Windows Server 2012 R2 avec interface graphique, hôte Hyper-V, VM DC
J'installe mon premier deuxième contrôleur de domaine (DC) (cela semble bizarre mais c'est vraiment ce que je fais). J'ai ce que je pense être un bon processus à suivre à partir de ce lien .
Je me demandais si l'un des contrôleurs de domaine serait considéré comme «le maître», ou un terme différent que j'ai vu, «le contrôleur de domaine principal». Mais si je comprends le fonctionnement actuel des contrôleurs de domaine, ils communiquent et se mettent à jour mutuellement, ils sont censés prendre le relais en cas de défaillance, il ne semble donc plus exister de concept de contrôleur de domaine principal. Mais je continue de voir cette terminologie utilisée dans des articles relativement récents.
Si quelqu'un pouvait expliquer pourquoi le concept est toujours en discussion, cela m'aiderait à comprendre. S'il y a une relation comme celle-ci que je dois établir, je ne vois pas où le faire.
J'ai également vu où diverses personnes rencontrent des problèmes lorsque les contrôleurs de domaine ne sont plus synchronisés. Quelles sont les principales raisons de cela et comment sait-on que cela s'est produit?
Merci.
Réponses:
Oui et non, en quelque sorte.
La réplication Active Directory en général est multimaître. Vous pouvez créer ou modifier un objet sur n'importe quel contrôleur de domaine accessible en écriture, et cette modification sera répliquée sur tous les autres contrôleurs de domaine. Dans ce sens étroit, tous les DC sont «égaux».
Mais il y a quelques opérations sélectionnées qui ne peuvent avoir qu'un seul maître à la fois. Ces rôles sont appelés rôles d'opérations de maître unique flexible . Ces rôles ne peuvent vivre que sur un contrôleur de domaine à la fois, et ils ne peuvent pas flotter d'eux-mêmes en cas d'échec (ils doivent être migrés manuellement.) De plus, il y a certaines choses dans un domaine AD qui ne fonctionneront que si certains rôles FSMO les titulaires sont en ligne. (Changement de mot de passe, ajout d'un domaine enfant, etc.) Par conséquent, on pourrait dire que tous les contrôleurs de domaine ne sont pas égaux.
Il existe également des contrôleurs de domaine servant de catalogues globaux. Un contrôleur de domaine de catalogue global contient une copie complète des objets d'autres domaines de cette forêt. Alors que les contrôleurs de domaine qui ne sont pas des GC contiennent uniquement des objets de leur propre domaine. C'est une autre façon dont tous les contrôleurs de domaine peuvent ne pas être égaux. Cependant, la configuration la plus simple et recommandée consiste à faire en sorte que tous les contrôleurs de domaine soient des GC. Mais ce n'est pas obligatoire.
Il existe également des contrôleurs de domaine en lecture seule (RODC). Comme leur nom l'indique, ces contrôleurs de domaine ne sont pas accessibles en écriture.
Vous pouvez également stocker des éléments sur un contrôleur de domaine (tels que des zones DNS) qui ne sont pas répliqués sur d'autres contrôleurs de domaine.
Donc non, ils ne sont pas égaux à 100% dans tous les sens du terme.
Les gens disent "contrôleur de domaine principal" pour des raisons historiques. Il en était ainsi, il y a 4 jours. Mais il n'y a plus vraiment de "PDC". De même, il n'y a plus vraiment de "BDC". Ne vous y référez pas comme ça, surtout si vous demandez de l'aide dans des endroits comme Server Fault, car nous serons si impatients de corriger votre terminologie que nous ne ferons même pas attention à votre question / problème réel.
Ce qu'il est , est un rôle FSMO appelé « contrôleur de domaine principal Emulator » ou PDC e . Ce rôle PDCe est très important, bien que nous ne devions toujours pas vraiment faire référence au contrôleur de domaine qui détient ce rôle comme «le PDC».
Dans de nombreuses organisations, les gens déploient un contrôleur de domaine dans leur bureau principal, et ils peuvent déployer un autre contrôleur de domaine dans un emplacement distant ... parfois, ils se réfèrent à ces contrôleurs de domaine comme «principal» et «sauvegarde», simplement en raison de la disposition logique de leur organisation . Même si ces deux contrôleurs de domaine hébergent en fait des copies inscriptibles de AD.
Le pire, c'est qu'il existe encore aujourd'hui de nombreuses références au "PDC" même dans la documentation et les outils de Microsoft. Par exemple, exécutez
nltest /dclist:domain.com
ounetdom query fsmo
et l'outil de ligne de commande vous dira qui est votre "PDC". (Il s'agit en fait de votre titulaire de rôle PDC e FSMO.) Il existe encore de nombreuses références à un "PDC" dans les API et documents Microsoft. Cela conduit à beaucoup de confusion pour des raisons historiques.C'est un sujet très vaste et il existe de nombreuses raisons pour lesquelles la DA peut être divergente entre deux DC. Les outils de dépannage que vous utilisez le plus souvent pour ces problèmes sont
repadmin.exe
'dcdiag.exe
et les journaux d'événements AD sur les contrôleurs de domaine. Google pour "AD objets persistants", qui peut être une lecture intéressante pour vous.Je vous laisse avec ceci, à partir d'un contrôleur de domaine Server 2012 R2:
la source