Настроить резервный контроллер домена так же просто, как добавить AD DS на существующий сервер в сети?

Question

Недавно мне было поручено создать "резервный DC" для нашего бизнеса. В настоящее время у нас есть физическая машина с DC и два хоста ESXi с различными виртуальными машинами для нашей электронной почты, файлового сервера и т.д.

После некоторых исследований мне кажется, что все, что мне нужно сделать, - это раскрутить новую машину ИЛИ использовать существующий сервер и просто добавить AD DS, а затем перенести его на контроллер домена, как при миграции.

Я обеспокоен тем, что прочитал противоречивую информацию о ролях FSMO и глобальном каталоге. У меня сложилось впечатление, что только один DC может быть глобальным каталогом и содержать определенные роли FSMO. Если мой основной DC выйдет из строя, я предполагаю, что у моей сети будут проблемы, так как на ней размещены все эти роли FSMO.

Мой главный вопрос: действительно ли это так же просто, как настроить второй контроллер домена, и это все, или есть дополнительные настройки, чтобы иметь настоящий отказоустойчивый контроллер домена? Мне не обязательно даже нужен второй DC, если только основной DC не будет работать, тогда мы хотим, чтобы второй контролировал всю нагрузку.

Answer 1

Да, это так просто настроить. Продвиньте свой сервер на контроллер домена.

<Я беспокоюсь о том, что прочитал противоречивую информацию о ролях FSMO и глобальном каталоге. У меня сложилось впечатление, что только один DC может быть глобальным каталогом и содержать определенные роли FSMO.

Вы можете иметь любое количество контроллеров домена, имеющих глобальный каталог. Фактически у вас должен быть GC на каждом контроллере домена, чтобы учетные записи могли проходить аутентификацию на резервном контроллере домена, когда основной контроллер не работает. (Вы должны сделать этот шаг вручную после продвижения).

Роли FSMO могут быть назначены только одному DC одновременно. Если ваш резервный контроллер домена не будет постоянно подключен к сети, вы должны оставить все роли FSMO на своем основном контроллере домена. Но вам нечего с этим делать, так как ваш единственный DC теперь имеет роли FSMO.

Отключение FSMO обычно не влияет на повседневную работу Active Directory. Например, вы не сможете обновить схему домена или леса. Если необходимо, то есть основной DC умирает навсегда, вы можете перенести роли FSMO на резервный DC, не имея фактического FSMO онлайн.

Answer 2

Неэкспертный ответ:

Все роли FSMO необходимы только для низкоуровневого управления доменом - вам нужен соответствующий мастер для редактирования схемы; создавать домены в лесу; добавить новые контроллеры домена (в частности, чтобы выделить им диапазоны RID); и так далее.

Повседневные задачи, такие как аутентификация, поиск в глобальном каталоге или регулярное редактирование объектов каталога, могут выполняться на любом доступном для записи DC. Все записи на любой DC будут реплицированы на все другие DC, включая те, которые в данный момент отключены.

(Не все контроллеры домена автоматически являются серверами GC - это вариант, который вы выбираете при продвижении сервера, - но это не роль одного мастера).

Если текущий мастер FSMO полностью умирает, другой DC может получить принудительный захват этих ролей, и домен продолжает работать на полную мощность.