Tenho relido algumas seções da "Bíblia do Active Directory", de Curt Simmons, em preparação para algumas substituições de máquinas e alterações em nossa infraestrutura de diretório ativo do Windows 2000. Parece que em qualquer rede confiável do Active Directory você deve ter pelo menos dois controladores de domínio para que logins e títulos possam ser processados se um deles estiver inativo. No entanto, é afirmado neste livro que os Logins requerem um GC. Afirma-se também que em uma rede de controladores de vários domínios, a função de infraestrutura e a função de GC não devem estar na mesma máquina, a menos que todos os controladores de domínio sejam GCs. Ele então diz que você nunca iria querer implementar uma rede de diretório ativo com todas as máquinas como GCs. Para citar o livro - "No entanto, a menos que você tenha muita largura de banda excessiva que gostaria de consumir, certamente nunca deverá implementar tal solução."
Portanto, se você tiver uma rede de dois controladores de domínio e o GC falhar, as tentativas de logon não funcionarão - nesse caso, não há redundância. Então seria realmente tão ruim ter ambos os DCs como GCs em uma rede de máquinas pequenas (<35) em um switch gigabit? Parece que, apesar de toda a redundância de vários controladores de domínio que a Microsoft afirma, há muitas funções de máquina única que podem fazer tudo falhar em uma falha de máquina. Estou errado aqui?
Responder1
Uma observação sobre: mestre de infraestrutura e servidores de catálogo global: em um ambiente de domínio único, as funções de mestre de infraestrutura e de catálogo global no mesmo controlador de domínio não são grande coisa (porque o mestre de infraestrutura na verdade nãofazerqualquer coisa em um ambiente de domínio único).
Aqui está um artigo que descreve os problemas que podem ocorrer em um ambiente multidomínio com a função mestre de infraestrutura atribuída a um servidor de catálogo global:http://support.microsoft.com/kb/248047
Este artigo descreve a "exceção" ao "não coloque a função mestre de infraestrutura em um servidor de catálogo global" referente a: ambientes de domínio único:http://support.microsoft.com/kb/248047
Portanto, em um ambiente como você descreve, com um único domínio e dois controladores de domínio, marcar ambos como servidores de catálogo global não é "ruim" e não haverá efeitos nocivos.
Os comentários do livro sobre "largura de banda excessiva" entram em ação quando você olha para uma grande rede com vários locais físicos e considera o "custo" da replicação do catálogo global.
Normalmente, eu recomendaria dois controladores de domínio por local físico, no mínimo, e dois servidores de catálogo global por local físico. Dito isto, em organizações menores, a economia geralmente é tal que você consegue ter um controlador de domínio em uma “filial” e, portanto, um servidor de catálogo global. É menos redundante, mas a economia do "risco" associado à falha desse CD muitas vezes supera o custo de adicionar um segundo CD.
Responder2
"afirmou que em uma rede controladora de vários domínios"
Você interpretou mal essa parte, o que ele deve ter dito é "em uma rede multidomínio", ou seja, uma rede com vários domínios AD na mesma floresta, não vários CONTROLADORES de domínio em um domínio. Como diz Evan, em um ambiente AD de domínio único, a função FSMO mestre de infraestrutura não tem trabalho a fazer.
Isto também é afirmado emKB223346:
Duas exceções à regra "não colocar o mestre de infraestrutura num servidor de catálogo global" são:
- Floresta de domínio único:
Em uma floresta que contém um único domínio do Active Directory, não há fantasmas e, portanto, o mestre da infraestrutura não tem trabalho a fazer. O mestre de infra-estrutura pode ser colocado em qualquer controlador de domínio do domínio, independentemente de esse controlador de domínio hospedar o catálogo global ou não.
- Floresta multidomínio onde cada controlador de domínio em um domínio contém o catálogo global:
Se cada controlador de domínio em um domínio que faz parte de uma floresta multidomínio também hospedar o catálogo global, não haverá fantasmas ou trabalho para o mestre de infraestrutura realizar. O mestre de infra-estrutura pode ser colocado em qualquer controlador de domínio desse domínio.
Responder3
Minha opinião é que as preocupações com a replicação do catálogo global do AD são coisa do passado; as velocidades de link típicas de hoje são mais que adequadas e vamos pensar em quanto o AD muda de qualquer maneira. Não é SQL.