Poate fi folosită o VM Hyper-V realizată dintr-o copie de rezervă a controlerului de domeniu Server 2012 R2 pentru a înlocui controlerul fizic de domeniu dacă acesta eșuează?

Avem un Dell PER520 cu Server 2012 R2 care rulează 5 servere; AD DS, DHCP, DNS și WDS. Am creat un VM Hyper-V pe un alt server folosind o copie de rezervă bare metal creată cu Windows Server Backup. Serverul VM este activ și funcționează cu rețeaua dezactivată. În cazul în care serverul fizic eșuează, acest server poate fi pus în linie cu aceleași setări IP statice și poate prelua cele 5 servicii pe care le suporta? Există un alt controler de domeniu fizic în rețea, dar rulează doar AD DS.

Absolut nu.

Un controler de domeniu nu este un server fără stat; dimpotrivă: găzduiește baza de date Active Directory, unde este stocat totul despre domeniu, inclusiv autentificarea pentru utilizatori și computere. De asemenea, această bază de date este replicată între toate DC-urile din domeniu și își trimit actualizări reciproc și folosesc mai multe soluții pentru a asigura coerența.

Dacă ar fi să închideți serverul fizic și să îl înlocuiți cu o clonă creată din backup-ul său cu ceva timp înainte, ar avea o copie veche a bazei de date AD, care ar fi nesincronizată cu lumea externă; de exemplu, dacă ați creat un cont de utilizator sau ați schimbat o parolă sau ați redenumit un computer, toate aceste modificări nu ar fi prezente în copia sa a bazei de date AD; asta ar crea multe probleme cu... ei bine, totul. De asemenea, vă rugăm să rețineți că, chiar dacă nu ați făcut personal nicio modificare în domeniu, întotdeauna se întâmplă mai multe lucruri, fie făcute de utilizatori (cum ar fi modificările parolei), fie prin procese automate.

Până acum, foarte bine (nu). Ce se întâmplă dacă punem un alt controler de domeniu în amestec? Asta ar uniformiza lucrurile mai rea.

După cum am spus mai sus, controlorii de domeniu folosesc tot felul de soluții pentru a asigura coerența în baza de date distribuită Active Directory; una dintre aceste soluții este să vă asigurați că, dacă un DC care ar trebui să aibă o copie actualizată a bazei de date AD apare brusc cu una veche, practic este dat afară din domeniu; acesta este cel de temut derulare USN, care este cu siguranță ceva ce nu doriți în domeniul dvs.

Tu poate sa (și ar trebui să) aveți un alt controler de domeniu în domeniu și puteți rula și DNS și DHCP pe el; acest lucru, atunci când este configurat corespunzător, va oferi redundanță pentru serviciile de bază. Dar toți DC-urile vor trebui să fie mereu online pentru ca replicarea AD să funcționeze.

Orice ai face, nu clona niciodată (sau nu revii la o stare mai veche) un controler de domeniu; este a doua cea mai mare intrare din Marea Listă a lucrurilor pe care administratorii AD nu ar trebui să le facă, imediat după „Never Have A Single Domain Controller”.

Editați | ×:

Spui că ai deja un alt controler de domeniu; ar trebui să instalați și să configurați DNS și DHCP pe el.Serviciul DNS este replicat automat pe DC-uri (dacă utilizați zone integrate în AD), va trebui doar să configurați acest server ca DNS secundar pe toate sistemele dvs.; pentru DHCP, puteți utiliza DHCP failover.

Aceasta nu este o idee bună. Trebuie să aveți mai multe controlere de domeniu, dar acestea trebuie să fie online și să comunice între ele. De asemenea, nu este un plan de recuperare în caz de dezastru.

Și nu, s-ar putea să nu funcționeze din mai multe motive.