소규모 네트워크의 모든 도메인 컨트롤러는 동등한 것으로 간주됩니까?

GUI가있는 Windows Server 2012 R2, Hyper-V 호스트, VM DC

첫 번째 두 번째 도메인 컨트롤러 (DC)를 설치하고 있습니다 (이상하게 들리지만 실제로 내가하고있는 일입니다). 나는이 링크 에서 따라야 할 좋은 과정이라고 생각한다 .

DC 중 하나가 '마스터'또는 다른 용어 인 '주 도메인 컨트롤러'로 간주되는지 궁금했습니다. 그러나 DC가 현재 작동하는 방식을 이해하면 모두 서로 통신하고 업데이트하며 하나가 실패하면 인계해야하므로 더 이상 기본 도메인 컨트롤러와 같은 개념이없는 것 같습니다. 그러나 나는이 용어가 비교적 최근의 게시물에서 계속 사용되는 것을 계속보고있다.

누군가 왜 개념이 여전히 논의되고 있는지를 알 수 있다면 이해하는 데 도움이 될 것입니다. 이와 같은 관계가 설정되어 있으면 어디에서해야하는지 알 수 없습니다.

또한 DC가 더 이상 동기화되지 않을 때 다양한 사람들이 문제를 겪는 곳을 보았습니다. 그 주된 이유는 무엇이며 어떻게 된 일인지 어떻게 알 수 있습니까?

감사.

domain-controller windows-server-2012-r2

— 앨런
소스

Windows NT 도메인 이외의 다른 항목과 관련하여 "PDC"가 사용 된 경우 해당 사용자는 자신이 무엇을 말하고 있는지 알지 못합니다. AD 도메인 컨트롤러에 의해

— EEAA

PDC가 표시되면 정보가 오래되었거나 작은 환경에서 실제 Active Directory 서버와 장애 조치 용 서버가 하나만 있다는 의미입니다.

— IceMage

예, 아니요

일반적으로 Active Directory 복제는 다중 마스터입니다. 쓰기 가능한 도메인 컨트롤러에서 개체를 만들거나 변경할 수 있으며 해당 변경 내용은 다른 모든 도메인 컨트롤러에 복제됩니다. 이 좁은 의미에서 모든 DC는 "동일"합니다.

그러나 한 번에 하나의 마스터 만 가질 수있는 몇 가지 작업이 있습니다. 이것을 Flexible Single Master Operations 역할 이라고 합니다. 이러한 역할은 한 번에 하나의 도메인 컨트롤러에만 존재할 수 있으며, 장애 발생시 스스로 플로팅 할 수 없습니다 (수동으로 마이그레이션해야 함). 또한 AD 도메인에는 특정 FSMO 역할이 없으면 작동하지 않는 특정 사항이 있습니다. 보유자가 온라인 상태입니다. (암호 변경, 자식 도메인 추가 등) 따라서 모든 도메인 컨트롤러가 같지 않다고 말할 수 있습니다 .

글로벌 카탈로그 역할을하는 도메인 컨트롤러도 있습니다. 글로벌 카탈로그 도메인 컨트롤러는 해당 포리스트에있는 다른 도메인의 전체 개체 복사본을 보유합니다. GC가 아닌 도메인 컨트롤러에는 자체 도메인의 개체 만 포함됩니다. 이것은 모든 DC가 같지 않은 다른 방법입니다. 그러나 가장 단순하고 권장되는 구성은 모든 DC를 GC로 만드는 것입니다. 그러나 필수는 아닙니다.

RODC (읽기 전용 도메인 컨트롤러)도 있습니다. 이름에서 알 수 있듯이이 DC는 쓸 수 없습니다.

다른 도메인 컨트롤러로 복제되지 않은 하나의 도메인 컨트롤러 (예 : DNS 영역)에 항목을 저장할 수도 있습니다.

따라서 아닙니다. 단어의 모든 의미에서 100 % 같지는 않습니다.

사람들은 역사적 이유로 "기본 도메인 컨트롤러"라고 말합니다. 예전에는 NT 4 일로 돌아 왔습니다. 그러나 실제로 더 이상 "PDC" 는 없습니다 . 마찬가지로 더 이상 실제로 "BDC"가 없습니다. 특히 서버 오류와 같은 장소에서 도움을 요청하는 경우 용어를 수정하기에는 너무 뜨거워 실제 질문 / 문제에주의를 기울이지 않기 때문에 그렇게 언급하지 마십시오.

가 무엇 이며 , "주 도메인 컨트롤러라는 FSMO 역할입니다 에뮬레이터 ,"또는 PDC의 E는 . 이 PDCe 역할은 매우 중요하지만 여전히이 역할을 담당하는 도메인 컨트롤러를 "PDC"라고 말해서는 안됩니다.

많은 조직에서 사람들은 본사에 DC를 배포하고 원격 위치에 다른 DC를 배포 할 수 있습니다. 때로는 조직의 논리적 레이아웃 때문에이 DC를 "기본"및 "백업"이라고합니다. . 두 DC 모두 실제로 쓰기 가능한 전체 AD 사본을 호스팅하고 있지만.

더 나쁜 것은 오늘날 Microsoft 자체의 문서 및 도구에서도 "PDC"에 대한 많은 참조가 여전히 존재한다는 것입니다. 예를 들어, nltest /dclist:domain.com또는을 실행 netdom query fsmo하면 명령 줄 도구가 "PDC"가 누구인지 알려줍니다. (실제로 PDC e FSMO 역할 보유자입니다.) Microsoft API 및 문서에는 여전히 "PDC"에 대한 참조가 많이 있습니다. 이것은 역사적 이유로 많은 혼란을 초래합니다.

또한 DC가 더 이상 동기화되지 않을 때 다양한 사람들이 문제를 겪는 곳을 보았습니다. 그 주된 이유는 무엇이며 어떻게 된 일인지 어떻게 알 수 있습니까?

이는 매우 큰 주제이며 AD가 두 개의 DC에서 확산 될 수있는 여러 가지 이유가 있습니다. 이러한 문제에 가장 자주 사용하는 문제 해결 도구는 repadmin.exe' dcdiag.exe및 DC의 AD 이벤트 로그입니다. "광고가 남아있는 AD"에 대한 Google은 흥미있는 기사입니다.

Server 2012 R2 도메인 컨트롤러에서이 작업을 수행하겠습니다.

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.

— 라이언 리 이스
소스

이 주제에 대한 추가 정보 : Active Directory 도메인 컨트롤러에서의 FSMO 배치 및 최적화

— Daniel

탁월한 반응과 큰 도움. 나는 PDC가 구식 용어라고 생각하면서 결국 미쳤다. 그러나 결국, 그것은 나에게 묻는 Microsoft 페이지 였으므로이 주제의 배경에 대한 담론이 실제로 도움이되었고 최종 R2 복사하여 붙여 넣기를 좋아했습니다. 귀하의 의견을 바탕으로 PDCe를 식별하고 변경하는 방법에 대한 TechNet 페이지를 찾았습니다. 따라서 현재 PDCe 역할이있는 컴퓨터 나 서버를 잃어버린 경우 "작업 마스터"PDC 탭을 사용하여 PDCe 및 수명이 다할 때 새 DC를 설정할 수 있습니까?

— Alan

@Alan 예-한 DC에서 다른 DC로 FSMO 역할을 마이그레이션하려는 경우 역할을 이전하거나 역할을 점유합니다. 역할을 양도하는 것은 두 DC가 모두 작동하고 정상인 경우 취할 수있는 "우아한"경로입니다. 그러나 원래 역할 소유자가 완전히 사망하고 다시 깨우지 않는 경우 유일한 대안은 다른 DC에서 역할 을 포착 하는 것입니다. 두 경우 모두 Active Directory는 전체 복구를 수행 할 수 있으며 모든 것이 정상입니다. 죽은 DC에서 역할을 탈취하는 경우 이전 DC를 네트워크에 다시 연결하지 않는 것이 중요합니다.

— Ryan Ries

당신은 얼마나 많은 FSMO 역할을 말하지 않았다 ... :)

— Ward-Reinstate Monica

있다 5 개 FSMO 역할은 . 모든 FSMO 역할이 도메인에 있어야하므로 포리스트의 첫 번째 DC는 5 개를 모두 보유하며 많은 게으른 사람들은 말이 잘못되어도 해당 DC를 PDC라고합니다. "스키마 마스터"및 "도메인 명명 마스터"는 전사적으로 (또는 포리스트 당 1 개) 2 개의 FSMO 역할이 있습니다. 이러한 두 역할은 모두 포리스트 루트 도메인에 대한 3 가지 다른 역할과 함께 단일 서버에 있기 때문에 전체 포리스트에서 서버가 중요합니다.

— BeowulfNode42