Ja und nein, irgendwie.
Die Active Directory-Replikation ist im Allgemeinen multimasterfähig. Sie können ein Objekt auf einem beschreibbaren Domänencontroller erstellen oder ändern. Diese Änderung wird auf alle anderen Domänencontroller repliziert. In diesem engen Sinne sind alle DCs "gleich".
Es gibt jedoch einige wenige Vorgänge, bei denen möglicherweise nur ein Master gleichzeitig vorhanden ist. Diese werden als Flexible Single Master Operations-Rollen bezeichnet. Diese Rollen können jeweils nur auf einem Domänencontroller ausgeführt werden und können bei einem Fehler nicht automatisch übertragen werden (sie müssen manuell migriert werden). Darüber hinaus gibt es bestimmte Dinge in einer AD-Domäne, die nur mit bestimmten FSMO-Rollen funktionieren Inhaber sind online. (Kennwortänderungen, eine untergeordnete Domäne hinzufügen, etc.) Daher könnte man sagen, dass alle Domänencontroller sind nicht gleich.
Es gibt auch Domänencontroller, die als globale Kataloge dienen. Ein globaler Katalogdomänencontroller enthält eine vollständige Kopie von Objekten aus anderen Domänen in dieser Gesamtstruktur. Wobei Domänencontroller, die keine GCs sind, nur Objekte aus ihrer eigenen Domäne enthalten. Dies ist eine weitere Möglichkeit, bei der möglicherweise nicht alle DCs gleich sind. Die einfachste und empfohlene Konfiguration besteht darin, dass alle DCs GCs sind. Es ist aber nicht zwingend.
Es gibt auch schreibgeschützte Domänencontroller (Read Only Domain Controllers, RODCs). Wie der Name schon sagt, sind diese Domänencontroller nicht beschreibbar.
Sie können auch Dinge auf einem Domänencontroller (z. B. DNS-Zonen) speichern, die nicht auf andere Domänencontroller repliziert wurden.
Also nein, sie sind nicht in jedem Sinne des Wortes zu 100% gleich.
Die Leute sagen aus historischen Gründen "Primary Domain Controller". Früher war es so, in den NT 4 Tagen. Aber es gibt eigentlich keinen "PDC" mehr. Ebenso gibt es kein "BDC" mehr. Verweisen Sie nicht auf diese Art, insbesondere wenn Sie an Orten wie Serverfehler um Hilfe bitten, da wir Ihre Terminologie so schnell korrigieren, dass wir uns nicht einmal um Ihre eigentliche Frage / Problem kümmern.
Was es gibt , ist eine FSMO-Rolle namens "Primary Domain Controller Emulator " oder PDC e . Diese PDCe-Rolle ist sehr wichtig, obwohl wir den Domänencontroller, der diese Rolle innehat, eigentlich nicht als "PDC" bezeichnen sollten.
In vielen Organisationen stellen Benutzer einen Domänencontroller in ihrer Hauptniederlassung bereit und stellen möglicherweise einen anderen Domänencontroller an einem Remotestandort bereit. Manchmal bezeichnen sie diese Domänencontroller aufgrund des logischen Aufbaus ihrer Organisation als "primär" und "Sicherung" . Obwohl beide Domänencontroller tatsächlich vollständig beschreibbare Kopien von AD hosten.
Schlimmer noch ist, dass es auch in der Dokumentation und den Tools von Microsoft noch viele Verweise auf "PDC" gibt. Führen Sie beispielsweise nltest /dclist:domain.com
oder aus netdom query fsmo
, und das Befehlszeilentool gibt an, wer Ihr "PDC" ist. ( Tatsächlich handelt es sich um Ihren PDC- und FSMO-Rolleninhaber.) In Microsoft-APIs und -Dokumenten gibt es immer noch zahlreiche Verweise auf einen "PDC". Dies führt aus historischen Gründen zu großer Verwirrung.
Ich habe auch gesehen, wo verschiedene Leute Probleme haben, wenn die DCs nicht mehr synchron sind. Was sind die Hauptgründe dafür und woher weiß man, dass das passiert ist?
Das ist ein sehr großes Thema und es gibt viele Gründe, warum AD über zwei DCs hinweg unterschiedlich sein kann. Die Fehlersuche Werkzeuge , die Sie am häufigsten für diese Probleme verwenden sind repadmin.exe
" dcdiag.exe
, und die AD - Ereignisprotokolle auf dem DCs. Google für "AD verweilende Objekte", das könnte eine interessante Lektüre für Sie sein.
Ich überlasse Ihnen Folgendes von einem Server 2012 R2-Domänencontroller:
C:\> netdom query pdc
Primary domain controller for the domain:
DC01
The command completed successfully.