マルチドメインフォレストで、インフラストラクチャマスターのすべてではなく一部がグローバルカタログにある場合、どうなりますか？

TechNetの記事の多くは次のようにありますが、この1かについての深さで多くの情報がないとそれはインフラストラクチャマスタはまた、グローバルカタログである場合にはファントムオブジェクトは更新されませんことを言うが、以外に、実際にこの中で起こるが、構成。

次のような構成を想像してください。

|--------------|
| example.com  |
|              |
| dedicated IM |
|--------------|
    |
    |
    |
|-------------------|
| child.example.com |
|                   |
|  IM on a GC       |
|-------------------|

にchildは、両方がグローバルカタログである2つのDCがあります。つまり、インフラストラクチャマスターの役割はGCにあります。また、GC exampleではない DC上にインフラストラクチャマスターの役割を持つ3つのDCがあります。

私は通常、すべてをGCにすることが最善であり、この種のことを心配する必要はないことを理解していますが、そうではないと仮定すると、このような設定から予想される正確なエラー動作と、どのドメイン（ s）この動作は現れるのでしょうか？子供か親か？

グローバルカタログではないドメインコントローラーには、フォレスト内のすべてのオブジェクトのコピー（部分的な属性セットがあるかどうか）はありません。したがって、そのようなDCは、別のドメインの実際のオブジェクトを参照するために「ファントム」オブジェクトを作成する必要があります。

ドメイン内のインフラストラクチャマスターは、ドメイン内の他のDC上のファントム参照を更新する責任があります。これを行うには、最初にドメイン内のグローバルカタログサーバーを参照します。これは、グローバルカタログにはフォレスト内のすべてのオブジェクトに関する最も完全で最新の知識があると想定しているためです。

問題はこれです。インフラストラクチャマスターがグローバルカタログと同じサーバーである場合、IMが更新の仕事をするとき（2日ごと）、GCをチェックします。「まあ、私はここで違いはありません！」彼はすでにGCに参加しているため、GCの内容とIMの内容に違いがないので、もちろん、彼は完全に最新のように見えます。問題は、彼がスリープ状態に戻り、何もする必要がないことに満足したことです。つまり、GC以外のドメイン内の他のドメインコントローラーは、そのドメイン間情報で更新されません。

編集：

example.comでオブジェクトを作成した場合、オブジェクトはchild.example.comのGCに複製されますが、child.example.comにはGCにIMがあり、GCではない他のDCもあるため、その新しいオブジェクトはchild.example.comの他のDCでファントムを作成しないでください。そのため、他のDCからACLにその新しいオブジェクトを追加したり、セキュリティグループなどに配置したりすることはできません。参照されていないプリンシパルを追加できないためです。そして当然のことながら、そうすれば、あらゆる種類の奇妙な参照整合性の問題が発生します。

逆に言うと、child.example.comに新しいオブジェクトを作成した場合、それはexample.comに複製され、親にDCがないため、example.comにその新しいオブジェクトを使用しても問題ありません。 IMによって適切に複製されていないドメイン。

同様に、Microsoftが通常すべてのDCをGCにすることをお勧めするのはそのためです。IMが正常に機能しているかどうかは関係ありません。すべてのDCはGCであるため、すべての更新情報をとにかく持っています。

編集：この投稿に戻って、ADのごみ箱が有効になっている場合、インフラストラクチャFSMOはまったく何もしないことにも触れたかっただけです。

http://myotherpcisacloud.com/post/2013/04/13/AD-Recycle-Bin-and-a-Eulogy-for-the-Infrastructure-Master.aspx