看書後這裡有點不明白AD的事, 想請教。

ad active directory windows server

perry168 2019-03-25 13:33:37 ‧ 4504 瀏覽

分享至

書中畫了綠色的地方。想問, 是加了第2個AD控制站後, 兩個AD就會自動分工, 還是要做其他設定才成? 如後者, 能給我在什麼地方, 我再找文學一下。

看更多先前的討論...收起先前的討論...

cheng1279 iT邦新手 4 級 ‧ 2019-03-25 13:56:04 檢舉

在架AD時會順便裝DNS.
所以只要你有AD1和AD2就會有DNS1和DNS2
你只要在一部份的電腦DNS設定DNS1在第一組,DNS2在第二組
另一些電腦的DNS設定DNS2在第一組.DNS1在第二組.
這樣就會分擔負載.

froce iT邦大師 1 級 ‧ 2019-03-25 16:19:07 檢舉

你該畫線的是容錯功能...XD

上面說的是對的。
不過通常重點是一台掛掉，另外一台要會轉移5大角色，然後可以重新把AD建起來，再把5大角色弄回原本的。
要弄到需要分擔負載的網域都很大，或是分隔有一段距離，純AD其實負荷還好。

不過不該說「順便裝DNS」，AD沒DNS玩不起來。

cheng1279 iT邦新手 4 級 ‧ 2019-03-25 18:13:21 檢舉

選AD時,DNS會自己打勾.所以說順便

perry168 iT邦新手 1 級 ‧ 2019-03-26 07:21:50 檢舉

我其實已建好, 用net accounts檢查, 電腦角色舊的已是PRIMARY, 新加的已是BACKUP。
只是回看書中不明白, 如何知真在分工中呢。
而且, 我測試過, 把AD1停了它, 模擬出問題, 發現用戶登陸會有問題, 是使用舊漫遊檔。即可能分工不成功吧。
但net accounts,dsquery server,Netdom query fsmo的結果, 又同其他網上找到的文結果又一樣, 都不知發氐什麼問題~

cheng1279 iT邦新手 4 級 ‧ 2019-03-26 09:12:10 檢舉

DNS是設什麼.

perry168 iT邦新手 1 級 ‧ 2019-03-26 09:38:54 檢舉

不太明白問什麼喲

滑鼠鍵盤 iT邦新手 5 級 ‧ 2019-03-26 10:44:28 檢舉

我分享一下我的個人經驗未必對你有幫助，這個例子是四五年前,可能記憶有少許出入

小弟在學校工作曾經有一段時間，我建了一台（主ＡＤ連漫遊設定檔,fileserver）及另一台（副ＡＤ）還有一台（Ｑｎａｐ—ＮＡＳ）

ＤＮＳ順位為：1)AD1-ip 2)AD2-ip 3)Network-gateway

作用是為到老師白天log-in 在主AD的server存取所有資料
而副AD為了當主AD出問題時老師仍可log-in 還有在晚上作為Qnap-nas的認証

為了節能和硬件保養我們晚上十一時到早上七時(主AD連漫遊設定檔兼File SERVER)會自動關機
,副AD及NAS 就24小時運作

但發生了一些問題, 第一當主AD關機後NAS的登入就變得慢, 我想是因為NAS會不停找尋和等主AD回應

而最大問題萬一主SERVER失靈, 使用者用副AD登入因為無法存取漫遊檔,副AD會分一個新的給他, 而當主SERVER回復正常後, 也不會同步 , 當時情急我人手把資料整理..........

補充少少主AD是一部約港幣35000元的伺服器級電腦(主要成本是SSD-RAID,1TBx6 行RAID-6 當時HKD2800一隻1TB SSD), 那副AD是一部不夠2500的PC.....

現在這副AD已經退役了, NAS也是作為資料BACKUP, 原本是打算方便老師在家中存取一部份資料,但實際使用需求不多因為沒幾多人願意回家後繼續工作...情願在校加班, 而教他們用Google drive, 就取代了這需求.......

結論是要個要做後備AD 最好不要用漫遊設定, Fileserver一定要獨立於所有AD, 二十四小時運作, 否則,不如一部機運要方便

cheng1279 iT邦新手 4 級 ‧ 2019-03-26 10:48:53 檢舉

用戶電腦的IP和DNS是用手動還是自動取得,
如果自動取得,那DNS是指向AD1和AD2還是ISP.

perry168 iT邦新手 1 級 ‧ 2019-03-26 11:01:18 檢舉

cylee1668
我情況同你有點似呢。但我只是把AD1中的停止功能, PDC中的DHCP及DNS還跑。所以SCRIPT, SHARE FOLDER理應沒影響吧。已暈, 完全不明白。

滑鼠鍵盤 iT邦新手 5 級 ‧ 2019-03-26 11:19:11 檢舉

perry168
要試過才知道....如果公司夠開明, 容許你試就實作一下, 只要資料穩當, 出事的時後自己加班處理善後...........
其實沒大不了, 小心一點

perry168 iT邦新手 1 級 ‧ 2019-03-26 11:22:10 檢舉

cheng1279
用戶電腦的IP和DNS是自動取得。
所有機包括SERVER, 都是指向AD1那部SERVER(SERVER1是DHCP+AD1+DNS)
**關AD1測試時, 只是AD1停, DNS及DHCP還在運作)

滑鼠鍵盤 iT邦新手 5 級 ‧ 2019-03-26 11:37:21 檢舉

但我個人認為這功能的對象是更大型的網絡,

滑鼠鍵盤 iT邦新手 5 級 ‧ 2019-03-26 11:45:51 檢舉

我認為如果你要測試必需把AD1關機, 因為現實生活不會無顧失靈1個功能, 更多的情況是電力失靈, 網路硬件問題

例如你把AD1,AD2接上同一switch 而這switch一死AD1,2也同時死....分開接點和電源會比較有用

窮嘶發發發 iT邦高手 1 級 ‧ 2019-03-27 08:55:51 檢舉

圖片表示的，跟樓主講的是兩回事，大型網路需要多台AD DC來處理登入要求，但這不表示，PDC掛了，其他的DC就能正常工作，如果要PDC掛了，其他DC也能正常工作，應該要做HA吧，不是架越多台DC就能直接替代，如果要找一台直接替代，也要找一台做FSMO啊，才能用另外一台DC取代PDC

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

小魚

iT邦大師 1 級 ‧ 2019-03-25 13:45:45

這種東西最好有機會實作,
要不然怎麼看都不會懂,
不過需要很多成本,
通常除非公司剛好有這個需求,
才有機會學經驗.

回應 3
分享
檢舉

perry168 iT邦新手 1 級 ‧ 2019-03-25 13:55:07 檢舉

就是實作中啊~ 已經把AD加入DOMAIN及讀取到第1個AD的資料。

小魚 iT邦大師 1 級 ‧ 2019-03-25 15:07:20 檢舉

喔喔, 那就好,
這部分我不熟,
請其他高手回答一下吧.

林門神JanusLin iT邦超人 1 級 ‧ 2019-03-25 18:55:58 檢舉

怎麼沒有愛心的圖案？給小魚一個愛心

登入發表回應

echochio

iT邦高手 1 級 ‧ 2019-03-26 21:12:32

就是一個備援的概念 , 備援越多越好 .......

當然既然是備援如是異地備援最好 ....

微軟認為既然是異地 , 那異地的電腦是不是找當地的 DC 做認證就好 ...

沒錯當地的 DC 認證比較快 , 所以就會有分擔登入的認證負擔

DC與DC之間當然要帳密及GPO等等同步 , 這就是複寫

回應
分享
檢舉

登入發表回應

Anson

iT邦新手 2 級 ‧ 2019-03-27 11:31:46

您好，我想書中所提的分擔使用者驗證負擔的部份，應是「通用類別目錄 (Global Catalog)」這個服務負責處理的。

通用類別目錄讓使用者可尋找樹系中所有網域的目錄資訊，而不論資料存放何處。您可在最快速度及最低網路流量條件下，進行樹系內尋找。
來源

GC 的功能：「加速查詢」、「提供登入時所需的資訊」
來源

通用類別目錄是儲存所有 Active Directory 物件資訊之處，不過只儲存每一個物件的部份屬性資料，而不是全部的屬性。換句話說，它是一個服務，會儲存搜尋作業中最經常使用的物件屬性 (例如使用者的姓氏、名字、帳戶名稱等)，以及尋找該物件的完整資訊。通用類別目錄是由樹系中第一部網域控制站自動建立，該控制站亦稱為通用類別目錄伺服器，除了協助物件資訊查詢，也提供跨網域使用者身份驗證。
來源

所以，一般不用特別去設定，GC 即可自動處理，但假設你的 DC 散布在各個國家，而 GC 只有一台，那麼各 DC 再跟 GC 溝通時，可能會有效率問題，因此一般會建議在一個 Site (地區概念，比如台灣的所有DC設成一個 Site，大陸則設成另一個 Site) 至少有一個 GC。GC 的設定位置如下圖：
通用類別目錄 (Global Catalog)