Apakah semua pengontrol domain di jaringan kecil dianggap setara / setara?

14

Windows Server 2012 R2 w / GUI, host Hyper-V, VM DC

Saya menginstal Kontroler Domain kedua (DC) pertama saya (terdengar aneh tapi itulah yang saya lakukan). Saya memiliki apa yang saya pikir merupakan proses yang baik untuk diikuti dari tautan ini .

Saya bertanya-tanya apakah salah satu DC akan dianggap sebagai 'master', atau istilah lain yang saya lihat, 'Pengendali Domain Utama'. Tetapi jika saya mengerti cara DC sekarang bekerja, mereka semua berkomunikasi dan memperbarui satu sama lain, mereka seharusnya mengambil alih jika ada yang gagal, jadi sepertinya tidak ada konsep seperti Pengontrol Domain Primer lagi. Tetapi saya terus melihat bahwa terminologi yang digunakan dalam posting yang relatif baru.

Jika seseorang dapat menjelaskan mengapa konsep ini masih dibahas, itu akan membantu saya memahami. Jika ada hubungan seperti ini yang perlu saya jalin, saya tidak tahu harus melakukan apa.

Saya juga melihat di mana berbagai orang mengalami masalah ketika DC tidak lagi sinkron. Apa alasan utama untuk itu dan bagaimana orang tahu itu terjadi?

Terima kasih.

domain-controller windows-server-2012-r2 Alan
sumber
1
Ketika Anda melihat "PDC" digunakan sehubungan dengan apa pun selain domain Windows NT, orang tersebut tidak tahu apa yang mereka bicarakan ... kecuali mereka berbicara tentang peran AD "PDC Emulator" yang dapat diisi oleh pengontrol domain AD.
EEAA
Jika Anda melihat PDC, informasi tersebut mungkin sudah usang, atau merujuk ke lingkungan kecil di mana mereka berarti bahwa mereka hanya memiliki satu server Active Directory nyata, dan server lain yang mereka miliki untuk failover.
IceMage

Jawaban:

18

Ya dan tidak, semacam.

Replikasi direktori aktif secara umum adalah multi-master. Anda dapat membuat atau mengubah objek pada pengontrol domain yang dapat ditulis, dan perubahan itu akan direplikasi ke semua pengontrol domain lainnya. Dalam pengertian sempit ini, semua DC "sama."

Tetapi ada beberapa operasi terpilih yang mungkin hanya memiliki master tunggal pada satu waktu. Ini disebut peran Operasi Master Tunggal Fleksibel . Peran ini hanya dapat hidup pada satu pengontrol domain pada satu waktu, dan mereka tidak dapat mengambang sendiri jika terjadi kegagalan (mereka harus dimigrasikan secara manual.) Selain itu, ada hal-hal tertentu dalam domain AD yang tidak akan berfungsi kecuali peran FSMO tertentu pemegang sedang online. (Perubahan kata sandi, menambahkan domain anak, dll.) Oleh karena itu, dapat dikatakan bahwa semua pengontrol domain tidak sama.

Ada juga pengontrol domain yang berfungsi sebagai Katalog Global. Pengontrol domain katalog global menyimpan salinan penuh objek dari domain lain di hutan itu. Sedangkan pengontrol domain yang bukan GC hanya berisi objek dari domain mereka sendiri. Ini adalah cara lain di mana semua DC mungkin tidak sama. Konfigurasi yang paling sederhana dan direkomendasikan adalah memiliki semua DC menjadi GC. Tapi itu tidak wajib.

Ada juga Read Only Domain Controllers (RODCs.). Seperti namanya, DC ini tidak dapat ditulis.

Anda juga dapat menyimpan hal-hal di satu pengontrol domain (seperti zona DNS) yang tidak direplikasi ke pengontrol domain lainnya.

Jadi tidak, mereka tidak 100% sama dalam setiap arti kata.

Orang-orang mengatakan "Pengontrol Domain Utama" karena alasan historis. Dulu seperti itu, jauh kembali dalam PB 4 hari. Tapi ada tidak benar-benar sebuah "PDC" lagi. Demikian pula tidak ada lagi "BDC". Jangan merujuk mereka seperti itu, terutama jika Anda meminta bantuan di tempat-tempat seperti Server Fault, karena kami akan sangat panas untuk memperbaiki terminologi Anda sehingga kami bahkan tidak akan memperhatikan pertanyaan / masalah Anda yang sebenarnya.

Apa ada yang , adalah peran FSMO disebut "Primary Domain Controller Emulator ," atau PDC e . Peran PDCe ini sangat penting, meskipun kita seharusnya tidak benar-benar merujuk ke pengontrol domain yang memegang peran ini sebagai "PDC."

Di banyak organisasi, orang-orang menggunakan DC di kantor utama mereka, dan mereka mungkin menggunakan DC lain di lokasi yang jauh ... kadang-kadang mereka menyebut DC ini sebagai "primer" dan "cadangan," hanya karena tata letak logis organisasi mereka . Meskipun kedua DC tersebut sebenarnya menampung salinan lengkap AD yang dapat ditulis.

Yang lebih buruk, adalah bahwa masih ada banyak referensi untuk "PDC" bahkan dalam dokumentasi dan alat Microsoft sendiri. Misalnya, jalankan nltest /dclist:domain.comatau netdom query fsmo, dan alat baris perintah akan memberi tahu Anda siapa "PDC" Anda. (Ini sebenarnya pemegang peran PDC e FSMO Anda.) Masih ada banyak referensi ke "PDC" di Microsoft APIs dan dokumen. Hal ini menyebabkan banyak kebingungan karena alasan historis.

Saya juga melihat di mana berbagai orang mengalami masalah ketika DC tidak lagi sinkron. Apa alasan utama untuk itu dan bagaimana orang tahu itu terjadi?

Itu adalah topik yang sangat besar dan ada banyak alasan mengapa AD mungkin berbeda di dua DC. Alat pemecahan masalah yang paling sering Anda gunakan untuk masalah ini adalah repadmin.exe, ' dcdiag.exe, dan log peristiwa AD pada DC. Google untuk "objek yang melekat AD", yang mungkin merupakan bacaan yang menarik untuk Anda.

Saya akan meninggalkan Anda dengan ini, dari pengontrol domain Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.
Ryan Ries
sumber
1
Lebih banyak untuk membaca tentang topik itu: penempatan dan optimisasi FSMO pada pengontrol domain Direktori Aktif
Daniel
Respons luar biasa dan bantuan luar biasa. Lagipula aku tidak gila, berpikir bahwa PDC adalah istilah kuno. Tetapi pada akhirnya, itu adalah halaman Microsoft yang membuat saya bertanya, jadi wacana Anda tentang latar belakang topik ini benar-benar membantu dan saya menyukai copy dan paste R2 terakhir Anda. Berdasarkan komentar Anda, saya menemukan beberapa halaman TechNet untuk mengidentifikasi PDCe, dan mengubahnya. Jadi, jika Anda kehilangan mesin atau server yang saat ini memiliki peran PDCe, dapatkah Anda menggunakan tab PDC "Operations Masters" untuk menetapkan DC baru saat PDCe dan kehidupan terus berjalan?
Alan
2
@Lan Ya - jika Anda ingin memigrasikan peran FSMO dari satu DC ke DC lainnya, Anda bisa mentransfer peran tersebut atau mengambil peran tersebut. Mentransfer peran adalah rute "anggun" yang akan Anda ambil jika kedua DC baik dan sehat. Tetapi jika pemegang peran asli benar-benar mati, tidak pernah bangkit kembali, maka satu-satunya jalan Anda adalah mengambil peran dari DC lain. Dalam kedua kasus, Active Directory dapat membuat pemulihan penuh dan semuanya akan beres. Ingatlah bahwa jika Anda mengambil peran dari DC yang mati, maka sangat penting bahwa DC yang lama tidak pernah dihubungkan kembali ke jaringan.
Ryan Ries
Anda tidak mengatakan berapa banyak peran FSMO yang ada ... :)
Ward - Reinstate Monica
Ada 5 peran FSMO . Karena semua peran FSMO harus ada dalam suatu domain, DC pertama di hutan yang akan disiapkan menampung semua 5, dan banyak orang malas menyebut DC sebagai PDC meskipun salah untuk mengatakannya. Ada 2 peran FSMO yang bersifat perusahaan (atau 1 per hutan) yaitu "Master Skema" dan "Master Penamaan Domain". Seringkali kedua peran tersebut berada di satu server bersama dengan 3 peran lainnya untuk domain root hutan, yang menjadikan server itu penting untuk seluruh hutan.
BeowulfNode42