(Dieser Artikel erschien zuerst auf Ulfs Blog. Übersetzung und kleine Ergänzungen: Nils Kaczenski)
Es gibt eine in den Newsgroups häufig gestellte Frage, die ich aufklären möchte:
Frage: Darf der Infrastruktur-Master auf einem Domänencontroller laufen, der auch Global Catalog Server ist?
Antwort: Eine übliche Antwort hierauf beruht auf einem falsch verstandenen Gerücht. Hiernach dürfe der Infrastruktur-Master (IM) nur dann auf einem Global Catalog Server (GC) laufen, wenn jeder Domänencontroller (DC) im gesamten Forest ein Global Catalog Server sei. Dieses Gerücht beruht allerdings auf missverständlichen Formulierungen.
Die Aufgabe des Infrastruktur-Masters besteht darin, Objekte der eigenen Domäne mit Objekten anderer Domänen im gleichen Forest zu vergleichen und mögliche Unterschiede (insbesondere domänenübergreifende Gruppenmitgliedschaften) zu korrigieren. Wenn nun der Server, der die IM-Rolle hält, gleichzeitig Globaler Katalog ist, wird er niemals einen Unterschied feststellen, weil er ja bereits eine Teilkopie jedes Objekts im ganzen Forest hat. Daher wird der IM in diesem Fall in seiner eigenen Domäne niemals eine Änderung an solchen Objekten durchführen. Wenn allerdings jeder DC innerhalb der Domäne auch GC ist, hat der IM schlicht nichts zu tun, denn jeder GC kennt ohnehin alle Objekte anderer Domänen. Wenn man sich nun also ansieht, was der IM zu tun hat, wird es klar, dass die IM-Rolle auf einem GC laufen darf, wenn es sich um ein Einzeldomänen-Netzwerk handelt (denn dann gibt es keine anderen Domänen, von denen Objekte repliziert werden). Ebenso klar ist, dass die IM-Rolle auf einem GC laufen darf, wenn der Forest aus mehreren Domänen besteht, aber jeder DC in der eigenen Domäne auch GC ist (kein Bedarf an Objektvergleichen, weil der GC sowieso „alles“ weiß).
Also ist die folgende Infrastruktur eine gültige Konfiguration:
Domäne A
- A-DC1 (GC + IM)
- A-DC2 (GC)
- A-DC3 (muss GC sein!)
Domäne B
- B-DC1 (GC)
- B-DC2 (IM)
- B-DC3 bis B-DCx (GC oder nicht spielt hier keine Rolle)
In der ersten Domäne muss der IM keine Informationen aus anderen Domänen abrufen, weil der GC „alles“ bereits kennt. Die andere Domäne hat den IM auf einem Nicht-GC, also ruft der IM Informationen aus den anderen Domänen ab und repliziert sie bei Bedarf auf die anderen DCs.
Der folgende KB-Artikel stellt dies richtig dar: [FSMO placement and optimization on Active Directory domain controllers]
http://support.microsoft.com/kb/223346/EN-US/
Um es also kurz zu machen:
Der Infrastruktur-Master darf nicht auf einem Global Catalog Server laufen, wenn alle folgenden Voraussetzungen gegeben sind:
- es gibt mehrere Domänen im Forest und
- es gibt Domänencontroller in derselben Domäne, die nicht Global Catalog Server sind.
Der Infrastruktur-Master darf auf einem Global Catalog Server laufen, wenn mindestens eine der folgenden Voraussetzungen gegeben ist:
- es gibt nur eine Domäne im Forest und/oder
- jeder Domänencontroller in derselben Domäne ist auch Global Catalog Server
Hier noch zwei ergänzende Links (Dank an Tatjana Aggoussi):
- 248047 Phantoms, Tombstones and the Infrastructure Master
http://support.microsoft.com/?id=248047 - Details about the Active Directory EventId 1419
http://www.microsoft.com/technet/support/ee/result.aspx?EvtSrc=Active+Directory&EvtID=1419&ProdName=Windows+Operating+System&LCID=1033&ProdVer=5.0
http://faq-o-matic.net/?p=694