我一直在重讀 Curt Simmons 所寫的《Active Directory Bible》的某些部分,為一些機器更換和對 Windows 2000 Active Directory 基礎結構的更改做準備。似乎在任何可靠的活動目錄網路中,您都應該至少有兩個網域控制器,以便在其中一個出現故障時可以處理登入和安全性。然而本書中指出,登入需要 GC。也指出,在多網域控制站網路中,基礎結構角色和 GC 角色不應位於同一台電腦上,除非所有網域控制站都是 GC。然後他說你永遠不會想要實現一個所有機器都作為 GC 的活動目錄網路。引用這本書的話:“但是,除非您想消耗大量多餘的頻寬,否則您絕對不應該實施這樣的解決方案。”
因此,如果您有兩個網域控制器網路並且 GC 發生故障,登入嘗試將不起作用 - 在這種情況下實際上沒有冗餘。那麼,在千兆交換器上的小型(<35)機器網路中將兩個 DC 作為 GC 真的那麼糟糕嗎?對於微軟聲稱的所有多網域控制器冗餘來說,似乎有許多單機角色可能會在機器故障時導致整個系統崩潰。我這裡錯了嗎?
答案1
關於基礎架構主機和全域編錄伺服器的註解:在單網域環境中,位於同一網域控制站上的基礎架構主機和全域編錄角色沒什麼大不了的(因為基礎架構主機其實並不做單域環境中的任何內容)。
以下文章描述了在將基礎結構主機角色指派給全域編錄伺服器的多網域環境中可能出現的問題:http://support.microsoft.com/kb/248047
本文介紹了「不要將基礎結構主機角色放在全域編錄伺服器上」的「例外」:單域環境:http://support.microsoft.com/kb/248047
因此,在您描述的具有單一網域和兩個網域控制站的環境中,將兩者標記為全域編錄伺服器並不是“壞”,並且不會有任何不良影響。
當您查看具有多個實體位置的大型網路並考慮全域編錄複製的「成本」時,書中的「頻寬過多」評論就會發揮作用。
我通常鼓勵每個實體位置至少有兩個網域控制器,每個實體位置至少有兩個全域編錄伺服器。話雖如此,在較小的組織中,從經濟角度來看,您通常可以在「分支機構」中擁有一台網域控制器,從而擁有一個全域編錄伺服器。它的冗餘度較低,但與該 DC 故障相關的「風險」的經濟性通常超過添加第二個 DC 的成本。
答案2
“表示在多網域控制器網路中”
您誤讀了這一點,他一定說的是“在多域網絡中”,即在同一林中具有多個 AD 域的網絡,而不是在 1 個域中具有多個域控制器。正如 Evan 所說,在單域 AD 環境中,基礎設施主機 FSMO 角色沒有任何工作可做。
這也在KB223346:
「不要將基礎結構主機放在全域編錄伺服器上」規則的兩個例外是:
- 單域林:
在包含單一 Active Directory 網域的林中,不存在幻像,因此基礎結構主機無需執行任何工作。基礎結構主機可以放置在網域中的任何網域控制站上,無論該網域控制站是否託管全域編錄。
- 多域林,其中網域中的每個網域控制站都保存全域編錄:
如果屬於多網域林的網域中的每個網域控制站也託管全域編錄,則基礎結構主機無需執行任何虛擬操作或工作。基礎結構主機可以放置在該網域中的任何網域控制站上。
答案3
我的觀點是,對 AD 全域編錄複製的擔憂已經成為過去。今天的典型連結速度已經足夠了,讓我們考慮一下 AD 的變化有多大。它不是 SQL。