GUI, Hyper-V 호스트, VM DC가 포함된 Windows Server 2012 R2
첫 번째 두 번째 도메인 컨트롤러(DC)를 설치하려고 합니다(이상하게 들리지만 실제로는 이것이 제가 하고 있는 작업입니다). 나는 이것으로부터 따라야 할 좋은 프로세스라고 생각하는 것을 가지고 있습니다링크.
DC 중 하나가 '마스터'로 간주되는지, 아니면 내가 본 다른 용어인 '주 도메인 컨트롤러'로 간주되는지 궁금했습니다. 하지만 현재 DC의 작동 방식을 이해하면 모두 서로 통신하고 업데이트하며, 하나가 실패하면 이를 대신해야 하므로 더 이상 기본 도메인 컨트롤러라는 개념이 없는 것 같습니다. 하지만 비교적 최근 게시물에서 해당 용어가 사용되는 것을 계속 볼 수 있습니다.
누군가가 그 개념이 여전히 논의되고 있는 이유를 명확히 할 수 있다면 이해하는 데 도움이 될 것입니다. 이와 같은 관계를 구축해야 한다면 어디서 해야 할지 모르겠습니다.
또한 DC가 더 이상 동기화되지 않을 때 다양한 사람들이 문제를 경험하는 경우도 보았습니다. 그 주된 이유는 무엇이며, 그런 일이 일어났는지 어떻게 알 수 있습니까?
감사해요.
답변1
예, 아니오.
일반적으로 Active Directory 복제는 다중 마스터입니다. 쓰기 가능한 모든 도메인 컨트롤러에서 개체를 만들거나 변경할 수 있으며 해당 변경 사항은 다른 모든 도메인 컨트롤러에 복제됩니다. 이러한 좁은 의미에서 모든 DC는 "동일"합니다.
그러나 한 번에 하나의 마스터만 가질 수 있는 몇 가지 작업이 있습니다. 이를 유연하다고 합니다.단일 마스터운영 역할. 이러한 역할은 한 번에 하나의 도메인 컨트롤러에만 존재할 수 있으며 오류가 발생할 경우 자체적으로 이동할 수 없습니다(수동으로 마이그레이션해야 함). 또한 AD 도메인에는 특정 FSMO 역할이 없으면 작동하지 않는 특정 항목이 있습니다. 보유자는 온라인 상태입니다. (비밀번호 변경, 하위 도메인 추가 등) 따라서 모든 도메인 컨트롤러는~ 아니다동일한.
글로벌 카탈로그 역할을 하는 도메인 컨트롤러도 있습니다. 글로벌 카탈로그 도메인 컨트롤러는 해당 포리스트에 있는 다른 도메인의 개체 전체 복사본을 보유합니다. GC가 아닌 도메인 컨트롤러에는 자체 도메인의 개체만 포함되어 있습니다. 이는 모든 DC가 동일하지 않을 수 있는 또 다른 방법입니다. 그러나 가장 간단하고 권장되는 구성은 모든 DC를 GC로 만드는 것입니다. 그러나 필수사항은 아닙니다.
RODC(읽기 전용 도메인 컨트롤러)도 있습니다. 이름에서 알 수 있듯이 이러한 DC에는 쓸 수 없습니다.
다른 도메인 컨트롤러에 복제되지 않는 하나의 도메인 컨트롤러(예: DNS 영역)에 항목을 저장할 수도 있습니다.
따라서 아니요, 단어의 모든 의미에서 100% 동일하지는 않습니다.
사람들은 역사적인 이유로 "주 도메인 컨트롤러"라고 말합니다. NT 4일 때에도 그랬어요. 하지만 없습니다정말더 이상 "PDC"가 아닙니다. 마찬가지로 더 이상 "BDC"도 없습니다. 특히 서버 결함과 같은 곳에서 도움을 요청하는 경우에는 그렇게 언급하지 마세요. 왜냐하면 우리는 귀하의 용어를 수정하기 위해 너무 열중해서 귀하의 실제 질문/문제에는 주의조차 기울이지 않을 것이기 때문입니다.
거기 뭐야?~이다, "기본 도메인 컨트롤러"라는 FSMO 역할입니다.에뮬레이터," 또는 PDC이자형. 이 PDCe 역할은 매우 중요하지만 이 역할을 수행하는 도메인 컨트롤러를 "PDC"라고 부르면 안 됩니다.
많은 조직에서 사람들은 본사에 DC를 배포하고 원격 위치에 다른 DC를 배포할 수도 있습니다. 때로는 조직의 논리적 레이아웃 때문에 이러한 DC를 "기본" 및 "백업"이라고 부릅니다. . 두 DC 모두 실제로 쓰기 가능한 AD의 전체 복사본을 호스팅하고 있지만.
더 나쁜 점은 오늘날에도 Microsoft의 자체 문서와 도구에도 "PDC"에 대한 언급이 많다는 것입니다. 예를 들어, nltest /dclist:domain.com또는 를 실행 netdom query fsmo하면 명령줄 도구가 "PDC"가 누구인지 알려줍니다. (실제로는 PDC입니다.이자형FSMO 역할 보유자.) Microsoft API 및 문서에는 "PDC"에 대한 참조가 여전히 많이 있습니다. 이는 역사적 이유로 많은 혼란을 야기합니다.
또한 DC가 더 이상 동기화되지 않을 때 다양한 사람들이 문제를 경험하는 경우도 보았습니다. 그 주된 이유는 무엇이며, 그런 일이 일어났는지 어떻게 알 수 있습니까?
이는 매우 큰 주제이며 AD가 두 DC에서 분기될 수 있는 데에는 여러 가지 이유가 있습니다. 이러한 문제에 가장 자주 사용하는 문제 해결 도구는 repadmin.exe, ' dcdiag.exe및 DC의 AD 이벤트 로그입니다. Google에서 "AD 느린 개체"를 찾아보면 흥미로울 수 있습니다.
Server 2012 R2 도메인 컨트롤러에서 다음과 같은 내용을 알려 드리겠습니다.
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.