小型網路上的所有域控制器是否都被視為等效/相等?
帶 GUI、Hyper-V 主機、VM DC 的 Windows Server 2012 R2
我正在安裝我的第一個第二個域控制器(DC)(聽起來很奇怪,但這確實是我正在做的)。我有我認為從這個連結遵循的一個很好的過程。
我想知道其中一個 DC 是否會被視為“主控”,或者我見過的另一個術語“主域控制器”。但是,如果我了解 DC 現在的工作方式,它們都相互通信和更新,如果一個失敗,它們應該接管,所以似乎不再有主域控制器這樣的概念。但我一直看到相對較新的文章中使用的術語。
如果有人能弄清楚為什麼這個概念仍在討論中,那將有助於我理解。如果我需要建立一些這樣的關係,我不知道在哪裡做。
我還看到當 DC 不再同步時,各種人會遇到問題。造成這種情況的主要原因是什麼?人們怎麼知道發生了這種情況?
謝謝。
是的,不是的,有點。
Active Directory 複製通常是多主複製。您可以在任何可寫域控制器上創建或更改對象,並且該更改將復製到所有其他域控制器。在這個狹義上,所有的 DC 都是“平等的”。
但是有一些操作可能一次只有一個主控。這些被稱為靈活的單一主操作角色。這些角色一次只能存在於一個域控制器上,並且在發生故障時它們不能自行浮動(必須手動遷移它們。)此外,AD域中的某些東西除非某些FSMO角色否則將無法工作持有人線上。(更改密碼、添加子域等)因此,可以說所有域控制器都不是平等的。
還有一些域控制器充當全域目錄。全域編錄域控制器擁有來自該林中其他域的對象的完整副本。不是 GC 的域控制器僅包含來自其自己域的對象。這是所有 DC 可能不相等的另一種方式。不過,最簡單和推薦的配置是讓所有 DC 都是 GC。但這不是強制性的。
還有隻讀域控制器 (RODC)。顧名思義,這些 DC 是不可寫的。
您還可以將不復製到其他域控制器的內容儲存在一個域控制器(例如 DNS 區域)上。
所以不,它們在每個意義上都不是 100% 平等的。
人們出於歷史原因說“主域控制器”。過去是這樣,早在新台幣 4 天。但實際上不再有“PDC”了。同樣,不再有真正的“BDC”。不要這樣稱呼他們,尤其是當您在伺服器故障等地方尋求幫助時,因為我們會很樂意更正您的術語,以至於我們甚至不會關注您的實際問題/問題。
有一個FSMO 角色,稱為“主域控制器模擬器”或 PDC e。這個 PDCe 角色非常重要,儘管我們仍然不應真正將擔任此角色的域控制器稱為“PDC”。
在許多組織中,人們在他們的主要辦公室部署一個 DC,他們可能在遠端位置部署另一個 DC……有時他們將這些 DC 稱為“主要”和“備用”,只是因為他們組織的邏輯佈局. 儘管這兩個 DC 實際上都託管了 AD 的完整可寫副本。
更糟糕的是,即使在微軟自己的文件和工具中,今天仍然有很多提到“PDC”。例如,執行
nltest /dclist:domain.com
ornetdom query fsmo
,命令行工具會告訴你你的“PDC”是誰。(它實際上是您的 PDC e FSMO 角色持有者。)在 Microsoft API 和文件中仍然有很多對“PDC”的引用。由於歷史原因,這導致了很多混亂。我還看到當 DC 不再同步時,各種人會遇到問題。造成這種情況的主要原因是什麼?人們怎麼知道發生了這種情況?
這是一個非常大的話題,AD 可能在兩個 DC 之間存在分歧的原因有很多。您最常用於解決這些問題的故障排除工具是
repadmin.exe
、 ‘dcdiag.exe
和 DC 上的 AD 事件日誌。Google搜尋“AD lingering objects”,這對您來說可能是一本有趣的讀物。我將從 Server 2012 R2 域控制器留給您:
C:\> netdom query pdc Primary domain controller for the domain: DC01 The command completed successfully.