Tous les contrôleurs de domaine d'un petit réseau sont-ils considérés comme équivalents / égaux?

14

Windows Server 2012 R2 avec interface graphique, hôte Hyper-V, VM DC

J'installe mon premier deuxième contrôleur de domaine (DC) (cela semble bizarre mais c'est vraiment ce que je fais). J'ai ce que je pense être un bon processus à suivre à partir de ce lien .

Je me demandais si l'un des contrôleurs de domaine serait considéré comme «le maître», ou un terme différent que j'ai vu, «le contrôleur de domaine principal». Mais si je comprends le fonctionnement actuel des contrôleurs de domaine, ils communiquent et se mettent à jour mutuellement, ils sont censés prendre le relais en cas de défaillance, il ne semble donc plus exister de concept de contrôleur de domaine principal. Mais je continue de voir cette terminologie utilisée dans des articles relativement récents.

Si quelqu'un pouvait expliquer pourquoi le concept est toujours en discussion, cela m'aiderait à comprendre. S'il y a une relation comme celle-ci que je dois établir, je ne vois pas où le faire.

J'ai également vu où diverses personnes rencontrent des problèmes lorsque les contrôleurs de domaine ne sont plus synchronisés. Quelles sont les principales raisons de cela et comment sait-on que cela s'est produit?

Merci.

Alan
la source
1
Lorsque vous voyez "PDC" utilisé en ce qui concerne autre chose qu'un domaine Windows NT, la personne ne sait pas de quoi elle parle ... à moins qu'elle ne parle du rôle AD "PDC Emulator" qui peut être rempli par un contrôleur de domaine AD.
EEAA
Si vous voyez PDC, les informations sont probablement obsolètes ou se réfèrent à un petit environnement où elles signifient qu'elles n'ont qu'un seul serveur Active Directory réel et un autre serveur dont elles disposent pour le basculement.
IceMage

Réponses:

18

Oui et non, en quelque sorte.

La réplication Active Directory en général est multimaître. Vous pouvez créer ou modifier un objet sur n'importe quel contrôleur de domaine accessible en écriture, et cette modification sera répliquée sur tous les autres contrôleurs de domaine. Dans ce sens étroit, tous les DC sont «égaux».

Mais il y a quelques opérations sélectionnées qui ne peuvent avoir qu'un seul maître à la fois. Ces rôles sont appelés rôles d'opérations de maître unique flexible . Ces rôles ne peuvent vivre que sur un contrôleur de domaine à la fois, et ils ne peuvent pas flotter d'eux-mêmes en cas d'échec (ils doivent être migrés manuellement.) De plus, il y a certaines choses dans un domaine AD qui ne fonctionneront que si certains rôles FSMO les titulaires sont en ligne. (Changement de mot de passe, ajout d'un domaine enfant, etc.) Par conséquent, on pourrait dire que tous les contrôleurs de domaine ne sont pas égaux.

Il existe également des contrôleurs de domaine servant de catalogues globaux. Un contrôleur de domaine de catalogue global contient une copie complète des objets d'autres domaines de cette forêt. Alors que les contrôleurs de domaine qui ne sont pas des GC contiennent uniquement des objets de leur propre domaine. C'est une autre façon dont tous les contrôleurs de domaine peuvent ne pas être égaux. Cependant, la configuration la plus simple et recommandée consiste à faire en sorte que tous les contrôleurs de domaine soient des GC. Mais ce n'est pas obligatoire.

Il existe également des contrôleurs de domaine en lecture seule (RODC). Comme leur nom l'indique, ces contrôleurs de domaine ne sont pas accessibles en écriture.

Vous pouvez également stocker des éléments sur un contrôleur de domaine (tels que des zones DNS) qui ne sont pas répliqués sur d'autres contrôleurs de domaine.

Donc non, ils ne sont pas égaux à 100% dans tous les sens du terme.

Les gens disent "contrôleur de domaine principal" pour des raisons historiques. Il en était ainsi, il y a 4 jours. Mais il n'y a plus vraiment de "PDC". De même, il n'y a plus vraiment de "BDC". Ne vous y référez pas comme ça, surtout si vous demandez de l'aide dans des endroits comme Server Fault, car nous serons si impatients de corriger votre terminologie que nous ne ferons même pas attention à votre question / problème réel.

Ce qu'il est , est un rôle FSMO appelé « contrôleur de domaine principal Emulator » ou PDC e . Ce rôle PDCe est très important, bien que nous ne devions toujours pas vraiment faire référence au contrôleur de domaine qui détient ce rôle comme «le PDC».

Dans de nombreuses organisations, les gens déploient un contrôleur de domaine dans leur bureau principal, et ils peuvent déployer un autre contrôleur de domaine dans un emplacement distant ... parfois, ils se réfèrent à ces contrôleurs de domaine comme «principal» et «sauvegarde», simplement en raison de la disposition logique de leur organisation . Même si ces deux contrôleurs de domaine hébergent en fait des copies inscriptibles de AD.

Le pire, c'est qu'il existe encore aujourd'hui de nombreuses références au "PDC" même dans la documentation et les outils de Microsoft. Par exemple, exécutez nltest /dclist:domain.comou netdom query fsmoet l'outil de ligne de commande vous dira qui est votre "PDC". (Il s'agit en fait de votre titulaire de rôle PDC e FSMO.) Il existe encore de nombreuses références à un "PDC" dans les API et documents Microsoft. Cela conduit à beaucoup de confusion pour des raisons historiques.

J'ai également vu où diverses personnes rencontrent des problèmes lorsque les contrôleurs de domaine ne sont plus synchronisés. Quelles sont les principales raisons de cela et comment sait-on que cela s'est produit?

C'est un sujet très vaste et il existe de nombreuses raisons pour lesquelles la DA peut être divergente entre deux DC. Les outils de dépannage que vous utilisez le plus souvent pour ces problèmes sont repadmin.exe' dcdiag.exeet les journaux d'événements AD sur les contrôleurs de domaine. Google pour "AD objets persistants", qui peut être une lecture intéressante pour vous.

Je vous laisse avec ceci, à partir d'un contrôleur de domaine Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.
Ryan Ries
la source
Réponse exceptionnelle et une grande aide. Je n'étais pas fou après tout, pensant que PDC est un terme archaïque. Mais à la fin, c'était une page Microsoft qui m'a fait demander, donc votre discours sur le fond de ce sujet a vraiment aidé et j'ai adoré votre copier-coller final R2. Sur la base de vos commentaires, j'ai trouvé quelques pages TechNet sur l'identification du PDCe et sa modification. Donc, si vous perdez la machine ou le serveur qui a actuellement le rôle PDCe, pouvez-vous simplement utiliser l'onglet PDC "Operations Masters" pour définir un nouveau contrôleur de domaine comme PDCe et la vie continue?
Alan
2
@Alan Oui - si vous souhaitez migrer des rôles FSMO d'un contrôleur de domaine vers un autre, vous transférez le rôle ou vous le saisissez. Le transfert du rôle est la voie «gracieuse» que vous emprunteriez si les deux contrôleurs de domaine étaient en place et en bonne santé. Mais si le détenteur du rôle d'origine est complètement mort, pour ne jamais se réveiller, alors votre seul recours est de saisir le rôle d'un autre DC. Dans les deux cas, Active Directory peut effectuer une récupération complète et tout ira bien. N'oubliez pas que si vous prenez un rôle sur un DC mort, il est impératif que l'ancien DC ne soit jamais reconnecté au réseau.
Ryan Ries
Vous n'avez pas dit combien de rôles FSMO il y a ... :)
Ward - Rétablir Monica
Il existe 5 rôles FSMO . Étant donné que tous les rôles FSMO doivent être présents dans un domaine, le premier contrôleur de domaine dans la forêt à configurer contient les 5, et de nombreux paresseux se réfèrent à ce contrôleur de domaine comme PDC même s'il est faux de le dire. Il existe 2 rôles FSMO qui sont à l'échelle de l'entreprise (ou 1 par forêt): «Schema Master» et «Domain Naming Master». Souvent, ces deux rôles sont sur un seul serveur avec les 3 autres rôles pour le domaine racine de la forêt, ce qui rend ce serveur important pour toute la forêt.
BeowulfNode42