La configuration d'un contrôleur de domaine de secours est-elle aussi simple que d'ajouter des AD DS à un serveur existant du réseau?

J'ai récemment été chargé de mettre en place un "contrôleur de domaine de secours" pour notre entreprise. Nous disposons actuellement d'une machine physique exécutant le contrôleur de domaine et de deux hôtes ESXi exécutant diverses machines virtuelles pour notre serveur de messagerie et de fichiers, etc.

Après quelques recherches, il me semble que tout ce que je dois faire est d’allumer une nouvelle machine OU d’utiliser un serveur existant et d’ajouter AD DS, puis de la promouvoir sur le contrôleur de domaine, comme une migration.

Le problème qui me préoccupe est que j'ai lu des informations contradictoires sur les rôles et le catalogue global du FSMO. J'avais l'impression qu'un seul CD peut être un catalogue global et héberger certains rôles FSMO. Si mon contrôleur de domaine principal tombe en panne, je suppose que mon réseau va avoir des problèmes depuis qu'il héberge tous ces rôles FSMO.

Ma question principale est la suivante: est-ce vraiment aussi simple que de configurer un deuxième contrôleur de domaine et que cela existe-t-il ou existe-t-il une configuration supplémentaire pour avoir un véritable contrôleur de domaine avec basculement? Je n'ai même pas nécessairement besoin de ce deuxième contrôleur de domaine en cours d'exécution autrement que si le contrôleur de domaine principal devait tomber en panne, nous souhaitons que le second assure la totalité de la charge.

Oui, c'est aussi simple à mettre en place. Promouvez votre serveur en contrôleur de domaine.

<Le problème qui me préoccupe est que j'ai lu des informations contradictoires sur les rôles et le catalogue global du FSMO. J'avais l'impression qu'un seul CD peut être un catalogue global et héberger certains rôles FSMO.

Vous pouvez avoir n'importe quel nombre de DC dotés du catalogue global. En fait, vous devriez avoir le CPG sur chaque contrôleur de domaine afin que les comptes puissent s'authentifier auprès du contrôleur de sauvegarde de secours lorsque le contrôleur de domaine principal est en panne. (Vous devez effectuer cette étape manuellement après la promotion).

Les rôles FSMO ne peuvent être attribués qu'à un seul CD à la fois. Si votre contrôleur de domaine de secours ne sera pas en ligne tout le temps, vous voudrez laisser tous les rôles FSMO sur votre contrôleur de domaine principal. Mais vous n’avez rien à faire pour cela puisque votre seul DC a maintenant les rôles de FSMO.

Une interruption de service FSMO n'affecte généralement pas les opérations quotidiennes de votre Active Directory. Par exemple, vous ne pourrez pas mettre à jour le schéma de domaine ou de forêt. Si nécessaire, c’est-à-dire que le CD principal meurt définitivement, vous pouvez transférer les rôles FSMO sur le CD de secours sans avoir le FSMO en ligne.

Réponse non experte:

Tous les rôles FSMO ne sont nécessaires que pour la gestion de domaine de bas niveau - vous avez besoin du maître correspondant pour éditer le schéma; créer des domaines dans une forêt; ajouter de nouveaux contrôleurs de domaine (spécifiquement pour leur attribuer des plages RID); etc.

Des tâches quotidiennes telles que l'authentification, la recherche dans le catalogue global ou la modification régulière d'objets de répertoire peuvent être effectuées sur tout contrôleur de domaine accessible en écriture. Toutes les écritures sur tous les DC seront répliquées sur tous les autres DC, y compris ceux qui sont actuellement hors service.

(Tous les contrôleurs de domaine ne sont pas automatiquement des serveurs GC. C’est une option que vous sélectionnez lors de la promotion du serveur, mais ce n’est pas un rôle de maître unique.)

Si le maître FSMO actuel meurt entièrement, un autre CD peut être invité à saisir ces rôles avec force et le domaine continue de fonctionner à pleine capacité.