Todos os controladores de domínio em uma rede pequena são considerados equivalentes / iguais?

14

Windows Server 2012 R2 com GUI, host Hyper-V, VM DC

Estou instalando meu primeiro segundo controlador de domínio (DC) (soa estranho, mas é isso mesmo que estou fazendo). Eu tenho o que eu acho que é um bom processo a seguir neste link .

Gostaria de saber se um dos DCs seria considerado 'o mestre', ou um termo diferente que eu já vi, 'o controlador de domínio primário'. Mas se eu entendo como os controladores de domínio agora funcionam, todos eles se comunicam e se atualizam, eles devem assumir o controle se um falhar, portanto, parece que não existe mais um conceito como Controlador de Domínio Primário. Mas continuo vendo essa terminologia usada em postagens relativamente recentes.

Se alguém pudesse esclarecer por que o conceito ainda está sendo discutido, isso me ajudaria a entender. Se há algum relacionamento como esse que preciso estabelecer, não vejo onde fazer isso.

Também vi onde várias pessoas enfrentam problemas quando os DCs não estão mais sincronizados. Quais são as principais razões para isso e como alguém sabe que isso aconteceu?

Obrigado.

domain-controller windows-server-2012-r2 Alan
fonte
1
Quando você vê o "PDC" usado em relação a algo que não seja um domínio do Windows NT, a pessoa não sabe do que está falando ... a menos que esteja falando sobre a função "Emulador do PDC" do AD, que pode ser preenchida por um controlador de domínio do AD.
EEAA
Se você vir o PDC, as informações provavelmente estão desatualizadas ou se referem a um ambiente pequeno, no qual elas significam que eles têm apenas um servidor Active Directory real e outro servidor que possuem para failover.
IceMage 14/05

Respostas:

18

Sim e não, mais ou menos.

A replicação do Active Directory em geral é multimestre. Você pode criar ou alterar um objeto em qualquer controlador de domínio gravável e essa alteração será replicada para todos os outros controladores de domínio. Nesse sentido restrito, todos os CDs são "iguais".

Mas existem algumas operações selecionadas que podem ter apenas um único mestre por vez. Eles são chamados de funções flexíveis de operações mestre único . Essas funções podem viver apenas em um controlador de domínio por vez e não podem flutuar sozinhas em caso de falha (elas devem ser migradas manualmente.) Além disso, há certas coisas em um domínio do AD que não funcionarão, a menos que determinada função FSMO titulares estão online. (A senha é alterada, adicionando um domínio filho etc.) Portanto, pode-se dizer que todos os controladores de domínio não são iguais.

Também existem controladores de domínio servindo como catálogos globais. Um controlador de domínio de catálogo global mantém uma cópia completa dos objetos de outros domínios nessa floresta. Onde os controladores de domínio que não são GCs contêm apenas objetos de seu próprio domínio. Essa é outra maneira pela qual todos os controladores de domínio podem não ser iguais. A configuração mais simples e recomendada, porém, é fazer com que todos os DCs sejam GCs. Mas isso não é obrigatório.

Também existem controladores de domínio somente leitura (RODCs). Como o nome indica, esses controladores de domínio não são graváveis.

Você também pode armazenar itens em um controlador de domínio (como zonas DNS) que não são replicados para outros controladores de domínio.

Portanto, não, eles não são 100% iguais em todos os sentidos da palavra.

As pessoas dizem "Controlador de Domínio Primário" por razões históricas. Costumava ser assim, nos 4 dias do NT. Mas não é realmente um "PDC" mais. Da mesma forma, não existe mais um "BDC". Não se refira a eles dessa maneira, especialmente se você estiver pedindo ajuda em locais como Falha no Servidor, porque estaremos tão animados para corrigir sua terminologia que nem prestaremos atenção à sua pergunta / problema real.

O que existe é uma função FSMO chamada " Emulador de Controlador de Domínio Primário " ou PDC e . Essa função do PDCe é muito importante, embora ainda não devamos realmente nos referir ao controlador de domínio que detém esse papel como "O PDC".

Em muitas organizações, as pessoas implantam um controlador de domínio em seu escritório principal e podem implantar outro controlador de domínio em um local remoto ... às vezes eles se referem a esses controladores de domínio como "primário" e "backup", apenas devido ao layout lógico da organização . Mesmo que os dois CDs estejam na verdade hospedando cópias graváveis ​​completas do AD.

O pior é que ainda existem muitas referências ao "PDC", mesmo na documentação e nas ferramentas da Microsoft. Por exemplo, execute nltest /dclist:domain.comou netdom query fsmo, e a ferramenta de linha de comando informará quem é o seu "PDC". (Na verdade, ele é seu detentor da função PDC e FSMO.) Ainda há muitas referências a um "PDC" nas APIs e documentos da Microsoft. Isso leva a muita confusão por razões históricas.

Também vi onde várias pessoas enfrentam problemas quando os DCs não estão mais sincronizados. Quais são as principais razões para isso e como alguém sabe que isso aconteceu?

Esse é um tópico muito grande e há muitas razões pelas quais o AD pode ser divergente em dois CDs. As ferramentas de solução de problemas usadas com mais freqüência para esses problemas são repadmin.exe' dcdiag.exee o evento do AD registra nos controladores de domínio. Google para "objetos remanescentes do AD", que pode ser uma leitura interessante para você.

Vou deixar você com isso, em um controlador de domínio do Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.
Ryan Ries
fonte
1
Mais de ler sobre o assunto: colocação FSMO e otimização em controladores de domínio do Active Directory
Daniel
Excelente resposta e uma grande ajuda. Afinal, eu não estava louco, pensando que PDC é um termo arcaico. Mas, no final, foi uma página da Microsoft que me fez perguntar, então o seu discurso sobre o fundo deste tópico realmente ajudou e eu amei sua cópia e colar final do R2. Com base nos seus comentários, encontrei algumas páginas do TechNet sobre como identificar e alterar o PDCe. Portanto, se você perder a máquina ou servidor que atualmente possui a função PDCe, basta usar a guia PDC "Operations Masters" para definir um novo controlador de domínio conforme o PDCe e a vida útil?
1427 Alan Alan
2
@ Alan Sim - se você deseja migrar funções do FSMO de um controlador de domínio para outro, você transfere a função ou a ocupa. Transferir o papel é a rota "graciosa" que você seguiria se os dois CDs estivessem em boas condições. Mas se o detentor do papel original estiver completamente morto, para nunca mais despertar, seu único recurso é capturar o papel de outro CD. Em qualquer um dos casos, o Active Directory pode fazer uma recuperação completa e tudo ficará bem. Lembre-se de que, se você assumir um papel de um controlador de domínio morto, é imprescindível que o controlador de domínio antigo nunca seja reconectado à rede.
Ryan Ries
Você não disse quantos papéis na FSMO existem ... :)
Ward - Reinstate Monica
Existem 5 funções da FSMO . Como todas as funções da FSMO precisam estar presentes em um domínio, o primeiro controlador de domínio na floresta a ser configurado mantém todos os 5, e muitas pessoas preguiçosas se referem a esse controlador de domínio como PDC, mesmo que seja errado dizer. Existem 2 funções FSMO que abrangem toda a empresa (ou 1 por floresta), o "Mestre do Esquema" e o "Mestre de Nomeação de Domínio". Freqüentemente, ambas as funções estão em um único servidor, juntamente com as outras 3 funções para o domínio raiz da floresta, o que torna esse servidor importante para toda a floresta.
BeowulfNode42