Em uma floresta de vários domínios, o que EXACTAMENTE acontece quando alguns, mas não todos, os mestres de infra-estrutura estão em catálogos globais?

Navegue suas respostas
10

Há muitos artigos do TechNet, como este que dizem que objeto fantasma não é atualizado se uma infraestrutura Master também é um Catálogo Global, mas além disso, não há muita informação detalhada sobre o que realmente acontece nesta configuração.

Imagine uma configuração como esta: 

|--------------|
| example.com  |
|              |
| dedicated IM |
|--------------|
    |
    |
    |
|-------------------|
| child.example.com |
|                   |
|  IM on a GC       |
|-------------------|

Em que child tem dois DCs que são dois catálogos globais, o que significa que a função do mestre de infra-estrutura está em um GC. E, example tem três DCs com a função de mestre de infra-estrutura em um controlador de domínio que não é um GC.

Eu entendo que geralmente é melhor apenas fazer de tudo um GC e não ter que se preocupar com esse tipo de coisa, mas assumindo que não é o caso - qual é o comportamento de erro exato que pode ser esperado de uma configuração como essa e em quais domínios esse comportamento se manifestaria? A criança ou o pai?

    
por MDMarra 12.12.2012 / 15:08

1 resposta

10

Um Controlador de Domínio que não é um Catálogo Global não possui uma cópia (conjunto de atributos parciais ou não) de cada objeto na floresta. Portanto, tal CD tem que criar objetos "fantasmas" para referenciar objetos reais de outro domínio.

O mestre de infra-estrutura no domínio é responsável por atualizar essas referências fantasmas nos outros DCs do domínio. Para fazer isso, primeiro ele faz referência a um servidor de catálogo global em seu domínio, porque supomos que os catálogos globais tenham o conhecimento mais completo e atualizado sobre todos os objetos na floresta.

O problema é esse. Se o mestre da infra-estrutura é o mesmo servidor que o catálogo global, quando o IM faz o seu trabalho de atualização, (a cada 2 dias), ele verifica um GC, que também é ele mesmo. "Bem, não vejo diferença aqui!" Ele diz, porque ele já está em um GC e por isso não há diferença entre o que está em um GC e o que está no IM ... então, é claro, parece que ele está completamente atualizado. O problema agora é que ele volta a dormir, satisfeito por não haver nada a fazer. Isso significa que os outros controladores de domínio no domínio que não são GCs não são atualizados com essas informações entre domínios.

Editar:

Se você criou um objeto em example.com, ele seria replicado para o GC em child.example.com, mas como child.example.com tem um IM em um GC e também tem outros DCs que não são GCs, objeto novo nunca teria um fantasma criado para ele nos outros DCs em child.example.com. E assim você não poderá adicionar esse novo objeto a ACLs ou colocá-lo em Security Groups, etc., desses outros DCs, porque eles não permitirão que você adicione entidades para as quais eles não têm referência. E com razão, porque então você teria todos os tipos de problemas de integridade referencial estranhos.

Indo para o outro lado, se você criou um novo objeto em child.example.com, ele será replicado para example.com e não há problema em usar esse novo objeto em example.com porque você não tem nenhum DC no domínio pai que não está sendo replicado para corretamente pelo IM.

E, da mesma forma, é por isso que a Microsoft geralmente recomenda apenas fazer todos seus CDs, porque então não importa se o MI está funcionando corretamente ou não, porque todos os CDs têm todas as informações atualizadas de qualquer maneira em virtude de ser GCs.

Editar: Eu também queria voltar a este post e mencionar que quando a Lixeira do AD está ativada, o FSMO da Infraestrutura não faz absolutamente nada:

link

    
por 12.12.2012 / 15:28

Tags

Apache2 “Exigir tudo concedido” não funciona Configurado MySQL para SSL, mas o SSL ainda está desativado ..!