能否使用 GC(全局目录)副本从 RODC(只读域控制器)恢复 Active Directory 域?复制 AD 的异地 DC 是否需要是完整的域控制器,以便为灾难恢复提供足够的最新 AD 备份?
答案1
您的 RODC 不包含 AD 的完整副本,它缺少安全凭据、加密密钥等。完整域控制器也设置为不复制来自(拉)RODC 的更改,因为 RODC 上的数据库不应该更改(除了由完整 DC 更新时),所以所做的任何更改都可能是恶意的,不应复制。
由于这些限制,如果您的目标是为您的 DC 提供某种冗余,那么您确实需要使用另一个完整的 DC。这不是冗余,也不是备份。