Я перечитывал некоторые разделы «Библии Active Directory» Курта Симмонса, готовясь к замене машины и изменениям в нашей инфраструктуре Active Directory Windows 2000. Кажется, что в любой надежной сети Active Directory у вас должно быть по крайней мере два контроллера домена, чтобы можно было обрабатывать входы и безопасность, если один из них выйдет из строя. Однако в этой книге говорится, что для входа требуется GC. Также говорится, что в сети с несколькими контроллерами домена роль инфраструктуры и роль GC не должны находиться на одной машине, если только все контроллеры домена не являются GC. Затем он говорит, что вы никогда не захотите реализовать сеть Active Directory со всеми машинами в качестве GC. Процитирую книгу: «Однако, если у вас нет большой избыточной полосы пропускания, которую вы хотели бы съесть, вам определенно никогда не следует реализовывать такое решение».
Итак, если у вас сеть из двух контроллеров домена и GC выходит из строя, попытки входа не будут работать — в этом случае фактически нет избыточности. Так будет ли так плохо иметь оба DC в качестве GC в небольшой (<35) сети машин на гигабитном коммутаторе? Кажется, что при всей избыточности нескольких контроллеров домена, о которой заявляет Microsoft, есть много ролей отдельных машин, которые могут привести к краху всего этого при отказе машины. Я не прав?
решение1
Примечание относительно главного сервера инфраструктуры и серверов глобального каталога: в среде с одним доменом размещение ролей главного сервера инфраструктуры и глобального каталога на одном контроллере домена не представляет большой проблемы (потому что главный сервер инфраструктуры на самом деле неделать(что угодно в среде одного домена).
Вот статья, в которой описываются проблемы, которые могут возникнуть в многодоменной среде, когда роль мастера инфраструктуры назначена серверу глобального каталога:http://support.microsoft.com/kb/248047
В этой статье описывается «исключение» из правила «не размещать роль хозяина инфраструктуры на сервере глобального каталога» в отношении сред с одним доменом:http://support.microsoft.com/kb/248047
Таким образом, в такой среде, которую вы описываете, с одним доменом и двумя контроллерами домена, обозначение обоих как серверов глобального каталога не является «плохим» и не будет иметь никаких негативных последствий.
Комментарии из книги о «чрезмерной пропускной способности» вступают в игру, когда вы смотрите на большую сеть с несколькими физическими местоположениями и учитываете «стоимость» глобальной репликации каталога.
Я бы обычно рекомендовал два контроллера домена на физическое местоположение, как минимум, и два сервера глобального каталога на физическое местоположение. Сказав это, в небольших организациях экономика часто такова, что вы получаете один контроллер домена в «филиале» и, следовательно, один сервер глобального каталога. Это менее избыточно, но экономика «риска», связанного с отказом этого DC, часто перевешивает стоимость добавления второго DC.
решение2
"заявлено, что в сети с несколькими контроллерами домена"
Вы неправильно поняли этот момент, он, должно быть, сказал "в многодоменной сети", т. е. сети с несколькими доменами AD в одном лесу, а не несколькими КОНТРОЛЛЕРАМИ доменов в одном домене. Как говорит Эван, в однодоменной среде AD роль мастера инфраструктуры FSMO не имеет никакой работы.
Об этом также говорится вКБ223346:
Два исключения из правила «не размещать мастер инфраструктуры на сервере глобального каталога»:
- Лес с одним доменом:
В лесу, содержащем один домен Active Directory, нет фантомов, и поэтому хозяину инфраструктуры не нужно ничего делать. Хозяин инфраструктуры может быть размещен на любом контроллере домена в домене, независимо от того, размещает ли этот контроллер домена глобальный каталог или нет.
- Многодоменный лес, в котором каждый контроллер домена в домене содержит глобальный каталог:
Если каждый контроллер домена в домене, который является частью многодоменного леса, также размещает глобальный каталог, то нет никаких фантомов или работы для хозяина инфраструктуры. Хозяин инфраструктуры может быть размещен на любом контроллере домена в этом домене.
решение3
Мое мнение таково, что проблемы с репликацией глобального каталога AD остались в прошлом; сегодняшние типичные скорости соединения более чем адекватны, и давайте подумаем, насколько сильно изменится AD. Это не SQL.