Мы унаследовали клиента, который после аудита своего сайта выяснил, что раньше у него была сеть VPN типа «сеть-сеть» и еще один контроллер домена на конечной точке (который был единственным сборщиком мусора в лесу). Предыдущая ИТ-компания понизила этот статус, очистила AD, но так и не сделала свой теперь главный DC GC.
Мы хотим заменить их текущий DC (2003) коробкой 2008R2, лучше ли сделать текущий DC сначала GC, а затем dcpromo новым DC, или это не имеет значения? Не забывайте, что новый DC будет преобразован в GC.
Я бы рекомендовал (и Microsoft тоже), чтобы вы сделали все глобальные каталоги контроллеров домена, если у вас нет веской причины не делать этого.
Перед повышением роли контроллера домена с возможностью записи вам потребуется сетевой доступ к держателю роли RID Master FSMO для домена. В противном случае можно было бы создать только RODC, что, как я предполагаю, не то, что вам нужно.
Но чтобы ответить на ваш вопрос более прямо, контроллеру домена не нужен глобальный каталог для продвижения в существующий домен.
Редактировать: Я подтвердил с помощью лабораторного тестирования, что смог продвинуть новый контроллер домена в существующий домен с минимальным количеством подключенного контроллера домена, отличного от GC, на котором размещался RID FSMO. Остальные 4 FSMO не работают, и глобальный каталог не работает.
Вот еще немного информации из фантастического Блог AskDS о других причинах, по которым вам может понадобиться глобальный каталог в сети, даже в однодоменном лесу:
Вопрос
Если в моем лесу только один домен, нужен ли мне глобальный каталог? Об этом свидетельствует множество документов.
Ответ
Все документы, в которых говорится «только мультидомен», ошибочны. Вам нужны сборщики мусора - даже в однодоменном лесу - для следующего:
• И наоборот, если вы включили IgnoreGCFailures (http://support.microsoft.com/kb/241789); при его включении универсальные группы удаляются из токена безопасности пользователя, если сборщика мусора нет, то есть они будут входить в систему, но не смогут получить доступ к ресурсам, к которым они ранее обращались нормально).
• Если ваши пользователи входят в систему с именами UPN и пытаются изменить свой пароль (они по-прежнему могут входить в систему в лесу с одним доменом с именами UPN или NetBiosDomain \ SamAccountName).
• Даже если вы используете универсальное кэширование членства в группе, чтобы избежать необходимости в GC на сайте, этому DC потребуется GC для обновления кеша.
• Развернут MS Exchange (все версии служб Exchange даже не запустятся без GC).
• Использование встроенного средства поиска в оболочке для поиска в AD опубликованных общих ресурсов, опубликованных ссылок DFS, опубликованных принтеров или любого диалогового окна средства выбора объектов, которое предоставляет параметр «весь каталог», завершится ошибкой.
• Установка агента DPM завершится ошибкой.
• Веб-службы AD (также известные как шлюз управления AD) выйдут из строя.
• Поиск в CRM завершится неудачно.
• Возможно, другие третьи стороны, о которых я не знаю.