Windows Server 2012 R2 com GUI, host Hyper-V, VM DC
Estou instalando meu primeiro segundo controlador de domínio (DC) (parece estranho, mas é isso que estou fazendo). Eu tenho o que considero um bom processo a seguir a partir dissolink.
Eu me perguntei se um dos DCs seria considerado 'o mestre' ou um termo diferente que vi, 'o Controlador de Domínio Primário'. Mas se eu entendo como os DCs funcionam agora, todos eles se comunicam e se atualizam, eles devem assumir o controle se um falhar, então não parece mais existir o conceito de Controlador de Domínio Primário. Mas continuo vendo essa terminologia usada em postagens relativamente recentes.
Se alguém pudesse esclarecer por que o conceito ainda está sendo discutido, isso me ajudaria a entender. Se há algum relacionamento como esse que preciso estabelecer, não vejo onde fazer isso.
Também vi onde várias pessoas enfrentam problemas quando os DCs não estão mais sincronizados. Quais são as principais razões para isso e como saber se isso aconteceu?
Obrigado.
Responder1
Sim e não, mais ou menos.
A replicação do Active Directory em geral é multimestre. Você pode criar ou alterar um objeto em qualquer controlador de domínio gravável e essa alteração será replicada para todos os outros controladores de domínio. Neste sentido estrito, todos os CDs são “iguais”.
Mas existem algumas operações selecionadas que podem ter apenas um único mestre por vez. Eles são chamados de flexíveisMestre ÚnicoFunções de operações. Essas funções só podem residir em um controlador de domínio por vez e não podem flutuar sozinhas em caso de falha (elas devem ser migradas manualmente). Além disso, há certas coisas em um domínio AD que não funcionarão a menos que determinada função FSMO os titulares estão online. (Mudanças de senha, adição de um domínio filho, etc.) Portanto, pode-se dizer que todos os controladores de domínio sãonãoigual.
Existem também controladores de domínio que servem como Catálogos Globais. Um controlador de domínio de catálogo global mantém uma cópia completa dos objetos de outros domínios nessa floresta. Onde os controladores de domínio que não são GCs contêm apenas objetos de seu próprio domínio. Esta é outra maneira pela qual todos os DCs podem não ser iguais. A configuração mais simples e recomendada é fazer com que todos os DCs sejam GCs. Mas não é obrigatório.
Existem também controladores de domínio somente leitura (RODCs). Como o nome indica, esses DCs não são graváveis.
Você também pode armazenar itens em um controlador de domínio (como zonas DNS) que não são replicados para outros controladores de domínio.
Então não, eles não são 100% iguais em todos os sentidos da palavra.
As pessoas dizem “Controlador de Domínio Primário” por razões históricas. Costumava ser assim, lá atrás, no NT, 4 dias. Mas não hárealmenteum "PDC" mais. Da mesma forma, não existe mais um "BDC". Não se refira a eles dessa forma, especialmente se você estiver pedindo ajuda em lugares como Server Fault, porque estaremos tão ansiosos para corrigir sua terminologia que nem prestaremos atenção à sua pergunta/problema real.
O que tem laé, é uma função FSMO chamada "Controlador de Domínio PrimárioEmulador"ou PDCe. Essa função do PDCe é muito importante, embora ainda não devamos nos referir ao controlador de domínio que desempenha essa função como "O PDC".
Em muitas organizações, as pessoas implantam um DC em seu escritório principal e podem implantar outro DC em um local remoto... às vezes, eles se referem a esses DCs como "primários" e "backup", apenas por causa do layout lógico de sua organização . Mesmo que ambos os DCs estejam hospedando cópias completas graváveis do AD.
O que é pior é que ainda hoje existem muitas referências ao “PDC”, mesmo na documentação e nas ferramentas da própria Microsoft. Por exemplo, execute nltest /dclist:domain.comou netdom query fsmoe a ferramenta de linha de comando informará quem é o seu “PDC”. (Na verdade, é o seu PDCeDetentor da função FSMO.) Ainda existem muitas referências a um "PDC" nas APIs e documentos da Microsoft. Isso leva a muita confusão por razões históricas.
Também vi onde várias pessoas enfrentam problemas quando os DCs não estão mais sincronizados. Quais são as principais razões para isso e como saber se isso aconteceu?
Esse é um tópico muito extenso e há muitas razões pelas quais a DA pode ser divergente entre dois CDs. As ferramentas de solução de problemas que você usa com mais frequência para esses problemas são repadmin.exe, ' dcdiag.exee os logs de eventos do AD nos DCs. Procure no Google por "objetos persistentes do AD", que pode ser uma leitura interessante para você.
Vou deixar você com isso, de um controlador de domínio Server 2012 R2:
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.