Все ли контроллеры домена в небольшой сети считаются эквивалентными / равными?

Да и нет, вроде того.

Репликация Active Directory, как правило, выполняется с несколькими мастерами. Вы можете создать или изменить объект на любом доступном для записи контроллере домена, и это изменение будет реплицировано на все остальные контроллеры домена. В этом узком смысле все DC «равны».

Но есть несколько избранных операций, у которых может быть только один мастер одновременно. Они называются гибкими Один мастер Операционные роли. Эти роли могут существовать только на одном контроллере домена одновременно, и они не могут перемещаться сами по себе в случае сбоя (их необходимо перенести вручную). Кроме того, в домене AD есть определенные вещи, которые не будут работать, если определенная роль FSMO держатели онлайн. (Изменение пароля, добавление дочернего домена и т. Д.) Следовательно, можно сказать, что все контроллеры домена не равно.

Также существуют контроллеры домена, выступающие в качестве глобальных каталогов. Контроллер домена глобального каталога содержит полную копию объектов из других доменов в этом лесу. Где контроллеры домена, не являющиеся сборщиками мусора, содержат только объекты из своего собственного домена. Это еще один способ, при котором не все контроллеры домена могут быть равны. Однако в самой простой и рекомендуемой конфигурации все контроллеры домена должны быть сборщиками мусора. Но это не обязательно.

Существуют также контроллеры домена только для чтения (RODC). Как следует из названия, эти контроллеры домена недоступны для записи.

Вы также можете хранить на одном контроллере домена вещи (например, зоны DNS), которые не реплицируются на другие контроллеры домена.

Так что нет, они не на 100% равны во всех смыслах этого слова.

Люди говорят «основной контроллер домена» по историческим причинам. Так было еще в 4 дня Нового Завета. Но нет действительно "PDC" больше нет. Точно так же больше нет «BDC». Не обращайтесь к ним так, особенно если вы просите помощи в таких местах, как сбой сервера, потому что мы будем так стараться исправить вашу терминологию, что даже не обратим внимания на ваш реальный вопрос / проблему.

Что там является, это роль FSMO под названием «Основной контроллер домена Эмулятор, "или PDCе. Эта роль PDCe очень важна, хотя мы все равно не должны называть контроллер домена, который выполняет эту роль, «PDC».

Во многих организациях люди развертывают контроллер домена в своем главном офисе, и они могут развернуть другой контроллер домена в удаленном месте ... иногда они называют эти контроллеры домена «первичными» и «резервными» просто из-за логической структуры своей организации. . Несмотря на то, что на обоих этих контроллерах домена фактически размещены полные копии AD с возможностью записи.

Что еще хуже, до сих пор есть много ссылок на «PDC» даже в собственной документации и инструментах Microsoft. Например, запустите nltest /dclist:domain.com или netdom query fsmo, а инструмент командной строки сообщит вам, кто ваш «PDC». (На самом деле это ваш PDCе Держатель роли FSMO.) В API и документах Microsoft по-прежнему много ссылок на «PDC». Это приводит к большой путанице по историческим причинам.

Я также видел, как у разных людей возникают проблемы, когда контроллеры домена больше не синхронизированы. Каковы основные причины этого и как узнать, что произошло?

Это очень обширная тема, и есть много причин, по которым AD может расходиться между двумя DC. Инструменты устранения неполадок, которые вы чаще всего используете для решения этих проблем: repadmin.exe, 'dcdiag.exe, и журналы событий AD на контроллерах домена. Google для "устаревших объектов AD", это может быть для вас интересным чтивом.

Я оставлю вас с этим, от контроллера домена Server 2012 R2:

C:\> netdom query pdc
Primary domain controller for the domain:

DC01
The command completed successfully.