Zalecenia rozmieszczania FSMO sugerują, że Infrastructure Master nie powinien znajdować się na kontrolerze domeny, który przechowuje Global Catalog. Dlaczego?
Zalecenia rozmieszczania FSMO sugerują, że Infrastructure Master nie powinien znajdować się na kontrolerze domeny, który przechowuje Global Catalog. Dlaczego?
W przypadku jednej domeny nie ma to znaczenia.
W środowisku wielodomenowym zalecenie jest jak najbardziej słuszne.
Global Catalog posiada informację o każdym obiekcie z lasu Active Directory. Informacja składowana w GC jest okrojona w stosunku do oryginalnego obiektu, zawiera tylko część atrybutów.
Infrastructure Master w dużym uproszczeniu dba o infrastrukturę domeny. Między innymi jest odpowiedzialny za zarządzanie informacją o obiektach z innych domen, które muszą mieć odwzorowanie w domenie, w której Infrastructure Master pełni swoją rolę.
Infrastructure Master dba o zawartość grup, do których należą użytkownicy z innej domeny w tym samym lesie. Zadaniem Infrastructure Master w tym wypadku jest utworzenie w bazie danych obiektu (phantom) reprezentującego użytkownika innej domeny i zarządzanie informacją o tym obiekcie.
Jeśli zmieni się nazwa konta lub zostanie ono usunięte lub przeniesione, informacje muszą zostać uaktualnione. Informacje o modyfikacjach Infrastructure Master czerpie z Global Catalogu i wprowadza je w swojej domenie. Jeśli Infrastructure Master i Global Catalog mają wspólną bazę, takie zmiany nie są wykrywane.
Żeby zamknąć temat GC i IM, pozwalam sobie zacytować artykuł Tomka Onyszko ze strony:
http://www.w2k.pl/infrastructure-master-fsmo-i-global-catalog/
Infrastructure Master FSMO i Global Catalog
Czy Global Catalog i Infrastucture Master mogą być na tej samej maszynie? Temat ten powraca od czasu do czasu na listach dyskusyjnych i forum, postanowiłem w wolnej chwili napisać kilka słów wyjaśniających. Główne wątpliwości biorą się z lektury artykuły KB 223346 , który jednak został ostatnio uaktualniony i dokładnie tłumaczy te zasady.
Jak to więc z GC i IM jest w rzeczywistości? Reguła jest prosta, ale zacznijmy od wyjaśnienia roli poszczególnych serwerów w katalogu.
Global Catalog posiada informację o każdym z obiektów w ramach lasy Active Directory i udostępnia ją zainteresowanym. Informacja, jaka składowana jest w GC, jest okrojona w stosunku do oryginalnego obiektu, zawiera tylko część atrybutów, ważne jest jednak to, że serwer pełniący rolę GC posiada informacje o wszystkich obiektach w lesie i jest jej w stanie dostarczyć szybciej, niż trwałoby zapytanie w celu wyszukania tego obiektu w katalogu.
Infrastructure Master, jedna z pięciu roli FSMO, w dużym uproszczeniu dba o infrastrukturę domeny. Zadaniem wchodzących w obowiązki IM jest zarządzanie informacją o obiektach z innych domen, które muszą mieć odwzorowanie w domenie, w której IM pełni swoją rolę. IM dba o to, aby zawartość grupy Active Directory w domenie, do której należy użytkownik z innej domeny w tym samym lesie. Zadanie IM w tym wypadku to utworzenie w bazie danych katalogu obiektu (phantom) reprezentującego użytkownika domeny głównej w katalogu domeny potomnej i zarządzanie informacją o tym obiekcie. Od razu powstrzymuje tych, którzy rzucili się do poszukiwania obiektów tworzonych przez IM: obiekty te tworzone są na poziomie bazy danych Active Directory i nie mają reprezentacji widocznej w katalogu.
Po przydługim wstępie przejdźmy do rzeczy: dlaczego GC i IM nie mogą w jednym stać domku, a żeby być dokładnym (co wyjaśnię dalej), mogą, ale tylko pod pewnymi warunkami?
Wyobraźmy sobie sytuację, w której użytkownik z domeny głównej należy do grupy w domenie potomnej. Infrastructure Master ma za zadanie dbać o to, aby informacje o obiektach z innych domen były aktualizowane w ramach obiektów w domenie, w której działa IM. Co więc się stanie, gdy obiekt użytkownika zostanie zmodyfikowany w jego źródłowej domenie? Jego obiekt powinien być również usunięty z domeny potomnej - i to jest właśnie rola IM.
Dlaczego więc połączenie tych roli jest niewskazane w pewnych warunkach? Global Catalog posiada informację o wszystkich dostępnych w lesie obiektach, dlatego nie ma potrzeby tworzenia w jego bazie danych obiektu reprezentującego dodatkowo takiego użytkownika. Dlatego połączenie tych roli może zakłócić pracę serwera pełniącego rolę IM.
Oczywiście problem ten występuje jedynie w strukturze z co najmniej dwiema domenami w ramach lasu.
Czy więc można łączyć te role? Tak, w przypadku gdy:
Jedyny przypadek, gdy nie powinniśmy łączyć tych ról, to infrastruktura lasu z więcej niż jedną domeną, w której nie wszystkie serwery pełnią rolę GC. Sytuacja taka jednak w organizacjach o rozbudowanej strukturze katalogu może być dosyć częstą.
W zasadzie to wszystko, co można powiedzieć w temacie: "Czy można połączyć w ramach jednego kontrolera domeny role Infrastructure Master i Global Catalog?"
Dokładne informacje w tym temacie można znaleźć w artykule KB 248047.
Pani Monika napisała:
Jeśli Infrastructure Master i Global Catalog mają wspólną bazę, takie zmiany nie są wykrywane.
I to wszystko wyjaśnia.
Obecnie nie ma przeciwwskazań aby na wszystkich DC postawić GC i zapomnieć o IM.