Windows Server 2012 R2 mit GUI, Hyper-V-Host, VM DC
Ich installiere meinen ersten zweiten Domänencontroller (DC) (klingt komisch, aber das ist wirklich das, was ich mache). Ich habe einen meiner Meinung nach guten Prozess, dem ich folgen kannVerknüpfung.
Ich habe mich gefragt, ob einer der DCs als „Master“ oder, wie ich schon gesehen habe, als „primärer Domänencontroller“ gelten würde. Aber wenn ich die Funktionsweise der DCs richtig verstehe, kommunizieren sie alle miteinander und aktualisieren sich gegenseitig. Sie sollen übernehmen, wenn einer ausfällt. Es scheint also nicht mehr so zu sein, als gäbe es das Konzept eines primären Domänencontrollers. Aber ich sehe diese Terminologie immer wieder in relativ neuen Beiträgen.
Wenn mir jemand erklären könnte, warum das Konzept noch immer diskutiert wird, würde mir das helfen, es zu verstehen. Wenn es eine Beziehung wie diese gibt, die ich herstellen muss, weiß ich nicht, wo ich das tun soll.
Ich habe auch gesehen, dass bei verschiedenen Leuten Probleme auftreten, wenn die DCs nicht mehr synchron sind. Was sind die Hauptgründe dafür und wie erkennt man, dass das passiert ist?
Danke.
Antwort1
Ja und nein, irgendwie.
Die Active Directory-Replikation erfolgt im Allgemeinen über mehrere Master. Sie können auf jedem beschreibbaren Domänencontroller ein Objekt erstellen oder ändern, und diese Änderung wird auf alle anderen Domänencontroller repliziert. In diesem engeren Sinne sind alle Domänencontroller „gleich“.
Es gibt jedoch einige wenige Operationen, die jeweils nur einen einzigen Master haben können. Diese werden als flexible Operationen bezeichnet.EinzelmasterBetriebsrollen. Diese Rollen können nur auf einem Domänencontroller gleichzeitig vorhanden sein und können im Falle eines Fehlers nicht von selbst fortbestehen (sie müssen manuell migriert werden). Darüber hinaus gibt es bestimmte Dinge in einer AD-Domäne, die nicht funktionieren, wenn bestimmte FSMO-Rolleninhaber nicht online sind. (Passwortänderungen, Hinzufügen einer untergeordneten Domäne usw.) Daher könnte man sagen, dass alle Domänencontrollernichtgleich.
Es gibt auch Domänencontroller, die als globale Kataloge dienen. Ein Domänencontroller mit globalem Katalog enthält eine vollständige Kopie der Objekte aus anderen Domänen in dieser Gesamtstruktur. Domänencontroller, die keine GCs sind, enthalten dagegen nur Objekte aus ihrer eigenen Domäne. Dies ist ein weiterer Grund, warum nicht alle DCs gleich sein können. Die einfachste und empfohlene Konfiguration besteht jedoch darin, alle DCs als GCs zu verwenden. Dies ist jedoch nicht zwingend erforderlich.
Es gibt auch Read Only Domain Controllers (RODCs). Wie der Name schon sagt, sind diese DCs nicht beschreibbar.
Sie können auch Dinge auf einem Domänencontroller speichern (z. B. DNS-Zonen), die nicht auf andere Domänencontroller repliziert werden.
Also nein, sie sind nicht im wahrsten Sinne des Wortes 100 % gleich.
Die Leute sagen "Primärer Domänencontroller" aus historischen Gründen. Das war früher so, damals in den NT 4-Tagen. Aber es gibt nichtWirklichein „PDC“ mehr. Ebenso gibt es eigentlich kein „BDC“ mehr. Bezeichnen Sie sie nicht so, insbesondere wenn Sie an Orten wie Server Fault um Hilfe bitten, denn wir werden so darauf erpicht sein, Ihre Terminologie zu korrigieren, dass wir Ihrer eigentlichen Frage/Ihrem eigentlichen Problem nicht einmal Beachtung schenken.
Was dortIstist eine FSMO-Rolle namens "Primary Domain ControllerEmulator," oder PDCt. Diese PDCe-Rolle ist sehr wichtig, obwohl wir den Domänencontroller, der diese Rolle innehat, trotzdem nicht wirklich als „den PDC“ bezeichnen sollten.
In vielen Organisationen wird ein DC in der Hauptniederlassung eingesetzt und ein weiterer DC an einem entfernten Standort. Manchmal werden diese DCs aufgrund der logischen Struktur der Organisation auch als „primär“ und „Backup“ bezeichnet. Obwohl beide DCs tatsächlich vollständige beschreibbare Kopien von AD hosten.
Schlimmer noch ist, dass es auch heute noch viele Verweise auf „PDC“ gibt, sogar in Microsofts eigener Dokumentation und in seinen Tools. Führen Sie beispielsweise nltest /dclist:domain.comoder aus netdom query fsmo, und das Befehlszeilentool wird Ihnen sagen, wer Ihr „PDC“ ist. (Es ist tatsächlich Ihr PDCtFSMO-Rolleninhaber.) In Microsoft-APIs und -Dokumenten gibt es immer noch viele Verweise auf einen „PDC“. Dies führt aus historischen Gründen zu großer Verwirrung.
Ich habe auch gesehen, dass bei verschiedenen Leuten Probleme auftreten, wenn die DCs nicht mehr synchron sind. Was sind die Hauptgründe dafür und wie erkennt man, dass das passiert ist?
Das ist ein sehr umfangreiches Thema und es gibt viele Gründe, warum AD auf zwei DCs abweichen kann. Die am häufigsten verwendeten Tools zur Fehlerbehebung bei diesen Problemen sind repadmin.exe, ' dcdiag.exeund die AD-Ereignisprotokolle auf den DCs. Googlen Sie nach „AD-Lingering-Objekten“, das könnte eine interessante Lektüre für Sie sein.
Ich lasse Sie mit Folgendem zurück, von einem Server 2012 R2-Domänencontroller:
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.