We hebben een Dell PER520 met Server 2012 R2 met 5 servers; AD DS, DHCP, DNS en WDS. We hebben een Hyper-V-VM op een andere server gemaakt met behulp van een bare-metalback-up die is gemaakt met Windows Server Backup. De VM-server is actief en het netwerk is uitgeschakeld. Als de fysieke server uitvalt, kan deze server dan online worden gezet met dezelfde statische IP-instellingen en de 5 services overnemen die hij ondersteunde? Er is nog een fysieke domeincontroller op het netwerk, maar deze draait alleen AD DS.

answer

Absoluut niet.

Een domeincontroller is geen staatloze server; integendeel: het host de Active Directory-database, waar alles over het domein wordt opgeslagen, inclusief authenticatie voor gebruikers en computers. Deze database wordt ook gerepliceerd tussen alle DC's in het domein, ze sturen elkaar updates en gebruiken verschillende oplossingen om consistentie te garanderen.

Als u uw fysieke server zou afsluiten en deze zou vervangen door een kloon die is gemaakt op basis van de back-up van enige tijd geleden, zou deze een oude kopie van de AD-database hebben, die niet synchroon loopt met de externe wereld; als u bijvoorbeeld een gebruikersaccount aanmaakte, een wachtwoord wijzigt of een computer hernoemt, zouden al die wijzigingen niet aanwezig zijn in de kopie van de AD-database; dit zou veel problemen veroorzaken met... nou ja, alles. Houd er ook rekening mee dat, zelfs als u zelf geen wijziging in het domein heeft aangebracht, er altijd verschillende dingen aan de hand zijn, hetzij door gebruikers (zoals wachtwoordwijzigingen) of door geautomatiseerde processen.

Tot nu toe zo goed (niet). Wat als we nog een domeincontroller in de mix gooien? Dat zou de zaken nog erger maken .

Zoals ik hierboven al zei, gebruiken domeincontrollers allerlei oplossingen om consistentie in de gedistribueerde Active Directory-database te garanderen; een van deze oplossingen is ervoor te zorgen dat als een DC die een up-to-date kopie van de AD-database zou moeten hebben, plotseling verschijnt met een oude, deze in feite uit het domein wordt geschopt; dit is de gevreesde USN-rollback , iets wat je absoluut niet in je domein wilt hebben.

U kunt (en moet ) een andere domeincontroller in het domein hebben, en u kunt er ook DNS en DHCP op uitvoeren; dit, indien correct geconfigureerd, biedt redundantie voor kernservices. Maar alle DC's moeten altijd constant online zijn om AD-replicatie te laten werken.

Wat je ook doet, kloon nooit (of keer terug naar een oudere staat) een domeincontroller; het is de op één na grootste vermelding in de geweldige lijst met dingen die AD-beheerders niet zouden moeten doen, onmiddellijk na "Never Have A Single Domain Controller".


Bewerk:

Je zegt dat je al een andere domeincontroller hebt; je moet er DNS en DHCP op installeren en configureren. De DNS-service wordt automatisch gerepliceerd op DC's (als u AD-geïntegreerde zones gebruikt), hoeft u deze server alleen als secundaire DNS op al uw systemen te configureren; voor DHCP kunt u DHCP-failover gebruiken .

Dit is geen goed idee. U moet meerdere domeincontrollers hebben, maar ze moeten online zijn en met elkaar communiceren. Het is ook geen rampherstelplan.

En nee, het kan om verschillende redenen niet werken.