带 GUI、Hyper-V 主机和 VM DC 的 Windows Server 2012 R2
我正在安装我的第一个第二个域控制器 (DC)(听起来很奇怪,但我确实在这么做)。我认为这是一个不错的流程,可以遵循关联。
我想知道其中一个 DC 是否会被视为“主域控制器”,或者我见过的另一个术语“主域控制器”。但如果我理解 DC 现在的工作方式,它们都会相互通信和更新,如果其中一个发生故障,它们应该接管,因此似乎不再有主域控制器这样的概念。但我不断看到在相对较新的帖子中使用这个术语。
如果有人能解释为什么这个概念仍在讨论中,那将有助于我理解。如果我需要建立这样的关系,我不知道该怎么做。
我还看到过许多人在 DC 不再同步时遇到问题。这主要是什么原因造成的?如何知道发生了这种情况?
谢谢。
答案1
有点儿是,也有点儿不是。
Active Directory 复制一般是多主机的。您可以在任何可写域控制器上创建或更改对象,并且该更改将复制到所有其他域控制器。从这个狭义上讲,所有 DC 都是“平等的”。
但有少数几个操作可能一次只有一个主控。这些称为灵活单主操作角色。这些角色一次只能存在于一个域控制器上,并且它们在发生故障时无法自行浮动(必须手动迁移)。此外,AD 域中的某些操作只有在某些 FSMO 角色持有者在线时才能工作。(密码更改、添加子域等)因此,可以说所有域控制器都是不是平等的。
还有域控制器充当全局目录。全局目录域控制器保存该林中其他域的对象的完整副本。而非 GC 的域控制器仅包含其自己域的对象。这是所有 DC 可能不相等的另一种方式。不过,最简单且推荐的配置是让所有 DC 都成为 GC。但这不是强制性的。
还有只读域控制器 (RODC)。顾名思义,这些 DC 是不可写的。
您还可以在一个域控制器上存储不会复制到其他域控制器的内容(例如 DNS 区域)。
因此,从各个意义上来说,它们并不是 100% 平等的。
人们说“主域控制器”是出于历史原因。在 NT 4 时代,它曾经是那样的。但是没有真的不再是“PDC”。同样,实际上也不再有“BDC”。不要这样称呼它们,特别是当您在 Server Fault 等地方寻求帮助时,因为我们会急于纠正您的术语,甚至不会注意您的实际问题。
那有什么是,是一个名为“主域控制器模拟器”或 PDC埃。这个 PDCe 角色非常重要,尽管我们仍然不应该将承担此角色的域控制器真正称为“PDC”。
在许多组织中,人们在总部部署 DC,并可能在远程位置部署另一个 DC……有时他们将这些 DC 称为“主”和“备份”,只是因为他们组织的逻辑布局。即使这两个 DC 实际上都托管了 AD 的完整可写副本。
更糟糕的是,即使在微软自己的文档和工具中,今天仍有许多对“PDC”的引用。例如,运行nltest /dclist:domain.com或netdom query fsmo,命令行工具将告诉您您的“PDC”是谁。(它实际上是您的 PDC埃FSMO 角色持有者。)Microsoft API 和文档中仍然有很多对“PDC”的引用。由于历史原因,这导致了很多混乱。
我还看到过许多人在 DC 不再同步时遇到问题。这主要是什么原因造成的?如何知道发生了这种情况?
这是一个非常庞大的话题,AD 可能在两个 DC 之间出现分歧的原因有很多。您最常用于解决这些问题的故障排除工具是repadmin.exe、'dcdiag.exe和 DC 上的 AD 事件日志。在 Google 上搜索“AD 延迟对象”,这对您来说可能是一篇有趣的文章。
我将向您展示来自 Server 2012 R2 域控制器的以下内容:
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.