我一直在重读 Curt Simmons 所著的《Active Directory Bible》的某些章节,为更换机器和更改 Windows 2000 Active Directory 基础架构做准备。似乎在任何可靠的 Active Directory 网络中,您都应该至少拥有两个域控制器,以便在其中一个域控制器发生故障时可以处理登录和安全问题。但是,本书指出,登录需要 GC。书中还指出,在多域控制器网络中,基础架构角色和 GC 角色不应位于同一台机器上,除非所有域控制器都是 GC。然后他说,您永远不会想要实现一个将所有机器都作为 GC 的 Active Directory 网络。引用书中的话 - “但是,除非您有大量多余的带宽想要消耗,否则您绝对不应该实施这样的解决方案。”
因此,如果您拥有一个双域控制器网络,而 GC 发生故障,则登录尝试将无法进行 - 在这种情况下实际上没有冗余。那么,在千兆交换机上的小型(<35)机器网络中,将两个 DC 都用作 GC 真的那么糟糕吗?对于微软声称的所有多域控制器冗余,似乎有很多单台机器角色可能会导致整个系统在机器故障时崩溃。我错了吗?
答案1
关于基础结构主机和全局目录服务器的说明:在单域环境中,基础结构主机和全局目录角色位于同一域控制器上没有什么大不了的(因为基础结构主机实际上并不做单域环境中的任何内容)。
这篇文章描述了在将基础结构主机角色分配给全局编录服务器的多域环境中可能出现的问题:http://support.microsoft.com/kb/248047
本文介绍了“不要将基础结构主机角色放在全局编录服务器上”的“例外情况”:单域环境:http://support.microsoft.com/kb/248047
因此,在您描述的环境中,单个域和两个域控制器都标记为全局编录服务器并不是“坏事”,也不会产生任何不良影响。
当您查看具有多个物理位置的大型网络并考虑全局目录复制的“成本”时,书中的“过度带宽”评论就会发挥作用。
我通常建议每个物理位置至少有两个域控制器,每个物理位置有两个全局编录服务器。话虽如此,在较小的组织中,经济效益往往是这样的,您可以在“分支机构”中拥有一个域控制器,因此拥有一个全局编录服务器。这不太冗余,但与该 DC 故障相关的“风险”的经济效益通常超过添加第二个 DC 的成本。
答案2
“指出在多域控制器网络中”
您误解了这一点,他应该说的是“在多域网络中”,即同一林中有多个 AD 域的网络,而不是 1 个域中有多个域控制器。正如 Evan 所说,在单域 AD 环境中,基础架构主机 FSMO 角色无事可做。
这也表明KB223346:
“不要将基础结构主机放置在全局编录服务器上”规则的两个例外情况是:
- 单域林:
在包含单个 Active Directory 域的林中,没有幻像,因此基础结构主机无需执行任何工作。基础结构主机可以放置在域中的任何域控制器上,无论该域控制器是否托管全局编录。
- 多域林,其中域中的每个域控制器都保存全局目录:
如果多域林中域中的每个域控制器也托管全局编录,则基础结构主机无需执行任何幻像或工作。基础结构主机可以放在该域中的任何域控制器上。
答案3
我的观点是,对 AD 全局目录复制的担忧已成为过去;当今的典型链接速度已经足够了,让我们想想 AD 到底发生了多大的变化。这不是 SQL。