我们有一台装有 Server 2012 R2 的 Dell PER520,运行 5 台服务器;AD DS、DHCP、DNS 和 WDS。我们使用 Windows Server Backup 创建的裸机备份在另一台服务器上创建了一个 Hyper-V VM。VM 服务器已启动并运行,但网络已禁用。如果物理服务器发生故障,是否可以将此服务器置于相同的静态 IP 设置下并接管它所支持的 5 项服务?网络上有另一个物理域控制器,但它只运行 AD DS。
答案1
绝对不。
域控制器不是无状态服务器;恰恰相反:它托管 Active Directory 数据库,其中存储有关域的所有内容,包括用户和计算机的身份验证。此外,此数据库在域中的所有 DC 之间复制,它们相互发送更新并使用多种解决方案来确保一致性。
如果您关闭物理服务器并将其替换为之前备份创建的克隆,它将拥有 AD 数据库的旧副本,该副本与外部世界不同步;例如,如果您创建了一个用户帐户,更改了密码,或重命名了计算机,则所有这些更改都不会出现在其 AD 数据库副本中;这会给... 带来很多麻烦,所有事情都会发生。还请注意,即使您没有亲自对域进行任何更改,也总会有几件事发生,要么由用户完成(例如密码更改),要么由自动化流程完成。
到目前为止,一切都很好(不是)。如果我们再添加一个域控制器会怎么样?这会让事情变得更加更差。
正如我上面所说,域控制器采用各种解决方案来确保分布式 Active Directory 数据库的一致性;其中一种解决方案是确保如果应该拥有 AD 数据库最新副本的 DC 突然出现旧副本,则基本上会将其踢出域;这是可怕的USN 回滚,这绝对是您不希望在您的域中发生的事情。
你能(和应该) 在域中拥有另一个域控制器,并且您还可以在其上运行 DNS 和 DHCP;如果配置正确,这将为核心服务提供冗余。但所有 DC 始终需要保持在线状态,以便 AD 复制正常工作。
无论你做什么,永远不要克隆(或恢复到旧状态)域控制器;它是 AD 管理员不应该做的事情大列表中的第二大条目,紧随“永远不要有单个域控制器”之后。
编辑:
您说您已经有另一个域控制器;您应该在其上安装并配置 DNS 和 DHCP。DNS 服务会自动在 DC 上复制(如果您使用 AD 集成区域),您只需将此服务器配置为所有系统上的辅助 DNS;对于 DHCP,您可以使用DHCP 故障转移。
答案2
这不是一个好主意。您需要有多个域控制器,但它们需要在线并相互通信。这也不是灾难恢复计划。
但出于各种原因,它可能无法发挥作用。