ในฟอเรสต์หลายโดเมนจะเกิดอะไรขึ้นอย่างแน่นอนเมื่อบางคนของผู้เชี่ยวชาญโครงสร้างพื้นฐานอยู่ในแคตตาล็อกส่วนกลาง

มีบทความ TechNet มากมายเช่นนี้ที่บอกว่าออบเจ็กต์แฟนทอมไม่ได้รับการอัปเดตหาก Infrastructure Master เป็น Global Catalog แต่นอกเหนือจากนั้นยังไม่มีข้อมูลเชิงลึกเกี่ยวกับสิ่งที่เกิดขึ้นจริงในเรื่องนี้ องค์ประกอบ

ลองนึกภาพการกำหนดค่าเช่นนี้:

|--------------|
| example.com  |
|              |
| dedicated IM |
|--------------|
    |
    |
    |
|-------------------|
| child.example.com |
|                   |
|  IM on a GC       |
|-------------------|

ตำแหน่งที่childมี DC สองแห่งที่มีทั้งแคตตาล็อกส่วนกลางหมายความว่าบทบาทต้นแบบโครงสร้างพื้นฐานอยู่ใน GC และexampleมี DC สามตัวที่มีบทบาทของ Infrastructure Master ใน DC ที่ไม่ใช่ GC

ฉันเข้าใจว่าโดยปกติแล้วการทำทุกอย่างให้เป็น GC และไม่ต้องกังวลเกี่ยวกับเรื่องนี้เป็นเรื่องที่ดีที่สุด แต่สมมติว่าไม่ใช่กรณี - พฤติกรรมข้อผิดพลาดที่แน่นอนที่สามารถคาดหวังได้จากการตั้งค่าเช่นนี้และโดเมนใด ( s) พฤติกรรมนี้จะปรากฏใน เด็กหรือผู้ปกครอง?

ตัวควบคุมโดเมนที่ไม่ใช่แค็ตตาล็อกส่วนกลางไม่มีสำเนา (ชุดคุณลักษณะบางส่วนหรือไม่) ของทุกวัตถุในฟอเรสต์ ดังนั้น DC จึงต้องสร้างวัตถุ "phantom" เพื่ออ้างอิงวัตถุจริงจากโดเมนอื่น

Infrastructure Master ในโดเมนมีหน้าที่รับผิดชอบในการอัพเดทข้อมูลอ้างอิงแฝงเหล่านั้นใน DC อื่น ๆ ในโดเมน ในการทำเช่นนี้ก่อนอื่นให้อ้างอิงเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางในโดเมนเนื่องจากเราสมมติว่าแค็ตตาล็อกส่วนกลางมีความรู้ที่สมบูรณ์และทันสมัยที่สุดเกี่ยวกับวัตถุทั้งหมดในฟอเรสต์

ปัญหาคือสิ่งนี้ หากต้นแบบโครงสร้างพื้นฐานเป็นเซิร์ฟเวอร์เดียวกับแคตตาล็อกส่วนกลางเมื่อ IM ไปทำงานการอัพเดทของเขา (ทุก 2 วัน) เขาจะตรวจสอบ GC ซึ่งจะเกิดขึ้นกับตัวเองเช่นกัน "ฉันไม่เห็นความแตกต่างที่นี่!" เขาพูดว่าเพราะเขาอยู่ใน GC แล้วดังนั้นจึงไม่มีความแตกต่างระหว่างสิ่งที่อยู่ใน GC และสิ่งที่อยู่ใน IM ... ดังนั้นแน่นอนดูเหมือนว่าเขาจะทันสมัย ปัญหาคือตอนนี้เขากลับไปนอนพึงพอใจว่าไม่มีอะไรทำ ซึ่งหมายความว่าตัวควบคุมโดเมนอื่น ๆ ในโดเมนที่ไม่ใช่ GCs จะไม่ได้รับการอัปเดตด้วยข้อมูลระหว่างโดเมนนั้น

แก้ไข:

หากคุณสร้างวัตถุใน example.com มันจะทำซ้ำไปยัง GC ใน child.example.com แต่เนื่องจาก child.example.com มี IM บน GC และยังมี DC อื่น ๆ ที่ไม่ใช่ GCs วัตถุใหม่นั้นจะ ไม่ต้องมี phantom ที่สร้างขึ้นสำหรับ DC อื่นเหล่านั้นใน child.example.com และดังนั้นคุณจะไม่สามารถเพิ่มวัตถุใหม่นั้นลงใน ACLs หรือใส่ไว้ในกลุ่มความปลอดภัย ฯลฯ จาก DC อื่น ๆ เหล่านั้นเพราะพวกเขาจะไม่ยอมให้คุณเพิ่มหลักการที่พวกเขาไม่มีการอ้างอิง และอย่างถูกต้องดังนั้นเพราะคุณจะมีปัญหาเรื่องความซื่อสัตย์ในการอ้างอิงทุกประเภท

หากคุณสร้างออบเจ็กต์ใหม่ใน child.example.com ก็จะทำซ้ำไปที่ example.com และมันก็โอเคที่จะใช้ออบเจ็กต์ใหม่นั้นใน example.com เพราะคุณไม่มี DCs ในพาเรนต์ โดเมนที่ไม่ได้ถูกจำลองแบบโดย IM อย่างถูกต้อง

และในทำนองเดียวกันนั่นคือเหตุผลที่ Microsoft มักแนะนำให้สร้างDCs GCs ทั้งหมดของคุณเพราะมันไม่สำคัญว่า IM นั้นทำงานได้อย่างถูกต้องหรือไม่เพราะ DC ทั้งหมดมีข้อมูลที่อัปเดตอยู่แล้วโดยอาศัย GCs

แก้ไข:ฉันแค่อยากกลับมาที่โพสต์นี้และพูดถึงว่าเมื่อเปิดใช้งานถังรีไซเคิล AD แล้ว FSMO โครงสร้างพื้นฐานไม่ได้ทำสิ่งใดเลย:

http://myotherpcisacloud.com/post/2013/04/13/AD-Recycle-Bin-and-a-Eulogy-for-the-Infrastructure-Master.aspx