La configuration d'un contrôleur de domaine de secours est-elle aussi simple que d'ajouter des AD DS à un serveur existant du réseau?

J'ai récemment été chargé de mettre en place un "contrôleur de domaine de secours" pour notre entreprise. Nous disposons actuellement d'une machine physique exécutant le contrôleur de domaine et de deux hôtes ESXi exécutant diverses machines virtuelles pour notre serveur de messagerie et de fichiers, etc.

Après quelques recherches, il me semble que tout ce que je dois faire est d’allumer une nouvelle machine OU d’utiliser un serveur existant et d’ajouter AD DS, puis de la promouvoir sur le contrôleur de domaine, comme une migration.

Le problème qui me préoccupe est que j'ai lu des informations contradictoires sur les rôles et le catalogue global du FSMO. J'avais l'impression qu'un seul CD peut être un catalogue global et héberger certains rôles FSMO. Si mon contrôleur de domaine principal tombe en panne, je suppose que mon réseau va avoir des problèmes depuis qu'il héberge tous ces rôles FSMO.

Ma question principale est la suivante: est-ce vraiment aussi simple que de configurer un deuxième contrôleur de domaine et que cela existe-t-il ou existe-t-il une configuration supplémentaire pour avoir un véritable contrôleur de domaine avec basculement? Je n'ai même pas nécessairement besoin de ce deuxième contrôleur de domaine en cours d'exécution autrement que si le contrôleur de domaine principal devait tomber en panne, nous souhaitons que le second assure la totalité de la charge.

— MindExplosion
source

Réponses:

Oui, c'est aussi simple à mettre en place. Promouvez votre serveur en contrôleur de domaine.

<Le problème qui me préoccupe est que j'ai lu des informations contradictoires sur les rôles et le catalogue global du FSMO. J'avais l'impression qu'un seul CD peut être un catalogue global et héberger certains rôles FSMO.

Vous pouvez avoir n'importe quel nombre de DC dotés du catalogue global. En fait, vous devriez avoir le CPG sur chaque contrôleur de domaine afin que les comptes puissent s'authentifier auprès du contrôleur de sauvegarde de secours lorsque le contrôleur de domaine principal est en panne. (Vous devez effectuer cette étape manuellement après la promotion).

Les rôles FSMO ne peuvent être attribués qu'à un seul CD à la fois. Si votre contrôleur de domaine de secours ne sera pas en ligne tout le temps, vous voudrez laisser tous les rôles FSMO sur votre contrôleur de domaine principal. Mais vous n’avez rien à faire pour cela puisque votre seul DC a maintenant les rôles de FSMO.

Une interruption de service FSMO n'affecte généralement pas les opérations quotidiennes de votre Active Directory. Par exemple, vous ne pourrez pas mettre à jour le schéma de domaine ou de forêt. Si nécessaire, c’est-à-dire que le CD principal meurt définitivement, vous pouvez transférer les rôles FSMO sur le CD de secours sans avoir le FSMO en ligne.

— Benjamin Hastings
source

Je suis allé de l'avant et j'ai promu un autre serveur et je me suis assuré que tous les enregistrements AD et DNS étaient transférés. Cependant, lorsque j'ai déconnecté mon contrôleur de domaine d'origine, les ordinateurs reçoivent l'erreur «Aucun serveur de connexion disponible», comme s'il ne détectait pas le contrôleur de domaine sur le réseau, ce qui est étrange car l'autre serveur dispose des informations AD. J'ai l'impression qu'il me manque encore un gros morceau, mais je vais continuer à le rechercher. J'espérais que vous sauriez peut-être quelque chose d'évident qui m'a

— échappé

Avez-vous transformé le deuxième contrôleur de domaine en serveur de catalogue global? Dans le cas contraire, voir « Comment promouvoir un contrôleur de domaine à un serveur de catalogue global » à support.microsoft.com/en-us/help/296882/... Si vous avez et le GC ont été synchronisées, et encore vous avez pas de serveur d'ouverture de session il manque quelque chose de moins évident

— Benjamin Hastings

Vous devez également vous assurer que les clients disposent d'un moyen de résoudre les requêtes DNS si votre contrôleur de domaine principal est en panne. En supposant que votre contrôleur de domaine principal soit également un serveur DNS, vous voudriez également que votre deuxième contrôleur de domaine devienne également un serveur DNS et vous assurer que DHCP est configuré pour que les clients se résolvent contre les deux contrôleurs.

— Twisty Impersonator

Haha, tu as raison Twisty !! Je suis revenu pour poster ceci au cas où quelqu'un d'autre l'aurait lu mais vous étiez sur place. J'y ai réfléchi un peu et me suis rendu compte que je n'étais jamais entré dans les paramètres DHCP et que j'avais ajouté mon nouveau serveur en tant que serveur DNS. Après cela, tout fonctionne à merveille lorsque le contrôleur principal est en panne. C'était vraiment plus facile que je pensais! Merci tout le monde.

— MindExplosion

Réponse non experte:

Tous les rôles FSMO ne sont nécessaires que pour la gestion de domaine de bas niveau - vous avez besoin du maître correspondant pour éditer le schéma; créer des domaines dans une forêt; ajouter de nouveaux contrôleurs de domaine (spécifiquement pour leur attribuer des plages RID); etc.

Des tâches quotidiennes telles que l'authentification, la recherche dans le catalogue global ou la modification régulière d'objets de répertoire peuvent être effectuées sur tout contrôleur de domaine accessible en écriture. Toutes les écritures sur tous les DC seront répliquées sur tous les autres DC, y compris ceux qui sont actuellement hors service.

(Tous les contrôleurs de domaine ne sont pas automatiquement des serveurs GC. C’est une option que vous sélectionnez lors de la promotion du serveur, mais ce n’est pas un rôle de maître unique.)

Si le maître FSMO actuel meurt entièrement, un autre CD peut être invité à saisir ces rôles avec force et le domaine continue de fonctionner à pleine capacité.

— Grawity
source