有大量的TechNet文章,就像这个说幻想对象不会被更新,如果一个基础设施大师也是一个全球目录,但除此之外,没有深入的信息关于这个实际发生的事情组态。
想象一下这样的configuration:
|--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| 如果child有两个DC都是全球目录,这意味着基础架构主任angular色在GC上。 而且, example具有三个DC,而不是 GC的DC上具有Infrastructure Masterangular色。
我明白,通常情况下最好是把所有东西都做成GC,而不必担心这种事情,但是假设情况并非如此 – 从这样的设置可以预期到什么是确切的错误行为,以及哪个域s)这种行为会performance在? 孩子还是父母?
不是全局编录的域控制器不具有林中每个对象的副本(部分属性集)。 因此,这样的DC必须创build“幻影”对象来引用来自另一个领域的真实对象。
域中的基础架构主控负责更新域中其他数据中心的幻像引用。 为此,它首先引用其域中的全局编录服务器,因为我们假设全局编录具有有关林中所有对象的最完整,最新的知识。
问题是这个。 如果基础架构主服务器与全局目录服务器是同一台服务器,当即时消息执行更新工作(每两天)时,他检查一个GC,这也恰好是他自己。 “呃,我在这里看不出什么区别!” 他说,因为他已经在GC上了,所以在GC上的内容与IM上的内容没有什么区别……所以当然看起来他已经完全是最新的了。 问题是现在他回去睡觉,满意的是没有什么可做的。 这意味着域中不是GC的其他域控制器不会使用该域间信息进行更新。
编辑:
如果您在example.com中创build了一个对象,它将复制到child.example.com中的GC,但由于child.example.com在GC上有一个IM,并且还有其他不属于GC的DC,从来没有在child.example.com上的其他数据中心上为其创build幻影。 所以你不能把这个新的对象添加到ACL中,或者把它放到安全组等等,因为它们不会让你添加他们没有引用的主体。 理所当然的,因为那样你会有各种奇怪的参照完整性问题。
换一种方式,如果你在child.example.com中创build了一个新的对象,它将会复制到example.com,在example.com中使用这个新的对象是可以的,因为你没有任何父对象没有被IM复制到正确的域。
同样,这就是为什么微软通常build议只制作所有的DCs GC,因为那么IM是否正常工作并不重要,因为所有的DC都有GC的所有更新信息。
编辑:我也只是想回到这个post,并提到,当AD回收站启用时,基础设施FSMO绝对没有: