo in cui tutti i controller di dominio potrebbero non essere uguali. Tuttavia, la configurazione più semplice e consigliata prevede che tutti i controller di dominio siano GC. Ma non è obbligatorio.

Esistono anche controller di dominio di sola lettura (RODC). Come suggerisce il nome, questi controller di dominio non sono scrivibili.

Puoi anche archiviare oggetti su un controller di dominio (come le zone DNS) che non vengono replicati su altri controller di dominio.

Quindi no, non sono uguali al 100% in tutti i sensi della parola.

La gente dice "controller di dominio primario" per motivi storici. Era così, molto tempo fa nei NT 4 giorni. Ma in realtà non esiste più un "PDC". Allo stesso modo non esiste più un "BDC". Non fare riferimento a loro in questo modo, soprattutto se stai chiedendo aiuto in luoghi come Server Fault, perché saremo così entusiasti di correggere la tua terminologia che non presteremo nemmeno attenzione alla tua domanda / problema reale.

Ciò che esiste è un ruolo FSMO chiamato " Emulatore controller di dominio primario " o PDC e . Questo ruolo di PDCe è molto importante, sebbene non dovremmo ancora fare veramente riferimento al controller di dominio che detiene questo ruolo come "Il PDC".

In molte organizzazioni, le persone distribuiscono un controller di dominio nella loro sede principale e possono distribuire un altro controller di dominio in una posizione remota ... a volte si riferiscono a questi controller di dominio come "primario" e "backup", solo a causa del layout logico della loro organizzazione . Anche se entrambi i controller di dominio ospitano in realtà copie scrivibili complete di annunci pubblicitari.

Quel che è peggio, è che ci sono ancora molti riferimenti a "PDC" anche nella documentazione e negli strumenti di Microsoft. Ad esempio, esegui nltest /dclist:domain.como netdom query fsmoe lo strumento da riga di comando ti dirà chi è il tuo "PDC". (In realtà è il tuo detentore del ruolo PDC e FSMO.) Ci sono ancora molti riferimenti a un "PDC" nelle API e nei documenti di Microsoft. Questo porta a molta confusione per motivi storici.

Ho anche visto dove varie persone hanno problemi quando i controller di dominio non sono più sincronizzati. Quali sono le ragioni principali di ciò e come si fa a sapere che è successo?

Questo è un argomento molto vasto e ci sono molte ragioni per cui l'AD può essere divergente tra due DC. Gli strumenti per la risoluzione dei problemi che usi più spesso per questi problemi sono repadmin.exe" dcdiag.exee gli eventi AD accedono ai controller di dominio. Google per "oggetti persistenti AD", che potrebbe essere una lettura interessante per te.

Ti lascerò con questo, da un controller di dominio Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.
Ryan Ries
fonte
1
Daniel,
Risposta eccezionale e un grande aiuto. Dopo tutto, non ero pazzo, pensando che PDC fosse un termine arcaico. Ma alla fine, è stata una pagina Microsoft che mi ha fatto chiedere, quindi il tuo discorso sullo sfondo di questo argomento mi è stato di grande aiuto e ho adorato il tuo ultimo copia e incolla di R2. Sulla base dei tuoi commenti ho trovato alcune pagine TechNet sull'identificazione del PDCe e sulla sua modifica. Quindi, se perdi la macchina o il server che attualmente ha il ruolo PDCe, puoi semplicemente utilizzare la scheda PDC "Operations Masters" per impostare un nuovo controller di dominio mentre il PDCe e la vita continuano?
Alan,
2
@Alan Sì - se si desidera migrare ruoli FSMO da un controller di dominio all'altro, si trasferisce il ruolo o si acquisisce il ruolo. Il trasferimento del ruolo è la strada "aggraziata" che seguiresti se entrambi i controller di dominio fossero attivi e in salute. Ma se il detentore del ruolo originale è completamente morto, per non risvegliarsi mai, l'unica soluzione è quella di cogliere il ruolo da un'altra DC. In entrambi i casi, Active Directory può eseguire un ripristino completo e tutto andrà bene. Ricorda solo che se ottieni un ruolo da un controller di dominio morto, è indispensabile che il controller di dominio precedente non venga mai ricollegato alla rete.
Ryan Ries,
Non hai detto quanti ruoli di FSMO ci sono ... :)
Ward - Reinstate Monica
Ci sono 5 ruoli di FSMO . Poiché tutti i ruoli di FSMO devono essere presenti in un dominio, il primo controller di dominio nella foresta da configurare contiene tutti e 5, e molte persone pigre si riferiscono a quel controller di dominio come PDC anche se è errato dirlo. Esistono 2 ruoli FSMO di livello aziendale (o 1 per foresta), "Schema Master" e "Domain Naming Master". Spesso entrambi questi ruoli si trovano su un singolo server insieme agli altri 3 ruoli per il dominio radice della foresta, il che rende quel server importante per l'intera foresta.
BeowulfNode42
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.