Windows Server 2012 R2 con GUI, host Hyper-V, VM DC
Estoy instalando mi primer segundo controlador de dominio (DC) (suena extraño, pero eso es realmente lo que estoy haciendo). Tengo lo que creo que es un buen proceso a seguir a partir de esto.enlace.
Me preguntaba si uno de los DC sería considerado "el maestro", o un término diferente que he visto, "el controlador de dominio primario". Pero si entiendo la forma en que funcionan ahora los DC, todos se comunican y se actualizan entre sí, se supone que deben tomar el control si uno falla, por lo que ya no parece que exista el concepto de Controlador de Dominio Primario. Pero sigo viendo esa terminología utilizada en publicaciones relativamente recientes.
Si alguien pudiera aclarar por qué todavía se está discutiendo el concepto, me ayudaría a comprenderlo. Si hay alguna relación como esta que necesito establecer, no veo dónde hacerlo.
También he visto que varias personas experimentan problemas cuando los DC ya no están sincronizados. ¿Cuáles son las razones principales de esto y cómo se sabe que ha sucedido?
Gracias.
Respuesta1
Sí y no, más o menos.
La replicación de Active Directory en general es multimaestro. Puede crear o cambiar un objeto en cualquier controlador de dominio grabable y ese cambio se replicará en todos los demás controladores de dominio. En este sentido estricto, todos los países en desarrollo son "iguales".
Pero hay unas pocas operaciones selectas que pueden tener solo un maestro a la vez. Estos se llaman flexibles.Maestro individualRoles de operaciones. Estos roles solo pueden residir en un controlador de dominio a la vez y no pueden flotar por sí solos en caso de falla (deben migrarse manualmente). Además, hay ciertas cosas en un dominio AD que no funcionarán a menos que se cumpla con cierto rol FSMO. los titulares están en línea. (Cambios de contraseña, agregar un dominio secundario, etc.) Por lo tanto, se podría decir que todos los controladores de dominio sonnoigual.
También hay controladores de dominio que actúan como catálogos globales. Un controlador de dominio de catálogo global contiene una copia completa de los objetos de otros dominios en ese bosque. Mientras que los controladores de dominio que no son GC contienen solo objetos de su propio dominio. Ésta es otra forma en la que todos los países en desarrollo pueden no ser iguales. Sin embargo, la configuración más simple y recomendada es que todos los DC sean GC. Pero no es obligatorio.
También hay controladores de dominio de solo lectura (RODC). Como su nombre lo indica, estos DC no se pueden escribir.
También puede almacenar elementos en un controlador de dominio (como zonas DNS) que no se replican en otros controladores de dominio.
Entonces no, no son 100% iguales en todos los sentidos de la palabra.
La gente dice "Controlador de dominio principal" por razones históricas. Solía ser así, allá por los 4 días del Nuevo Testamento. Pero no hayen realidadun "PDC" nunca más. Del mismo modo, ya no existe realmente un "BDC". No se refiera a ellos de esa manera, especialmente si está solicitando ayuda en lugares como Server Fault, porque estaremos tan ansiosos por corregir su terminología que ni siquiera prestaremos atención a su pregunta/problema real.
Lo que hayes, es una función de FSMO llamada "Controlador de dominio principalEmulador," o PDCmi. Esta función de PDCe es muy importante, aunque todavía no deberíamos referirnos al controlador de dominio que desempeña esta función como "El PDC".
En muchas organizaciones, las personas implementan un DC en su oficina principal y pueden implementar otro DC en una ubicación remota... a veces se refieren a estos DC como "primarios" y "de respaldo", simplemente por el diseño lógico de su organización. . A pesar de que ambos DC en realidad albergan copias completas de AD que se pueden escribir.
Lo peor es que todavía hoy hay muchas referencias a "PDC", incluso en la propia documentación y herramientas de Microsoft. Por ejemplo, ejecute nltest /dclist:domain.como netdom query fsmoy la herramienta de línea de comandos le indicará quién es su "PDC". (En realidad es tu PDCmiTitular del rol FSMO). Todavía hay muchas referencias a un "PDC" en las API y documentos de Microsoft. Esto genera mucha confusión por razones históricas.
También he visto que varias personas experimentan problemas cuando los DC ya no están sincronizados. ¿Cuáles son las razones principales de esto y cómo se sabe que ha sucedido?
Se trata de un tema muy amplio y hay muchas razones por las que la DA puede ser divergente entre dos países en desarrollo. Las herramientas de resolución de problemas que utiliza con más frecuencia para estos problemas son repadmin.exe, ' dcdiag.exey los registros de eventos de AD en los controladores de dominio. Busque en Google "objetos persistentes de AD", que puede ser una lectura interesante para usted.
Los dejo con esto, desde un controlador de dominio Server 2012 R2:
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.