He estado releyendo algunas secciones de la "Biblia de Active Directory" de Curt Simmons en preparación para algunos reemplazos de máquinas y cambios en nuestra infraestructura de directorio activo de Windows 2000. Parece que en cualquier red de directorio activo confiable debe tener al menos dos controladores de dominio para que los inicios de sesión y los valores puedan procesarse si uno de ellos no funciona. Sin embargo, en este libro se indica que los inicios de sesión requieren un GC. También se indica que en una red de controladores de dominios múltiples, la función de infraestructura y la función de GC no deben estar en la misma máquina, a menos que todos los controladores de dominio sean GC. Luego dice que nunca querrás implementar una red de directorio activo con todas las máquinas como GC. Para citar el libro: "Sin embargo, a menos que tenga un ancho de banda excesivo que le gustaría consumir, nunca debe implementar una solución de este tipo".
Entonces, si tiene una red de dos controladores de dominio y el GC falla, los intentos de inicio de sesión no funcionarán, en cuyo caso en realidad no hay redundancia. Entonces, ¿sería realmente tan malo tener tanto DC como GC en una red de máquinas pequeñas (<35) en un conmutador gigabit? Parece que a pesar de toda la redundancia de múltiples controladores de dominio que afirma Microsoft, hay muchas funciones de una sola máquina que pueden hacer que todo se derrumbe en caso de falla de la máquina. ¿Me equivoco aquí?
Respuesta1
Una nota sobre: maestro de infraestructura y servidores de catálogo global: en un entorno de dominio único, las funciones de maestro de infraestructura y catálogo global que están en el mismo controlador de dominio no son gran cosa (porque el maestro de infraestructura en realidad nohacercualquier cosa en un entorno de dominio único).
Aquí hay un artículo que describe los problemas que pueden ocurrir en un entorno multidominio con la función de maestro de infraestructura asignada a un servidor de catálogo global:http://support.microsoft.com/kb/248047
Este artículo describe la "excepción" a "no colocar la función de maestro de infraestructura en un servidor de catálogo global" con respecto a entornos de dominio único:http://support.microsoft.com/kb/248047
Por lo tanto, en un entorno como el que usted describe, con un solo dominio y dos controladores de dominio, marcar ambos como servidores de catálogo global no es "malo" y no habrá ningún efecto nocivo.
Los comentarios del libro sobre "ancho de banda excesivo" entran en juego cuando se analiza una red grande con múltiples ubicaciones físicas y se considera el "costo" de la replicación del catálogo global.
Normalmente recomendaría dos controladores de dominio por ubicación física, como mínimo, y dos servidores de catálogo global por ubicación física. Dicho esto, en las organizaciones más pequeñas la economía suele ser tal que se puede tener un controlador de dominio en una "sucursal" y, por lo tanto, un servidor de catálogo global. Es menos redundante, pero la economía del "riesgo" asociado con la falla de ese DC a menudo supera el costo de agregar un segundo DC.
Respuesta2
"declaró que en una red de controlador de dominios múltiples"
Has leído mal esa parte, lo que debe haber dicho es "en una red multidominio", es decir, una red con múltiples dominios AD en el mismo bosque, no múltiples CONTROLADORES de dominio en 1 dominio. Como dice Evan, en un entorno AD de dominio único, la función FSMO de maestro de infraestructura no tiene trabajo que hacer.
Esto también se afirma enKB223346:
Dos excepciones a la regla "no colocar el maestro de infraestructura en un servidor de catálogo global" son:
- Bosque de dominio único:
En un bosque que contiene un único dominio de Active Directory, no hay fantasmas y, por lo tanto, el maestro de infraestructura no tiene trabajo que hacer. El maestro de infraestructura se puede colocar en cualquier controlador de dominio del dominio, independientemente de si ese controlador de dominio aloja el catálogo global o no.
- Bosque multidominio donde cada controlador de dominio de un dominio contiene el catálogo global:
Si cada controlador de dominio en un dominio que forma parte de un bosque multidominio también aloja el catálogo global, no habrá fantasmas ni trabajo que el maestro de infraestructura deba realizar. El maestro de infraestructura se puede colocar en cualquier controlador de dominio de ese dominio.
Respuesta3
Mi opinión es que las preocupaciones con la replicación del catálogo global de AD son cosa del pasado; Las velocidades de enlace típicas de hoy en día son más que adecuadas y, de todos modos, pensemos en cuánto cambia AD. No es SQL.