我最近被委托为我们的企业设置一个“备份 DC”。目前,我们有一台运行 DC 的物理机和两台运行各种 VM 的 ESXi 主机,用于我们的电子邮件和文件服务器等。
经过一些研究后,似乎我要做的就是启动一台新机器或使用现有服务器并添加 AD DS,然后像迁移一样将其提升为域控制器。
我担心的问题是,我读过关于 FSMO 角色和全局目录的相互矛盾的信息。我印象中只有一个 DC 可以作为全局目录并托管某些 FSMO 角色。如果我的主 DC 出现故障,我认为我的网络将会出现问题,因为它托管了所有这些 FSMO 角色。
我的主要问题是:这真的像设置第二个域控制器一样简单吗?还是需要额外的设置才能拥有真正的故障转移 DC?我甚至不一定需要运行第二个 DC,除非主 DC 发生故障,然后我们希望第二个 DC 接管整个负载。
答案1
是的,设置就是这么简单。将您的服务器提升为域控制器。
< 我担心的问题是,我读过关于 FSMO 角色和全局目录的相互矛盾的信息。我印象中只有一个 DC 可以成为全局目录并托管某些 FSMO 角色。
您可以拥有任意数量的具有全局目录的 DC。事实上,您应该在每个 DC 上都拥有 GC,这样当主 DC 发生故障时,帐户就可以针对备份 DC 进行身份验证。(您需要在升级后手动执行此步骤)。
FSMO 角色一次只能分配给一个 DC。如果您的备份 DC 不会一直在线,您可能希望将所有 FSMO 角色保留在主 DC 上。但您无需为此做任何事情,因为您的单个 DC 现在具有 FSMO 角色。
FSMO 中断通常不会影响 Active Directory 的日常运行。例如,您无法不更新域或林架构。如果需要,即主 DC 永久死亡,您可以将 FSMO 角色转移到备份 DC,而无需让实际的 FSMO 在线。
答案2
非专家回答:
所有 FSMO 角色仅对于低级域管理是必要的 - 您需要相应的主机来编辑架构;在林中创建域;添加新的 DC(特别是为它们分配 RID 范围);等等。
日常任务(如身份验证、全局目录查找或目录对象的常规编辑)可以在任何可写 DC。对任何 DC 的所有写入都将复制到所有其他 DC,包括当前关闭的 DC。
(并非所有 DC 都自动成为 GC 服务器 - 这是您在提升服务器时选择的选项 - 但它不是单主角色。)
如果当前 FSMO 主机完全死亡,则可以指示另一个 DC 强制夺取这些角色,并且域将继续满负荷运行。