有很多 TechNet 文章,比如这篇文章说,如果基础结构主机也是全局目录,则幻影对象不会更新,但除此之外,没有太多关于此中实际发生情况的深入信息配置。
想象一下这样的配置:
|--------------|
| example.com |
| |
| dedicated IM |
|--------------|
|
|
|
|-------------------|
| child.example.com |
| |
| IM on a GC |
|-------------------|
其中child有两个都是全局目录的DC,意味着Infrastructure Master角色在一个GC上。并且,在一个非GCexample的 DC 上具有三个具有 Infrastructure Master 角色的 DC 。
我知道通常最好只将所有内容都设为 GC 而不必担心这类事情,但假设情况并非如此 -从这样的设置中可以预期的确切错误行为是什么,以及哪个域( s) 这种行为会体现在什么地方?孩子还是家长?
不是全局目录的域控制器没有林中每个对象的副本(部分属性集或没有)。因此,这样的 DC 必须创建“幻象”对象来引用来自另一个域的真实对象。
域中的 Infrastructure Master 负责更新域中其他 DC 上的那些幻象引用。为此,它首先引用其域中的全局目录服务器,因为我们假设全局目录具有关于林中所有对象的最完整、最新的知识。
问题是这样的。如果基础架构主机与全局目录是同一台服务器,当 IM 开始执行更新工作时(每 2 天),他会检查一次 GC,而这恰好也是他自己。“好吧,我看不出有什么不同!” 他说,因为他已经在 GC 上了,所以 GC 上的内容和 IM 上的内容没有区别……所以他当然看起来完全是最新的。问题是现在他又睡着了,对无事可做感到满意。这意味着域中不是 GC 的其他域控制器不会使用该域间信息进行更新。
编辑:
如果您在 example.com 中创建了一个对象,它会复制到 child.example.com 中的 GC,但是由于 child.example.com 在 GC 上有一个 IM 并且还有其他不是 GC 的 DC,因此该新对象将永远不会在 child.example.com 中的其他 DC 上为其创建幻影。因此,您将无法将该新对象添加到 ACL 或将其放入其他 DC 的安全组等,因为它们不允许您添加它们没有参考的委托人。这是正确的,因为那样你就会遇到各种奇怪的参照完整性问题。
换句话说,如果您在 child.example.com 中创建了一个新对象,它将复制到 example.com 并且可以在 example.com 中使用该新对象,因为您在父级中没有任何 DC IM 未正确复制到的域。
同样,这就是为什么 Microsoft 通常建议只将所有DC 设为 GC,因为那样的话 IM 是否正常工作并不重要,因为所有 DC 都凭借 GC 的优势拥有所有更新的信息。
编辑:我也只是想回到这篇文章并提到当启用 AD 回收站时,基础设施 FSMO 什么都不做:
http://myotherpcisacloud.com/post/2013/04/13/AD-Recycle-Bin-and-a-Eulogy-for-the-Infrastructure-Master.aspx