Dalam hutan multi-domain, apa yang terjadi PERSIS ketika beberapa, tetapi tidak semua, Master Infrastruktur ada di Katalog Global?

Ada banyak artikel TechNet, seperti ini yang mengatakan bahwa objek hantu tidak diperbarui jika Master Infrastruktur juga Katalog Global, tetapi selain itu tidak ada banyak informasi mendalam tentang apa yang sebenarnya terjadi dalam hal ini konfigurasi.

Bayangkan konfigurasi seperti ini:

|--------------|
| example.com  |
|              |
| dedicated IM |
|--------------|
    |
    |
    |
|-------------------|
| child.example.com |
|                   |
|  IM on a GC       |
|-------------------|

Di mana childmemiliki dua DC yang keduanya merupakan katalog global, artinya peran Master Infrastruktur ada pada GC. Dan, examplememiliki tiga DC dengan peran Master Infrastruktur di DC yang bukan GC.

Saya mengerti bahwa biasanya yang terbaik adalah hanya membuat semuanya menjadi GC dan tidak perlu khawatir tentang hal semacam ini, tetapi dengan asumsi itu tidak terjadi - apa perilaku kesalahan yang tepat yang dapat diharapkan dari pengaturan seperti ini, dan domain mana ( s) akankah perilaku ini terwujud? Anak atau orang tuanya?

Pengontrol Domain yang bukan Katalog Global tidak memiliki salinan (sebagian atribut ditetapkan atau tidak) dari setiap objek di hutan. Oleh karena itu, DC semacam itu harus membuat objek "phantom" untuk referensi objek nyata dari domain lain.

Master Infrastruktur dalam domain bertanggung jawab untuk memperbarui referensi hantu di DC lain di domain. Untuk melakukan ini, pertama-tama referensi server katalog global dalam domainnya, karena kami menganggap bahwa katalog global memiliki pengetahuan paling lengkap, terkini tentang semua objek di hutan.

Masalahnya adalah ini. Jika master infrastruktur adalah server yang sama dengan katalog global, ketika IM melakukan tugasnya memperbarui, (setiap 2 hari,) ia memeriksa GC, yang juga merupakan dirinya sendiri. "Yah, aku tidak melihat perbedaan di sini!" Dia mengatakan, karena dia sudah di GC dan jadi tidak ada perbedaan antara apa yang ada di GC dan apa yang ada di IM ... jadi tentu saja sepertinya dia benar-benar up to date. Masalahnya sekarang dia kembali tidur, puas bahwa tidak ada yang bisa dilakukan. Ini berarti pengontrol domain lain di domain yang bukan GC tidak diperbarui dengan info antar-domain itu.

Edit:

Jika Anda membuat objek di example.com, itu akan mereplikasi ke GC di child.example.com, tetapi karena child.example.com memiliki IM di GC dan juga memiliki DC lain yang bukan GC, objek baru itu akan tidak pernah ada phantom dibuat untuk itu pada DC lain di child.example.com. Jadi Anda tidak akan dapat menambahkan objek baru ke ACL atau memasukkannya ke dalam Grup Keamanan, dll., Dari DC lain karena mereka tidak akan membiarkan Anda menambahkan kepala sekolah yang tidak memiliki referensi mereka. Dan memang seharusnya begitu karena Anda akan memiliki segala macam masalah integritas referensial yang aneh.

Sebaliknya, jika Anda membuat objek baru di child.example.com, itu akan mereplikasi ke example.com dan akan baik-baik saja untuk menggunakan objek baru di example.com karena Anda tidak memiliki DC apa pun di induknya domain yang tidak direplikasi dengan benar oleh IM.

Dan demikian pula, itu sebabnya Microsoft biasanya merekomendasikan hanya membuat semua GC DC Anda, karena dengan begitu IM tidak berfungsi dengan baik atau tidak, karena semua DC tetap memiliki semua informasi yang diperbarui berdasarkan GC.

Sunting: Saya juga hanya ingin kembali ke pos ini dan menyebutkan bahwa ketika AD Recycle Bin diaktifkan, FSMO Infrastruktur tidak melakukan apa pun:

http://myotherpcisacloud.com/post/2013/04/13/AD-Recycle-Bin-and-a-Eulogy-for-the-Infrastructure-Master.aspx