Trong một khu rừng đa miền, điều gì CHÍNH XÁC xảy ra khi một số, nhưng không phải tất cả, các Thạc sĩ Cơ sở hạ tầng có trong Danh mục Toàn cầu?

Có rất nhiều bài viết trên TechNet, như bài viết này nói rằng đối tượng ảo không được cập nhật nếu Cơ sở hạ tầng cũng là một Danh mục toàn cầu, nhưng ngoài ra không có nhiều thông tin chuyên sâu về những gì thực sự xảy ra trong này cấu hình.

Hãy tưởng tượng một cấu hình như thế này:

|--------------|
| example.com  |
|              |
| dedicated IM |
|--------------|
    |
    |
    |
|-------------------|
| child.example.com |
|                   |
|  IM on a GC       |
|-------------------|

Trường hợp childcó hai DC là cả hai danh mục toàn cầu, có nghĩa là vai trò Cơ sở hạ tầng nằm trên một GC. Và, examplecó ba DC với vai trò Cơ sở hạ tầng trên một DC không phải là một GC.

Tôi hiểu rằng tốt nhất là chỉ nên biến mọi thứ thành một GC và không phải lo lắng về vấn đề này, nhưng giả sử đó không phải là trường hợp - hành vi lỗi chính xác có thể xảy ra từ một thiết lập như thế này và miền nào ( s) hành vi này sẽ biểu hiện trong? Đứa trẻ hay cha mẹ?

Bộ điều khiển miền không phải là Danh mục chung sẽ không có bản sao (bộ thuộc tính một phần hoặc không) của mọi đối tượng trong rừng. Do đó, một DC như vậy phải tạo ra các đối tượng "ảo" để tham chiếu các đối tượng thực từ một miền khác.

Cơ sở hạ tầng trong miền có trách nhiệm cập nhật các tham chiếu ảo đó trên các DC khác trong miền. Để làm điều này, trước tiên, nó tham chiếu một máy chủ cửa hàng toàn cầu trong miền của nó, bởi vì chúng tôi giả định rằng các danh mục toàn cầu có kiến ​​thức đầy đủ, cập nhật nhất về tất cả các đối tượng trong rừng.

Vấn đề là thế này. Nếu chủ cơ sở hạ tầng là cùng một máy chủ với danh mục toàn cầu, thì IM sẽ thực hiện công việc cập nhật của mình, (cứ sau 2 ngày,) anh ta sẽ kiểm tra một GC, cũng chính là bản thân anh ta. "Chà, tôi thấy không có gì khác biệt ở đây!" Anh ấy nói, bởi vì anh ấy đã có bằng GC và vì vậy không có sự khác biệt giữa những gì trên một GC và những gì trên IM ... vì vậy tất nhiên có vẻ như anh ấy hoàn toàn cập nhật. Vấn đề là bây giờ anh ấy trở lại giấc ngủ, hài lòng rằng không có gì để làm. Điều này có nghĩa là các bộ điều khiển miền khác trong miền không phải là các GC không được cập nhật với thông tin liên tên miền đó.

Biên tập:

Nếu bạn đã tạo một đối tượng trong example.com, nó sẽ sao chép vào GC trong child.example.com, nhưng vì child.example.com có ​​IM trên một GC và cũng có các DC khác không phải là GC, nên đối tượng mới đó sẽ không bao giờ có một bóng ma được tạo cho nó trên các DC khác trong child.example.com. Và do đó, bạn sẽ không thể thêm đối tượng mới đó vào ACL hoặc đưa nó vào Nhóm bảo mật, v.v., từ các DC khác vì họ sẽ không cho phép bạn thêm hiệu trưởng mà họ không có tài liệu tham khảo. Và đúng như vậy bởi vì sau đó bạn có tất cả các loại vấn đề toàn vẹn tham chiếu kỳ lạ.

Theo một cách khác, nếu bạn đã tạo một đối tượng mới trong child.example.com, nó sẽ sao chép sang example.com và bạn có thể sử dụng đối tượng mới đó trong example.com vì bạn không có bất kỳ DC nào trong cha mẹ tên miền không được IM sao chép đúng cách.

Và tương tự, đó là lý do tại sao Microsoft thường khuyên bạn chỉ nên tạo ra tất cả các DC của bạn, bởi vì sau đó IM không hoạt động đúng hay không, bởi vì tất cả các DC đều có tất cả các thông tin được cập nhật nhờ vào việc trở thành các GC.

Chỉnh sửa: Tôi cũng chỉ muốn quay lại bài đăng này và đề cập rằng khi Thùng rác AD được bật, Cơ sở hạ tầng FSMO hoàn toàn không làm gì:

http://myotherpcisacloud.com/post/2013/04/13/AD-Recycle-Bin-and-a-Eulogy-for-the-Infr Hạ tầng-Master.aspx