Werden alle Domänencontroller in einem kleinen Netzwerk als gleichwertig angesehen?

14

Windows Server 2012 R2 mit GUI, Hyper-V-Host, VM DC

Ich installiere meinen ersten zweiten Domänencontroller (DC) (klingt komisch, aber genau das mache ich). Ich halte es für einen guten Prozess, diesem Link zu folgen .

Ich fragte mich, ob einer der Domänencontroller als "der Master" oder als "der primäre Domänencontroller" bezeichnet werden würde. Aber wenn ich verstehe, wie die Domänencontroller jetzt funktionieren, kommunizieren und aktualisieren sie sich gegenseitig. Sie sollen die Kontrolle übernehmen, wenn einer ausfällt. Es scheint also nicht mehr so, als gäbe es ein Konzept wie einen primären Domänencontroller. Aber ich sehe diese Terminologie immer wieder in relativ neuen Beiträgen.

Wenn jemand klären könnte, warum das Konzept noch diskutiert wird, würde es mir helfen, es zu verstehen. Wenn ich so eine Beziehung aufbauen muss, sehe ich nicht, wo ich das machen soll.

Ich habe auch gesehen, wo verschiedene Leute Probleme haben, wenn die DCs nicht mehr synchron sind. Was sind die Hauptgründe dafür und woher weiß man, dass das passiert ist?

Vielen Dank.

Alan
quelle
1
Wenn Sie sehen, dass "PDC" in Bezug auf etwas anderes als eine Windows NT-Domäne verwendet wird, weiß die Person nicht, wovon sie spricht ... es sei denn, sie spricht über die AD-Rolle "PDC-Emulator", die besetzt werden kann von einem AD-Domänencontroller.
EEAA
Wenn Sie PDC sehen, sind die Informationen wahrscheinlich veraltet oder beziehen sich auf eine kleine Umgebung, in der sie bedeuten, dass sie nur einen echten Active Directory-Server und einen anderen Server für das Failover haben.
IceMage

Antworten:

18

Ja und nein, irgendwie.

Die Active Directory-Replikation ist im Allgemeinen multimasterfähig. Sie können ein Objekt auf einem beschreibbaren Domänencontroller erstellen oder ändern. Diese Änderung wird auf alle anderen Domänencontroller repliziert. In diesem engen Sinne sind alle DCs "gleich".

Es gibt jedoch einige wenige Vorgänge, bei denen möglicherweise nur ein Master gleichzeitig vorhanden ist. Diese werden als Flexible Single Master Operations-Rollen bezeichnet. Diese Rollen können jeweils nur auf einem Domänencontroller ausgeführt werden und können bei einem Fehler nicht automatisch übertragen werden (sie müssen manuell migriert werden). Darüber hinaus gibt es bestimmte Dinge in einer AD-Domäne, die nur mit bestimmten FSMO-Rollen funktionieren Inhaber sind online. (Kennwortänderungen, eine untergeordnete Domäne hinzufügen, etc.) Daher könnte man sagen, dass alle Domänencontroller sind nicht gleich.

Es gibt auch Domänencontroller, die als globale Kataloge dienen. Ein globaler Katalogdomänencontroller enthält eine vollständige Kopie von Objekten aus anderen Domänen in dieser Gesamtstruktur. Wobei Domänencontroller, die keine GCs sind, nur Objekte aus ihrer eigenen Domäne enthalten. Dies ist eine weitere Möglichkeit, bei der möglicherweise nicht alle DCs gleich sind. Die einfachste und empfohlene Konfiguration besteht darin, dass alle DCs GCs sind. Es ist aber nicht zwingend.

Es gibt auch schreibgeschützte Domänencontroller (Read Only Domain Controllers, RODCs). Wie der Name schon sagt, sind diese Domänencontroller nicht beschreibbar.

Sie können auch Dinge auf einem Domänencontroller (z. B. DNS-Zonen) speichern, die nicht auf andere Domänencontroller repliziert wurden.

Also nein, sie sind nicht in jedem Sinne des Wortes zu 100% gleich.

Die Leute sagen aus historischen Gründen "Primary Domain Controller". Früher war es so, in den NT 4 Tagen. Aber es gibt eigentlich keinen "PDC" mehr. Ebenso gibt es kein "BDC" mehr. Verweisen Sie nicht auf diese Art, insbesondere wenn Sie an Orten wie Serverfehler um Hilfe bitten, da wir Ihre Terminologie so schnell korrigieren, dass wir uns nicht einmal um Ihre eigentliche Frage / Problem kümmern.

Was es gibt , ist eine FSMO-Rolle namens "Primary Domain Controller Emulator " oder PDC e . Diese PDCe-Rolle ist sehr wichtig, obwohl wir den Domänencontroller, der diese Rolle innehat, eigentlich nicht als "PDC" bezeichnen sollten.

In vielen Organisationen stellen Benutzer einen Domänencontroller in ihrer Hauptniederlassung bereit und stellen möglicherweise einen anderen Domänencontroller an einem Remotestandort bereit. Manchmal bezeichnen sie diese Domänencontroller aufgrund des logischen Aufbaus ihrer Organisation als "primär" und "Sicherung" . Obwohl beide Domänencontroller tatsächlich vollständig beschreibbare Kopien von AD hosten.

Schlimmer noch ist, dass es auch in der Dokumentation und den Tools von Microsoft noch viele Verweise auf "PDC" gibt. Führen Sie beispielsweise nltest /dclist:domain.comoder aus netdom query fsmo, und das Befehlszeilentool gibt an, wer Ihr "PDC" ist. ( Tatsächlich handelt es sich um Ihren PDC- und FSMO-Rolleninhaber.) In Microsoft-APIs und -Dokumenten gibt es immer noch zahlreiche Verweise auf einen "PDC". Dies führt aus historischen Gründen zu großer Verwirrung.

Ich habe auch gesehen, wo verschiedene Leute Probleme haben, wenn die DCs nicht mehr synchron sind. Was sind die Hauptgründe dafür und woher weiß man, dass das passiert ist?

Das ist ein sehr großes Thema und es gibt viele Gründe, warum AD über zwei DCs hinweg unterschiedlich sein kann. Die Fehlersuche Werkzeuge , die Sie am häufigsten für diese Probleme verwenden sind repadmin.exe" dcdiag.exe, und die AD - Ereignisprotokolle auf dem DCs. Google für "AD verweilende Objekte", das könnte eine interessante Lektüre für Sie sein.

Ich überlasse Ihnen Folgendes von einem Server 2012 R2-Domänencontroller:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.
Ryan Ries
quelle
Hervorragende Resonanz und eine große Hilfe. Ich war schließlich nicht verrückt, weil ich dachte, dass PDC ein archaischer Begriff ist. Aber am Ende war es eine Microsoft-Seite, die mich zum Nachfragen veranlasste. Ihr Diskurs über den Hintergrund dieses Themas hat mir also wirklich geholfen, und ich fand es toll, dass Sie R2 endgültig kopieren und einfügen. Basierend auf Ihren Kommentaren habe ich einige TechNet-Seiten zum Identifizieren und Ändern der PDC gefunden. Wenn Sie also die Maschine oder den Server verlieren, die bzw. der derzeit die PDCe-Rolle hat, können Sie auf der Registerkarte "Operations Masters" (Betriebsmaster) einen neuen Domänencontroller festlegen, während die PDC und das Leben weitergehen?
Alan
2
@Alan Ja - Wenn Sie FSMO-Rollen von einem Domänencontroller auf einen anderen migrieren möchten, übertragen Sie entweder die Rolle oder Sie übernehmen die Rolle. Das Übertragen der Rolle ist der "anmutige" Weg, den Sie einschlagen würden, wenn beide DCs aktiv und gesund wären. Aber wenn der ursprüngliche Rolleninhaber völlig tot ist, um nie wieder zu erwachen, besteht Ihre einzige Möglichkeit darin , die Rolle von einem anderen DC zu übernehmen. In beiden Fällen kann Active Directory eine vollständige Wiederherstellung durchführen, und alles wird in Ordnung sein. Denken Sie jedoch daran, dass der alte Domänencontroller niemals wieder mit dem Netzwerk verbunden werden darf, wenn Sie eine Rolle eines toten Domänencontrollers übernehmen.
Ryan Ries
Du hast nicht gesagt, wie viele FSMO-Rollen es gibt ... :)
Ward - Reinstate Monica
Es gibt 5 FSMO-Rollen . Da alle FSMO-Rollen in einer Domäne vorhanden sein müssen, enthält der erste einzurichtende Domänencontroller in der Gesamtstruktur alle fünf Domänencontroller, und viele faule Personen bezeichnen diesen Domänencontroller als PDC, obwohl dies falsch ist. Es gibt 2 FSMO-Rollen, die unternehmensweit (oder 1 pro Gesamtstruktur) "Schema Master" und "Domain Naming Master" sind. Häufig befinden sich diese beiden Rollen zusammen mit den drei anderen Rollen für die Gesamtstruktur-Stammdomäne auf einem einzelnen Server, sodass dieser Server für die gesamte Gesamtstruktur wichtig ist.
BeowulfNode42