Я перечитывал некоторые разделы «Библии Active Directory» Курта Симмонса в рамках подготовки к замене некоторых машин и изменениям в нашей инфраструктуре Active Directory Windows 2000. Кажется, что в любой надежной сети Active Directory у вас должно быть как минимум два контроллера домена, чтобы можно было обрабатывать логины и безопасность, если один из них не работает. Однако в этой книге говорится, что для входа в систему требуется сборщик мусора. Также указано, что в сети с несколькими контроллерами домена роль инфраструктуры и роль GC не должны находиться на одном компьютере, если только все контроллеры домена не являются GC. Затем он говорит, что вы никогда не захотите реализовать сеть активных каталогов со всеми машинами в качестве сборщиков мусора. Процитируем книгу: «Однако, если у вас нет чрезмерной полосы пропускания, которую вы хотели бы съесть, вам, конечно, никогда не следует реализовывать такое решение».
Поэтому, если у вас есть сеть с двумя контроллерами домена и GC выходит из строя, попытки входа в систему не будут работать - и в этом случае фактически нет избыточности. Так неужели было бы так плохо иметь оба контроллера домена в качестве сборщиков мусора в небольшой (<35) сети компьютеров на гигабитном коммутаторе? Кажется, что для всей избыточности нескольких контроллеров домена, о которой заявляет Microsoft, существует множество ролей для одной машины, которые могут привести к сбою всего устройства в случае сбоя машины. Я здесь не прав?
Примечание относительно хозяина инфраструктуры и серверов глобального каталога: в среде с одним доменом роли хозяина инфраструктуры и глобального каталога, находящиеся на одном контроллере домена, не представляют большого труда (поскольку хозяин инфраструктуры фактически не делать что угодно в однодоменной среде).
В этой статье описаны проблемы, которые могут возникнуть в многодоменной среде с ролью хозяина инфраструктуры, назначенной серверу глобального каталога: http://support.microsoft.com/kb/248047
В этой статье описывается «исключение» из «не размещать роль хозяина инфраструктуры на сервере глобального каталога» в средах с одним доменом: http://support.microsoft.com/kb/248047
Итак, в такой среде, которую вы описываете, с одним доменом и двумя контроллерами домена, маркировка обоих как серверов глобального каталога, не является «плохой» и не будет никаких негативных последствий.
Комментарии из книги о «чрезмерной пропускной способности» вступают в игру, когда вы смотрите на большую сеть с несколькими физическими местоположениями и учитываете «стоимость» репликации глобального каталога.
Я обычно рекомендую два контроллера домена на каждое физическое местоположение, как минимум, и два сервера глобального каталога на каждое физическое местоположение. При этом в небольших организациях экономика часто такова, что вы можете иметь один контроллер домена в «филиале» и, следовательно, один сервер глобального каталога. Это менее избыточно, но экономические последствия «риска», связанного с отказом этого DC, часто перевешивают стоимость добавления второго DC.
"заявил, что в сети с несколькими контроллерами домена"
Вы неправильно прочитали этот бит, он, должно быть, сказал, что это «в многодоменной сети», то есть в сети с несколькими доменами AD в одном лесу, а не с несколькими КОНТРОЛЛЕРАМИ домена в одном домене. Как говорит Эван, в однодоменной среде AD роли FSMO хозяина инфраструктуры нечего делать.
Об этом также говорится в KB223346:
Два исключения из правила «не размещать хозяин инфраструктуры на сервере глобального каталога»:
- Однодоменный лес:
В лесу, содержащем один домен Active Directory, нет фантомов, поэтому хозяину инфраструктуры нечего делать. Хозяин инфраструктуры может быть размещен на любом контроллере домена в домене, независимо от того, размещает ли этот контроллер домена глобальный каталог или нет.
- Многодоменный лес, в котором каждый контроллер домена в домене содержит глобальный каталог:
Если на каждом контроллере домена в домене, который является частью многодоменного леса, также размещается глобальный каталог, хозяину инфраструктуры нет никаких фантомов или работы. Хозяин инфраструктуры может быть помещен на любой контроллер домена в этом домене.