Windows Server 2012 R2 с графическим интерфейсом, хост Hyper-V, контроллер домена виртуальной машины
Я устанавливаю свой первый второй контроллер домена (DC) (звучит странно, но это действительно то, что я делаю). Я думаю, что у меня есть хороший процесс, которому можно следовать из этогосвязь.
Мне было интересно, будет ли один из контроллеров домена считаться «главным» или другим термином, который я видел, «основным контроллером домена». Но если я правильно понимаю, как сейчас работают контроллеры домена, они все общаются и обновляют друг друга, они должны взять на себя управление в случае отказа одного из них, так что, похоже, больше нет такого понятия, как основной контроллер домена. Но я продолжаю видеть эту терминологию в относительно недавних сообщениях.
Если бы кто-то мог прояснить, почему эта концепция все еще обсуждается, это помогло бы мне понять. Если есть какая-то связь, которую мне нужно установить, я не вижу, где это сделать.
Я также видел, как разные люди испытывали проблемы, когда DC больше не синхронизированы. Каковы основные причины этого и как узнать, что это произошло?
Спасибо.
решение1
И да, и нет, в некотором роде.
Репликация Active Directory в целом является многохозяинной. Вы можете создать или изменить объект на любом контроллере домена, доступном для записи, и это изменение будет реплицировано на все остальные контроллеры домена. В этом узком смысле все контроллеры домена «равны».
Но есть несколько избранных операций, которые могут иметь только одного мастера в один момент времени. Они называются гибкимиОдин мастерРоли операций. Эти роли могут существовать только на одном контроллере домена одновременно, и они не могут перемещаться сами по себе в случае сбоя (их необходимо переносить вручную). Кроме того, в домене AD есть определенные вещи, которые не будут работать, если определенные держатели ролей FSMO не будут в сети. (Изменение пароля, добавление дочернего домена и т. д.) Поэтому можно сказать, что все контроллеры доменанетравный.
Также существуют контроллеры домена, выступающие в качестве глобальных каталогов. Контроллер домена глобального каталога хранит полную копию объектов из других доменов в этом лесу. В то время как контроллеры домена, которые не являются GC, содержат только объекты из своего собственного домена. Это еще один способ, которым все DC могут быть не равны. Однако самая простая и рекомендуемая конфигурация — сделать так, чтобы все DC были GC. Но это не обязательно.
Существуют также контроллеры домена только для чтения (RODC). Как следует из названия, эти контроллеры домена не доступны для записи.
Вы также можете хранить данные на одном контроллере домена (например, зоны DNS), которые не реплицируются на другие контроллеры домена.
Так что нет, они не на 100% равны во всех смыслах этого слова.
Люди говорят "Основной контроллер домена" по историческим причинам. Так было раньше, еще во времена NT 4. Но нетДействительно"PDC" больше нет. Точно так же больше нет и "BDC". Не называйте их так, особенно если вы просите о помощи в таких местах, как Server Fault, потому что мы будем так горячо исправлять вашу терминологию, что даже не обратим внимания на ваш реальный вопрос/проблему.
Что тамявляется, — это роль FSMO, называемая «Основной контроллер домена»Эмулятор," или PDCе. Эта роль PDCe очень важна, хотя мы все равно не должны называть контроллер домена, который выполняет эту роль, «PDC».
Во многих организациях люди развертывают DC в главном офисе, и они могут развертывать другой DC в удаленном месте... иногда они называют эти DC "основным" и "резервным" просто из-за логической структуры своей организации. Хотя оба этих DC фактически размещают полные копии AD с возможностью записи.
Хуже того, сегодня все еще есть много ссылок на "PDC" даже в собственной документации и инструментах Microsoft. Например, запустите nltest /dclist:domain.comили netdom query fsmo, и инструмент командной строки скажет вам, кто ваш "PDC". (На самом деле это ваш PDCе(Владелец роли FSMO.) В API и документах Microsoft все еще много ссылок на "PDC". Это приводит к большой путанице по историческим причинам.
Я также видел, как разные люди испытывали проблемы, когда DC больше не синхронизированы. Каковы основные причины этого и как узнать, что это произошло?
Это очень обширная тема, и есть много причин, по которым AD может расходиться между двумя контроллерами домена. Инструменты устранения неполадок, которые вы чаще всего используете для этих проблем, это repadmin.exe, ' dcdiag.exeи журналы событий AD на контроллерах домена. Погуглите по запросу "AD lingering objects", это может быть интересным чтением для вас.
Напоследок я расскажу вам вот что с контроллера домена Server 2012 R2:
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.