Ich habe einige Abschnitte der „Active Directory Bible“ von Curt Simmons erneut gelesen, um mich auf den Austausch einiger Maschinen und Änderungen an unserer Windows 2000 Active Directory-Infrastruktur vorzubereiten. Es scheint, dass Sie in jedem zuverlässigen Active Directory-Netzwerk mindestens zwei Domänencontroller haben sollten, damit Anmeldungen und Sicherheiten verarbeitet werden können, wenn einer von ihnen ausfällt. In diesem Buch wird jedoch angegeben, dass Anmeldungen einen GC erfordern. Es wird auch angegeben, dass sich in einem Netzwerk mit mehreren Domänencontrollern die Infrastrukturrolle und die GC-Rolle nicht auf derselben Maschine befinden sollten, es sei denn, alle Domänencontroller sind GCs. Er sagt dann, dass Sie niemals ein Active Directory-Netzwerk implementieren sollten, bei dem alle Maschinen GCs sind. Um das Buch zu zitieren: „Wenn Sie jedoch nicht über eine große Bandbreite verfügen, die Sie verbrauchen möchten, sollten Sie eine solche Lösung auf keinen Fall implementieren.“
Wenn Sie also ein Netzwerk mit zwei Domänencontrollern haben und der GC ausfällt, funktionieren Anmeldeversuche nicht – in diesem Fall gibt es tatsächlich keine Redundanz. Wäre es also wirklich so schlimm, beide DCs als GCs in einem kleinen (<35) Maschinennetzwerk auf einem Gigabit-Switch zu haben? Es scheint, dass es trotz der Redundanz mehrerer Domänencontroller, die Microsoft behauptet, viele einzelne Maschinenrollen gibt, die bei einem Maschinenausfall das Ganze zum Absturz bringen können. Liege ich da falsch?
Antwort1
Ein Hinweis zu Infrastrukturmaster- und globalen Katalogservern: In einer Umgebung mit einer einzelnen Domäne ist es keine große Sache, wenn sich die Infrastrukturmaster- und globalen Katalogrollen auf demselben Domänencontroller befinden (da der Infrastrukturmaster nicht wirklichTunalles in einer Einzeldomänenumgebung).
In diesem Artikel werden die Probleme beschrieben, die in einer Umgebung mit mehreren Domänen auftreten können, wenn die Infrastrukturmasterrolle einem globalen Katalogserver zugewiesen ist:http://support.microsoft.com/kb/248047
In diesem Artikel wird die „Ausnahme“ zur Regel „Platzieren Sie die Infrastrukturmasterrolle nicht auf einem globalen Katalogserver“ in Bezug auf Einzeldomänenumgebungen beschrieben:http://support.microsoft.com/kb/248047
Daher ist es in einer Umgebung wie der von Ihnen beschriebenen mit einer einzelnen Domäne und zwei Domänencontrollern nicht „schlecht“, beide als globale Katalogserver zu kennzeichnen, und es wird keine negativen Auswirkungen haben.
Die Kommentare zur „übermäßigen Bandbreite“ aus dem Buch kommen zum Tragen, wenn Sie ein großes Netzwerk mit mehreren physischen Standorten betrachten und die „Kosten“ der globalen Katalogreplikation bedenken.
Normalerweise würde ich mindestens zwei Domänencontroller pro physischem Standort und zwei globale Katalogserver pro physischem Standort empfehlen. Allerdings ist es in kleineren Organisationen oft wirtschaftlich, einen Domänencontroller in einer „Zweigstelle“ und damit einen globalen Katalogserver zu haben. Das ist weniger redundant, aber die Wirtschaftlichkeit des „Risikos“, das mit dem Ausfall dieses DCs verbunden ist, überwiegt oft die Kosten für das Hinzufügen eines zweiten DCs.
Antwort2
"stellte fest, dass in einem Multi-Domain-Controller-Netzwerk"
Sie haben diesen Teil falsch gelesen, er muss „in einem Multi-Domain-Netzwerk“ gesagt haben, also ein Netzwerk mit mehreren AD-Domänen in derselben Gesamtstruktur, nicht mehrere Domänen-CONTROLLER in einer Domäne. Wie Evan sagt, hat die Rolle des Infrastruktur-Master-FSMO in einer Single-Domain-AD-Umgebung keine Arbeit zu erledigen.
Dies ist auch inKB223346:
Von der Regel „Platzieren Sie den Infrastrukturmaster nicht auf einem globalen Katalogserver“ gibt es zwei Ausnahmen:
- Gesamtstruktur einer einzelnen Domäne:
In einer Gesamtstruktur mit einer einzigen Active Directory-Domäne gibt es keine Phantome, sodass der Infrastrukturmaster keine Arbeit zu erledigen hat. Der Infrastrukturmaster kann auf jedem Domänencontroller in der Domäne platziert werden, unabhängig davon, ob dieser Domänencontroller den globalen Katalog hostet oder nicht.
- Multidomänengesamtstruktur, in der jeder Domänencontroller in einer Domäne den globalen Katalog enthält:
Wenn jeder Domänencontroller in einer Domäne, die Teil einer Mehrdomänengesamtstruktur ist, auch den globalen Katalog hostet, gibt es für den Infrastrukturmaster keine Phantome oder Arbeit. Der Infrastrukturmaster kann auf jedem Domänencontroller in dieser Domäne platziert werden.
Antwort3
Meiner Meinung nach gehören die Sorgen um die globale AD-Katalogreplikation der Vergangenheit an. Die heutigen typischen Verbindungsgeschwindigkeiten sind mehr als ausreichend. Und denken wir einmal darüber nach, wie viele Änderungen AD ohnehin vornimmt. Es geht nicht um SQL.