我一直在重读 Curt Simmons 的“Active Directory Bible”的某些部分,以准备一些机器更换和对我们的 windows 2000 Active Directory 基础结构的更改。似乎在任何可靠的活动目录网络中,您至少应该有两个域控制器,以便在其中一个出现故障时可以处理登录和证券。但是,本书中指出登录需要 GC。还指出,在多域控制器网络中,基础结构角色和 GC 角色不应在同一台机器上,除非所有域控制器都是 GC。然后他说你永远不会想要实现一个所有机器都作为 GC 的活动目录网络。引用这本书 - “但是,除非你有很多过多的带宽,否则你想吃掉,
因此,如果您有两个域控制器网络并且 GC 出现故障,登录尝试将不起作用 - 在这种情况下实际上没有冗余。那么在千兆交换机上的小型(<35)机器网络中将两个 DC 作为 GC 真的有那么糟糕吗?对于微软声称的所有多域控制器冗余,似乎有很多单机角色可以在机器故障中导致整个事情崩溃。我在这里错了吗?
注意:基础结构主机和全局编录服务器:在单域环境中,位于同一域控制器上的基础结构主机和全局编录角色没什么大不了的(因为基础结构主机实际上在单域环境中不做任何事情)。
以下文章描述了在将基础结构主机角色分配给全局编录服务器的多域环境中可能出现的问题:http: //support.microsoft.com/kb/248047
本文描述了“不要将基础设施主机角色放在全局编录服务器上”的“例外”:单域环境:http: //support.microsoft.com/kb/248047
因此,在您描述的使用单个域和两个域控制器将两者都标记为全局编录服务器的环境中,这并不是“坏的”,也不会产生任何不良影响。
当您查看具有多个物理位置的大型网络并考虑全局编录复制的“成本”时,书中的“过度带宽”评论就会发挥作用。
我通常会鼓励每个物理位置至少有两个域控制器,每个物理位置至少有两个全局编录服务器。话虽如此,在较小的组织中,经济状况通常是这样的,您可以在“分支机构”中拥有一个域控制器,从而拥有一台全局编录服务器。它的冗余较少,但与该 DC 故障相关的“风险”的经济性通常超过添加第二个 DC 的成本。
“表示在多域控制器网络中”
您误读了那一点,他必须说的是“在多域网络中”,即在同一林中具有多个 AD 域的网络,而不是在 1 个域中的多个域控制器。正如 Evan 所说,在单域 AD 环境中,基础设施主机 FSMO 角色无事可做。
这在KB223346中也有说明: