Küçük bir ağdaki tüm etki alanı denetleyicileri eşdeğer / eşit kabul edilir mi?

GUI ile Windows Server 2012 R2, Hyper-V ana bilgisayar, VM DC

İlk ikinci Etki Alanı Denetleyicimi (DC) yüklüyorum (kulağa garip geliyor ama gerçekten yaptığım şey bu). Bu bağlantıdan takip etmek için iyi bir süreç olduğunu düşünüyorum .

DC'lerden birinin 'usta' mı yoksa gördüğüm farklı bir terim mi 'Birincil Etki Alanı Denetleyicisi' olarak kabul edileceğini merak ettim. Ancak DC'lerin şu anda nasıl çalıştığını anlarsam, hepsi birbirleriyle iletişim kurar ve günceller, biri başarısız olursa üstlenmeleri gerekir, bu yüzden artık Birincil Etki Alanı Denetleyicisi olarak böyle bir kavram yok gibi görünmüyor. Fakat terminolojinin nispeten yeni yazılarda kullanıldığını görmeye devam ediyorum.

Birisi kavramın neden hala tartışıldığını temizleyebilseydi anlamama yardımcı olurdu. Böyle bir ilişki kurmam gereken bir şey varsa, bunu nerede yapacağımı göremiyorum.

DC'ler artık senkronize olmadığında çeşitli kişilerin nerede sorun yaşadığını da gördüm. Bunun başlıca nedenleri nelerdir ve bunun nasıl olduğunu nasıl bilebilir?

Teşekkürler.

domain-controller windows-server-2012-r2

— Alan
kaynak

Bir Windows NT etki alanı dışında bir şey için "PDC" kullanıldığını gördüğünüzde, kişi ne hakkında konuştuklarını bilmiyor ... Doldurulabilecek AD "PDC Öykünücüsü" rolü hakkında konuşmadıkça kişi bir AD etki alanı denetleyicisi tarafından.

— EEAA

PDC'yi görürseniz, bilgiler muhtemelen eski olabilir veya yalnızca bir gerçek Active Directory sunucusuna ve yük devretme için sahip oldukları başka bir sunucuya sahip oldukları anlamına gelen küçük bir ortama atıfta bulunur.

— IceMage

Evet ve hayır.

Active Directory çoğaltması genel olarak multi-master'tır. Yazılabilir herhangi bir etki alanı denetleyicisinde bir nesne oluşturabilir veya değiştirebilirsiniz; bu değişiklik diğer tüm etki alanı denetleyicilerine çoğaltılır. Bu dar anlamda, tüm DC'ler "eşittir".

Ancak aynı anda yalnızca tek bir master'a sahip olabilecek birkaç işlem vardır. Bunlara Esnek Tek Ana İşlemler rolleri denir . Bu roller bir seferde yalnızca bir etki alanı denetleyicisinde yaşayabilir ve bir hata durumunda kendi başlarına yüzemezler (el ile geçirilmeleri gerekir.) Ayrıca, bir AD etki alanında belirli FSMO rolü olmadıkça çalışmayacak belirli şeyler vardır sahipleri çevrimiçi. (Parola değişiklikleri, alt etki alanı ekleme vb.) Bu nedenle, tüm etki alanı denetleyicilerinin eşit olmadığı söylenebilir .

Genel Kataloglar olarak hizmet veren etki alanı denetleyicileri de vardır. Genel katalog etki alanı denetleyicisi, bu ormandaki diğer etki alanlarından nesnelerin tam bir kopyasını tutar. GC olmayan etki alanı denetleyicileri olarak yalnızca kendi etki alanlarından nesneler bulunur. Bu, tüm DC'lerin eşit olmayabileceği başka bir yoldur. Bununla birlikte, en basit ve önerilen yapılandırma, tüm DC'lerin GC olmasıdır. Ancak zorunlu değildir.

Ayrıca Salt Okunur Etki Alanı Denetleyicileri (RODC'ler) vardır. Adından da anlaşılacağı gibi, bu DC'ler yazılamaz.

Ayrıca, diğer etki alanı denetleyicilerine çoğaltılmayan bir etki alanı denetleyicisinde (DNS bölgeleri gibi) bir şeyler depolayabilirsiniz.

Yani hayır, kelimenin her anlamında% 100 eşit değiller.

İnsanlar tarihsel nedenlerle "Birincil Etki Alanı Denetleyicisi" diyorlar. NT 4 gün içinde bu şekilde olacaktı. Ama artık gerçekten bir "PDC" yok. Benzer şekilde artık gerçekten bir "BDC" de yok. Özellikle Sunucu Hatası gibi yerlerde yardım istiyorsanız, bu şekilde söz etmeyin, çünkü terminolojinizi düzeltmek için o kadar sıcak olacağız ki asıl sorunuza / probleminize bile dikkat etmeyeceğiz.

Var olan , "Birincil Etki Alanı Denetleyicisi Öykünücüsü " veya PDC e adlı bir FSMO rolüdür . Bu PDCe rolü çok önemlidir, ancak yine de bu rolü "PDC" olarak alan etki alanı denetleyicisine gerçekten değinmemeliyiz.

Birçok kuruluşta, insanlar ana ofislerine bir DC dağıtırlar ve uzak bir yere başka bir DC dağıtabilirler ... bazen bu DC'lere yalnızca kuruluşlarının mantıksal düzeni nedeniyle "birincil" ve "yedek" olarak atıfta bulunurlar . Bu DC'lerin her ikisi de aslında AD'nin tam yazılabilir kopyalarını barındırıyor olsa da.

Daha da kötüsü, bugün hala Microsoft'un kendi belgelerinde ve araçlarında bile "PDC" ye birçok referans var. Örneğin, nltest /dclist:domain.comveya netdom query fsmokomutunu çalıştırın ve komut satırı aracı size "PDC" nin kim olduğunu söyleyecektir. (Aslında PDC e FSMO rol sahibinizdir.) Microsoft API'larında ve belgelerinde hala bir "PDC" referansı vardır. Bu, tarihsel nedenlerden dolayı çok fazla karışıklığa yol açar.

DC'ler artık senkronize olmadığında çeşitli kişilerin nerede sorun yaşadığını da gördüm. Bunun başlıca nedenleri nelerdir ve bunun nasıl olduğunu nasıl bilebilir?

Bu çok büyük bir konudur ve AD'nin iki DC arasında farklı olmasının birçok nedeni vardır. Bu sorunlar için en sık kullandığınız sorun giderme araçları repadmin.exe' dcdiag.exe, ve DC'lerde AD olay günlükleri. Google sizin için ilginç bir okuma olabilir "AD kalan nesneler" için.

Size bunu bir Server 2012 R2 etki alanı denetleyicisinden bırakacağım:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.

— Ryan Ries
kaynak

Bu konuyla ilgili daha fazla bilgi için: Active Directory etki alanı denetleyicilerinde FSMO yerleşimi ve optimizasyonu

— Daniel

Olağanüstü yanıt ve büyük yardım. Ne de olsa, PDC'nin arkaik bir terim olduğunu düşünerek deli değildim. Ama nihayetinde, beni soran bir Microsoft sayfası OLDU, bu yüzden bu konunun arka planındaki söyleminiz gerçekten yardımcı oldu ve son R2 kopyala yapıştırınızı sevdim. Yorumlarınıza dayanarak PDCe'yi tanımlama ve değiştirme konusunda bazı TechNet sayfaları buldum. Şu anda PDCe rolüne sahip olan makineyi veya sunucuyu kaybederseniz, PDCe ve yaşam devam ettikçe yeni bir DC ayarlamak için "Operasyon Masters" PDC sekmesini kullanabilir misiniz?

— Alan

@Alan Evet - FSMO rollerini bir DC'den diğerine geçirmek istiyorsanız, rolü aktarırsınız veya rolü ele geçirirsiniz. Rolü aktarmak, her iki DC'nin de sağlam ve sağlıklı olması durumunda izleyeceğiniz "zarif" yoldur. Orijinal rol sahibi, reawaken asla tamamen ölü Ama sonra bunun tek yolu olduğunu kaçırmamak başka DC'den rol. Her iki durumda da, Active Directory tam bir kurtarma işlemi yapabilir ve her şey yoluna girer. Ölü bir DC'den bir rol alırsanız, eski DC'nin asla ağa yeniden bağlanması zorunludur.

— Ryan Ries

Kaç tane FSMO rolü olduğunu söylemediniz ... :)

— Ward - Reinstate Monica

Orada 5 FSMO rolü . Tüm FSMO rollerinin bir etki alanında bulunması gerektiğinden, kurulum için ormandaki ilk DC 5'in tümünü barındırır ve birçok tembel kişi, yanlış olmasına rağmen bu DC'yi PDC olarak adlandırır. "Şema Yöneticisi" ve "Etki Alanı Adlandırma Yöneticisi" olmak üzere, kuruluş çapında (veya orman başına 1) 2 FSMO rolü vardır. Genellikle bu rollerin her ikisi de tek bir sunucuda ve orman kök etki alanı için diğer 3 rolde bulunur ve bu da sunucuyu tüm orman için önemli kılar.

— BeowulfNode42