Чи всі контролери домену в невеликій мережі вважаються еквівалентними / рівними?

Windows Server 2012 R2 w / GUI, хост Hyper-V, VM DC

Я встановлюю свій перший другий контролер домену (DC) (звучить дивно, але це дійсно те, що я роблю). У мене є те, що, на мою думку, є гарним процесом, щоб перейти за цим посиланням .

Мені було цікаво, чи хтось із постійного струму вважатиметься "майстром", чи іншим, що я бачив, "первинним контролером домену". Але якщо я розумію те, як зараз працює DC, всі вони спілкуються та оновлюють один одного, вони повинні взяти на себе посаду, якщо один не вдасться, тому, схоже, вже не існує такої концепції, як контролер основного домену. Але я продовжую бачити, що термінологія використовується в порівняно останніх публікаціях.

Якщо хтось міг би зрозуміти, чому концепція все ще обговорюється, це допомогло б мені зрозуміти. Якщо є якісь такі відносини, які мені потрібно встановити, я не бачу, де це зробити.

Я також бачив, де різні люди відчувають проблеми, коли DC вже не синхронізуються. Які основні причини цього і як можна знати, що сталося?

Спасибі.

domain-controller windows-server-2012-r2

— Алан
джерело

Коли ви бачите "PDC", що використовується в відношенні до будь-якого іншого, крім домену Windows NT, людина не знає, про що вони говорять ... якщо тільки вони не говорять про роль AD "PDC Emulator", яку можна заповнити контролером домену AD.

— ЄЕАА

Якщо ви бачите PDC, інформація, ймовірно, застаріла або відноситься до невеликого середовища, де вони означають, що у них є лише один реальний сервер Active Directory та інший сервер, який вони мають для відмови.

— IceMage

Так і ні, начебто.

Реплікація Active Directory в цілому є багатокористувацькою. Ви можете створити або змінити об’єкт на будь-якому контрольованому домені контролера, і ця зміна буде повторена на всі інші контролери домену. У цьому вузькому сенсі всі постійні струми «рівні».

Але є кілька окремих операцій, які можуть мати лише один ведучий одночасно. Вони називаються гнучкими ролями одномісних операцій. Ці ролі можуть жити лише на одному контролері домену за один раз, і вони не можуть плавати самостійно у разі відмови (їх потрібно перенести вручну.) Крім того, в домені AD є певні речі, які не працюватимуть, якщо певна роль FSMO власники в Інтернеті. (Змінення пароля, додавання дочірнього домену тощо). Тому можна сказати, що всі контролери домену не рівні.

Є також контролери домену, які виступають в якості глобальних каталогів. Глобальний контролер домену каталогу містить повну копію об'єктів з інших доменів у цьому лісі. Якщо контролери домену, які не є GC, містять лише об'єкти з власного домену. Це ще один спосіб, коли всі постійні струми можуть бути не рівними. Однак найпростіша і рекомендована конфігурація - це те, щоб всі постійні струми були ГК. Але це не є обов’язковим.

Існують також контролери домену лише для читання (RODC). Як випливає з назви, ці постійні контролери не підлягають запису.

Ви також можете зберігати речі на одному контролері домену (наприклад, DNS-зони), які не реплікуються на інші контролери домену.

Так ні, вони не на 100% рівні в будь-якому сенсі цього слова.

Люди кажуть "Первинний контролер домену" з історичних причин. Це було раніше таким шляхом, назад у NT 4 дні. Але насправді вже немає "PDC". Так само вже немає "BDC". Не звертайтеся до них так, особливо якщо ви просите допомоги в таких місцях, як помилка сервера, тому що ми будемо так гаряче виправити вашу термінологію, що навіть не звернемо уваги на ваш актуальний питання / проблему.

Що є , це роль FSMO під назвою " Емулятор первинного контролера домену " або PDC e . Ця роль PDCe дуже важлива, хоча ми все-таки не повинні посилатися на контролер домену, який виконує цю роль як «PDC».

У багатьох організаціях люди розгортають постійний струм у своєму головному офісі, і вони можуть розгортати інший постійний струм у віддаленому місці ... іноді вони називають ці постійні джерела харчування як "первинні" та "резервні копії", лише через логічну схему їх організації . Незважаючи на те, що в обох цих постійних комп'ютерах фактично розміщені повні копії AD.

Що ще гірше - те, що на сьогоднішній день існує багато посилань на «PDC» навіть у власній документації та інструментах Microsoft. Наприклад, запустіть nltest /dclist:domain.comабо netdom query fsmo, і інструмент командного рядка підкаже, хто ваш "PDC". (Це насправді ваш власник ролі PDC e FSMO.) В API та документах Microsoft ще багато посилань на "PDC". Це призводить до великої плутанини з історичних причин.

Я також бачив, де різні люди відчувають проблеми, коли DC вже не синхронізуються. Які основні причини цього і як можна знати, що сталося?

Це дуже величезна тема, і є багато причин, через які AD може розходитися в двох ДК. Інструменти для усунення несправностей, які ви найчастіше використовуєте для цих проблем, є repadmin.exe" dcdiag.exe, і журнали подій AD на постійних джерелах. Google для "затриманих об’єктів AD", які можуть бути цікавими для вас.

Я залишу вас із цим, від контролера домену Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.

— Райан Різ
джерело

Більше читати на цю тему: Розміщення та оптимізація FSMO на контролерах домену Active Directory

— Даніель

Видатна реакція та чудова допомога. Зрештою, я не збожеволів, думаючи, що PDC - це архаїчний термін. Але врешті-решт, це було МОЮ сторінку Microsoft, яка змусила мене запитати, тож ваш дискурс на тлі цієї теми справді допоміг, і я полюбив вашу остаточну копію та вставлення R2. На основі ваших коментарів я знайшов кілька сторінок TechNet щодо виявлення PDCe та зміни його. Отже, якщо ви втратите машину або сервер, який наразі виконує роль PDCe, ви можете просто скористатися вкладкою PDC "Майстри операцій", щоб встановити новий постійний струм, коли PDCe і триває життя?

— Алан

@Alan Так - якщо ви хочете перенести ролі FSMO з одного постійного струму в інший, ви або переносите роль, або захоплюєте її. Перенесення ролі - це «витончений» маршрут, який ви б взяли, якби обидва постійних лікарі були здоровими. Але якщо оригінальний власник ролі повністю мертвий, ніколи не пробуджуючись, то ваш єдиний прийом - це захопити роль у іншого постійного струму. У будь-якому випадку Active Directory може зробити повне відновлення, і все буде добре. Просто пам’ятайте, що якщо ви захоплюєте роль з мертвого постійного струму, то обов'язково старий постійний постійний струм ніколи не підключатиметься до мережі.

— Райан Райс

Ви не сказали, скільки ролей FSMO є ... :)

— Уорд - Поновіть Моніку

Є 5 ролей FSMO . Оскільки всі ролі FSMO повинні бути присутніми в домені, перший DC в лісі, який буде налаштований, містить усі 5, і багато ледачих називають цей DC як PDC, хоча це неправильно сказати. Існує 2 ролі FSMO, які на всій території підприємства (або по 1 на ліс) "Master Shema" і "Master Nameing Master". Часто обидві ці ролі виконуються на одному сервері разом із трьома іншими ролями для кореневого домену лісу, що робить цей сервер важливим для всього лісу.

— BeowulfNode42