Windows Server 2012 R2 con GUI, host Hyper-V, VM DC
Estoy instalando mi primer segundo controlador de dominio (DC) (suena raro pero eso es realmente lo que estoy haciendo). Tengo lo que creo que es un buen proceso a seguir desde este enlace .
Me preguntaba si uno de los DC sería considerado 'el maestro', o un término diferente que he visto, 'el controlador de dominio primario'. Pero si entiendo cómo funcionan los DC ahora, todos se comunican y se actualizan entre sí, se supone que deben asumir el control si uno falla, por lo que ya no parece que haya un concepto como un controlador de dominio primario. Pero sigo viendo esa terminología utilizada en publicaciones relativamente recientes.
Si alguien pudiera aclarar por qué el concepto todavía se está discutiendo, me ayudaría a entender. Si hay alguna relación como esta que necesito establecer, no veo dónde hacerlo.
También he visto donde varias personas experimentan problemas cuando los DC ya no están sincronizados. ¿Cuáles son las razones principales para eso y cómo se sabe que ha sucedido?
Gracias.
Respuestas:
Sí y no, más o menos.
La replicación de Active Directory en general es multimaestro. Puede crear o cambiar un objeto en cualquier controlador de dominio grabable, y ese cambio se replicará en todos los demás controladores de dominio. En este sentido limitado, todos los DC son "iguales".
Pero hay unas pocas operaciones selectas que pueden tener un solo maestro a la vez. Estos se denominan roles flexibles de operaciones de maestro único . Estos roles solo pueden vivir en un controlador de dominio a la vez, y no pueden flotar por sí mismos en caso de falla (deben migrarse manualmente). Además, hay ciertas cosas en un dominio AD que no funcionarán a menos que cierto rol FSMO Los titulares están en línea. (Cambios de contraseña, agregar un dominio secundario, etc.) Por lo tanto, se podría decir que todos los controladores de dominio no son iguales.
También hay controladores de dominio que sirven como catálogos globales. Un controlador de dominio de catálogo global contiene una copia completa de los objetos de otros dominios en ese bosque. Donde como controladores de dominio que no son GC contienen solo objetos de su propio dominio. Esta es otra forma en la que todos los DC pueden no ser iguales. Sin embargo, la configuración más simple y recomendada es que todos los DC sean GC. Pero no es obligatorio.
También hay controladores de dominio de solo lectura (RODC). Como su nombre lo indica, estos DC no se pueden escribir.
También puede almacenar cosas en un controlador de dominio (como zonas DNS) que no se replican en otros controladores de dominio.
Entonces no, no son 100% iguales en todos los sentidos de la palabra.
La gente dice "Controlador de dominio primario" por razones históricas. Solía ser así, allá en el NT 4 días. Pero ya no hay realmente un "PDC". Del mismo modo, ya no hay realmente un "BDC". No se refiera a ellos de esa manera, especialmente si está pidiendo ayuda en lugares como Falla del servidor, porque estaremos tan dispuestos a corregir su terminología que ni siquiera le prestaremos atención a su pregunta / problema real.
Lo que hay es un rol FSMO llamado " Emulador de controlador de dominio primario " o PDC e . Este rol PDCe es muy importante, aunque todavía no deberíamos referirnos realmente al controlador de dominio que tiene este rol como "El PDC".
En muchas organizaciones, las personas implementan un DC en su oficina principal, y pueden implementar otro DC en una ubicación remota ... a veces se refieren a estos DC como "primarios" y "de respaldo", solo por el diseño lógico de su organización . A pesar de que ambos DC están realmente alojando copias completas de AD.
Lo que es peor, es que todavía hay muchas referencias a "PDC" incluso en la propia documentación y herramientas de Microsoft. Por ejemplo, ejecute
nltest /dclist:domain.com
onetdom query fsmo
, y la herramienta de línea de comandos le dirá quién es su "PDC". (En realidad, es su titular de roles PDC e FSMO). Todavía hay muchas referencias a un "PDC" en las API y documentos de Microsoft. Esto lleva a mucha confusión por razones históricas.Ese es un tema muy grande y hay muchas razones por las cuales AD puede ser divergente en dos DC. Las herramientas de solución de problemas que utiliza con más frecuencia para estos problemas son
repadmin.exe
''dcdiag.exe
, y el evento AD registra en los DC. Google para "objetos persistentes AD", que puede ser una lectura interesante para usted.Te dejo con esto, desde un controlador de dominio Server 2012 R2:
fuente