이 같은 TechNet의 기사의 많음이다 이 한 것에 대한 깊이 정보의 많은이없는 것보다 인프라 마스터가 글로벌 카탈로그 인 경우 팬텀 객체가 업데이트되지 않는 말을하지만, 다른 사실 이 일어나는가 구성.
다음과 같은 구성을 상상해보십시오.
|--------------|
| example.com |
| |
| dedicated IM |
|--------------|
|
|
|
|-------------------|
| child.example.com |
| |
| IM on a GC |
|-------------------|
어디 child
인프라 마스터 역할은 GC에 의미를 모두 글로벌 카탈로그 두 개의 DC가 있습니다. 또한 GC example
가 아닌 DC에서 인프라 마스터 역할을하는 3 개의 DC가 있습니다.
나는 일반적으로 모든 것을 GC로 만들고이 종류에 대해 걱정할 필요가 없지만, 그렇지 않다고 가정합니다. 이러한 설정에서 예상 할 수있는 정확한 오류 동작과 도메인 s)이 행동이 나타날 것인가? 아이 또는 부모?
답변
글로벌 카탈로그가 아닌 도메인 컨트롤러에는 포리스트의 모든 개체에 대한 복사본 (부분 특성 집합이 있거나 없음)이 없습니다. 따라서 이러한 DC는 다른 도메인의 실제 개체를 참조하기 위해 “팬텀”개체를 만들어야합니다.
도메인의 인프라 마스터는 도메인의 다른 DC에서 팬텀 참조를 업데이트합니다. 이를 위해서는 먼저 도메인의 글로벌 카탈로그 서버를 참조합니다. 글로벌 카탈로그는 포리스트의 모든 개체에 대한 가장 완벽한 최신 지식을 가지고 있기 때문입니다.
문제는 이것입니다. 인프라 마스터가 글로벌 카탈로그와 동일한 서버 인 경우 IM이 2 일마다 업데이트 작업을 수행 할 때 GC를 확인합니다. “글쎄, 나는 여기에 차이가 없다!” 그는 이미 GC를 사용하고 있기 때문에 GC에있는 것과 IM에있는 것 사이에는 차이가 없기 때문에 물론 최신 상태 인 것 같습니다. 문제는 이제 그는 다시 잠을 자고 할 일이 없다는 것에 만족했다는 것입니다. 이는 GC가 아닌 도메인의 다른 도메인 컨트롤러가 해당 도메인 간 정보로 업데이트되지 않음을 의미합니다.
편집하다:
example.com에서 객체를 만든 경우 child.example.com의 GC에 복제되지만 child.example.com은 GC에 IM이 있고 GC가 아닌 다른 DC도 있으므로 새 객체는 child.example.com의 다른 DC에서 팬텀을 만들지 마십시오. 따라서 새 개체를 ACL에 추가하거나 다른 DC의 보안 그룹 등에 넣을 수 없습니다.이 개체는 참조하지 않는 보안 주체를 추가 할 수 없기 때문입니다. 합법적으로 그렇게하면 모든 종류의 이상한 참조 무결성 문제가 발생하기 때문입니다.
다른 방법으로, child.example.com에서 새 객체를 만든 경우 example.com으로 복제되며 부모에 DC가 없기 때문에 example.com에서 해당 새 객체를 사용하는 것이 좋습니다. IM에 의해 올바르게 복제되지 않는 도메인.
마찬가지로, 모든 DC에 GC로 인해 모든 업데이트 된 정보가 있기 때문에 IM이 제대로 작동하는지 여부는 중요하지 않기 때문에 Microsoft는 일반적으로 모든 DC GC를 만드는 것이 좋습니다 .
편집 : 나는 또한이 게시물로 돌아와서 AD 휴지통이 활성화되면 Infrastructure FSMO는 아무것도 수행하지 않는다고 언급했습니다.