ตัวควบคุมโดเมนทั้งหมดบนเครือข่ายขนาดเล็กถือว่ามีความเท่าเทียมกันหรือไม่


14

Windows Server 2012 R2 พร้อมด้วย GUI, โฮสต์ Hyper-V, VM DC

ฉันกำลังติดตั้ง Domain Controller (DC) ตัวที่สองของฉัน (ฟังดูแปลก ๆ แต่นั่นคือสิ่งที่ฉันกำลังทำอยู่) ฉันมีสิ่งที่ฉันคิดว่าเป็นกระบวนการที่ดีในการติดตามจากลิงค์นี้

ฉันสงสัยว่าหนึ่งใน DC ของจะถูกพิจารณาเป็น 'ต้นแบบ' หรือคำอื่นที่ฉันได้เห็น 'ตัวควบคุมโดเมนหลัก' แต่ถ้าฉันเข้าใจวิธีการทำงานของ DC ในปัจจุบันพวกเขาทั้งหมดสื่อสารและอัปเดตกันพวกเขาควรจะรับช่วงต่อหากล้มเหลวดังนั้นดูเหมือนว่าจะไม่มีแนวคิดเช่นนี้เป็น Domain Domain Controller อีกต่อไป แต่ฉันก็ยังเห็นคำศัพท์ที่ใช้ในการโพสต์ค่อนข้างล่าสุด

ถ้ามีใครซักคนอธิบายได้ว่าทำไมแนวความคิดยังคงถูกกล่าวถึงมันจะช่วยให้ฉันเข้าใจ หากมีความสัมพันธ์เช่นนี้ที่ฉันต้องสร้างฉันไม่เห็นว่าจะทำอย่างไร

ฉันเคยเห็นที่หลาย ๆ คนประสบปัญหาเมื่อ DC ไม่ซิงค์กันอีกต่อไป อะไรคือสาเหตุหลักของสิ่งนั้นและสิ่งใดที่รู้ว่าเกิดขึ้น?

ขอบคุณ


1
เมื่อคุณเห็น "PDC" ที่ใช้เกี่ยวกับสิ่งอื่นนอกเหนือจากโดเมน Windows NT บุคคลนั้นจะไม่รู้ว่าพวกเขากำลังพูดถึงอะไร ... เว้นแต่ว่าพวกเขากำลังพูดถึงบทบาท "PDC Emulator" โฆษณาซึ่งสามารถเติมได้ โดย AD โดเมนคอนโทรลเลอร์
EEAA

หากคุณเห็น PDC ข้อมูลอาจล้าสมัยหรืออ้างอิงถึงสภาพแวดล้อมขนาดเล็กซึ่งหมายความว่าพวกเขามีเซิร์ฟเวอร์ Active Directory จริงเพียงตัวเดียวและเซิร์ฟเวอร์อื่นที่มีการเข้าแทนที่
IceMage

คำตอบ:


18

ใช่และไม่ใช่

การจำลองแบบ Active Directory โดยทั่วไปคือ multi-master คุณสามารถสร้างหรือเปลี่ยนวัตถุบนตัวควบคุมโดเมนที่เขียนได้และการเปลี่ยนแปลงนั้นจะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่นทั้งหมด ในแง่นี้แคบ DCs ทั้งหมด "เท่ากัน"

แต่มีการดำเนินการที่เลือกไม่กี่อย่างที่อาจมีมาสเตอร์เพียงคนเดียวในคราวเดียว สิ่งเหล่านี้เรียกว่าบทบาทการดำเนินงานหลักเดียวที่ยืดหยุ่น บทบาทเหล่านี้สามารถใช้งานได้บนตัวควบคุมโดเมนเดียวเท่านั้นในแต่ละครั้งและไม่สามารถลอยได้ด้วยตนเองในกรณีที่เกิดความล้มเหลว (ต้องทำการย้ายด้วยตนเอง) นอกจากนี้ยังมีบางสิ่งในโดเมนโฆษณาที่จะไม่ทำงานเว้นแต่บทบาท FSMO บางอย่าง ผู้ถือออนไลน์ (การเปลี่ยนแปลงรหัสผ่านการเพิ่มโดเมนลูก ฯลฯ ) ดังนั้นอาจกล่าวได้ว่าตัวควบคุมโดเมนทั้งหมดไม่เท่ากัน

นอกจากนี้ยังมีตัวควบคุมโดเมนที่ทำหน้าที่เป็นแคตตาล็อกส่วนกลาง ตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางเก็บสำเนาวัตถุทั้งหมดจากโดเมนอื่นในฟอเรสต์นั้น โดยที่ในฐานะตัวควบคุมโดเมนที่ไม่ใช่ GCs จะมีเฉพาะวัตถุจากโดเมนของตนเอง นี่เป็นอีกวิธีหนึ่งที่ DC ทั้งหมดอาจไม่เท่ากัน การกำหนดค่าที่ง่ายและแนะนำที่สุดคือให้ DC ทั้งหมดเป็น GCs แต่มันไม่ได้บังคับ

นอกจากนี้ยังมีตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODCs) ตามชื่อที่แสดงถึง DCs เหล่านี้ไม่สามารถเขียนได้

คุณสามารถจัดเก็บสิ่งต่าง ๆ บนตัวควบคุมโดเมนหนึ่ง (เช่นโซน DNS) ที่ไม่ได้จำลองแบบไปยังตัวควบคุมโดเมนอื่น

ไม่เลยพวกเขาไม่เท่ากัน 100% ในทุก ๆ คำ

มีคนพูดว่า "Primary Domain Controller" ด้วยเหตุผลทางประวัติศาสตร์ มันเคยเป็นแบบนั้นย้อนกลับไปใน NT 4 วัน แต่มีไม่ได้จริงๆเป็น "PDC" ใด ๆ เพิ่มเติม ในทำนองเดียวกันไม่มี "BDC" อีกต่อไป อย่าอ้างถึงพวกเขาเช่นนั้นโดยเฉพาะอย่างยิ่งหากคุณขอความช่วยเหลือในสถานที่เช่น Server Fault เพราะเราจะร้อนแรงในการแก้ไขคำศัพท์ของคุณซึ่งเราจะไม่สนใจคำถามหรือปัญหาจริงของคุณ

มีอะไรเป็นเป็นบทบาท FSMO เรียกว่า "หลักควบคุมโดเมนEmulator " หรือพีดีซีอี บทบาท PDCe นี้มีความสำคัญมากแม้ว่าเราจะยังไม่ควรอ้างถึงตัวควบคุมโดเมนที่มีบทบาทนี้ว่า "The PDC"

ในหลายองค์กรผู้คนปรับใช้ DC ในสำนักงานหลักของพวกเขาและพวกเขาอาจปรับใช้ DC อื่นในสถานที่ห่างไกล ... บางครั้งพวกเขาอ้างถึง DC เหล่านี้ว่า "หลัก" และ "สำรองข้อมูล" เพียงเพราะรูปแบบตรรกะขององค์กรของพวกเขา . แม้ว่า DCs ทั้งสองนั้นจะโฮสต์สำเนาโฆษณาที่เขียนได้แบบเต็ม

สิ่งที่แย่กว่านั้นคือยังคงมีการอ้างอิงถึง "PDC" จำนวนมากในวันนี้แม้ในเอกสารและเครื่องมือของ Microsoft ตัวอย่างเช่นเรียกใช้nltest /dclist:domain.comหรือnetdom query fsmoและเครื่องมือบรรทัดคำสั่งจะบอกคุณว่า "PDC" ของคุณคือใคร (อันที่จริงแล้วเป็นเจ้าของบทบาทPDC e FSMO ของคุณ) ยังมีการอ้างอิงจำนวนมากถึง "PDC" ใน Microsoft APIs และเอกสาร สิ่งนี้นำไปสู่ความสับสนมากมายด้วยเหตุผลทางประวัติศาสตร์

ฉันเคยเห็นที่หลาย ๆ คนประสบปัญหาเมื่อ DC ไม่ซิงค์กันอีกต่อไป อะไรคือสาเหตุหลักของสิ่งนั้นและสิ่งใดที่รู้ว่าเกิดขึ้น?

นั่นเป็นหัวข้อที่ใหญ่มากและมีหลายสาเหตุที่โฆษณาอาจมีความแตกต่างกันในสอง DC เครื่องมือในการแก้ไขปัญหาที่คุณใช้บ่อยที่สุดสำหรับปัญหาเหล่านี้คือrepadmin.exe' dcdiag.exeและบันทึกเหตุการณ์ AD บน DCs Google สำหรับ "วัตถุที่ค้างอยู่ในโฆษณา" ซึ่งอาจเป็นสิ่งที่น่าสนใจสำหรับคุณ

ฉันจะทิ้งคุณไว้กับสิ่งนี้จากตัวควบคุมโดเมน Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.

1
อ่านเพิ่มเติมเกี่ยวกับหัวข้อนั้น: การจัดวางและเพิ่มประสิทธิภาพ FSMO บนตัวควบคุมโดเมน Active Directory
Daniel

การตอบสนองที่โดดเด่นและความช่วยเหลือที่ยอดเยี่ยม ฉันไม่ได้บ้าไปแล้วเพราะคิดว่า PDC เป็นคำโบราณ แต่ในท้ายที่สุดมันเป็นหน้าของ Microsoft ที่ทำให้ฉันถามดังนั้นคำปราศรัยของคุณเกี่ยวกับเบื้องหลังของหัวข้อนี้จะช่วยได้มากและฉันชอบการคัดลอกและวาง R2 ครั้งสุดท้ายของคุณ จากความคิดเห็นของคุณฉันพบหน้า TechNet บางหน้าเกี่ยวกับการระบุ PDCe และเปลี่ยนมัน ดังนั้นหากคุณสูญเสียเครื่องหรือเซิร์ฟเวอร์ที่มีบทบาท PDCe อยู่ในขณะนี้คุณสามารถใช้แท็บ PDC "Operations Masters" เพื่อตั้งค่า DC ใหม่เมื่อ PDCe และชีวิตดำเนินต่อไปได้หรือไม่
อลัน

2
@Alan ใช่ - หากคุณต้องการย้ายบทบาท FSMO จาก DC หนึ่งไปยังอีกบทบาทหนึ่งคุณจะถ่ายโอนบทบาทหรือคุณยึดบทบาท การถ่ายโอนบทบาทเป็นเส้นทาง "สง่างาม" ที่คุณจะทำหากทั้ง DC ขึ้นและแข็งแรง แต่ถ้าเจ้าของบทบาทดั้งเดิมตายไปอย่างสมบูรณ์ไม่ต้องตื่นขึ้นมาใหม่การขอความช่วยเหลือเพียงอย่างเดียวของคุณคือการยึดบทบาทจาก DC อีกคน ไม่ว่าในกรณีใดก็ตาม Active Directory สามารถทำการกู้คืนได้อย่างสมบูรณ์และทุกอย่างจะโอเค เพียงจำไว้ว่าถ้าคุณยึดบทบาทจาก DC ที่ตายแล้วมันเป็นสิ่งจำเป็นที่ DC เก่าจะไม่ถูกเชื่อมต่อกับเครือข่าย
Ryan Ries

คุณไม่ได้พูดถึงบทบาทของ FSMO ที่มีอยู่เท่าไหร่ ... :)
วอร์ด - Reinstate Monica

มี5 บทบาท เนื่องจากบทบาท FSMO ทั้งหมดต้องอยู่ในโดเมน DC แรกในฟอเรสต์ที่จะติดตั้งมีทั้งหมด 5 และคนขี้เกียจหลายคนอ้างถึง DC นั้นว่าเป็น PDC แม้ว่ามันจะผิดก็ตาม มี 2 ​​บทบาท FSMO ที่เป็นแบบกว้างขององค์กร (หรือ 1 ต่อฟอเรสต์) "Schema Master" และ "Domain Naming Master" บ่อยครั้งที่ทั้งสองบทบาทเหล่านี้อยู่บนเซิร์ฟเวอร์เดียวพร้อมกับอีก 3 บทบาทสำหรับโดเมนรูทฟอเรสต์ซึ่งทำให้เซิร์ฟเวอร์นั้นมีความสำคัญต่อทั้งฟอเรสต์
BeowulfNode42
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.