Maestro de Infraestructura y Catálogo Global en mismo DC
zubero
Estoy leyendo sobre la coexistencia del Maestro de Infraestructuras y del
Servidor de Catálogo Global en el mismo Controlador Dominio, pero no acabo
de entender por qué no es posible.
Se comenta que el maestro de infraestructura no funcionará, pero ¿cuál es
el motivo?
Por una parte, se requiere que el maestro de infraestructura no esté en el
mismo DC que haga función de GC,pero sí que esté bien conectado con éste.
No obstante, si están en el mismo equipo, el maestro de infraestructura
nunca buscará datos que no estén actualizados, por lo que nunca replicará
ningún cambio al resto de los DC's del dominio.
¿Alguien me podría aclarar un poco este concepto?
Gracias de antemano,
--
Carlos Jiménez
CCNA, CEH
Microsoft Certified Professional
Roberto Di Lello
Esta recomendación es para cuando tenes múltiples dominios.
--
Roberto
Di'Lello | MCSE 2008 / 2003 - MCSA Messaging 2003 - MCTS | roberto...@radians.com.ar | www.radians.com.ar
--
Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS"
with no warranties, and confer no rights. You assume all risk for your
use.
--
"zubero" <zub...@e-mail.com> escribió en el mensaje de noticias:Xns9ADDD7F9...@207.46.248.16...
Guilermo Delprato [MS-MVP]
Primero hay que tener claro qué es lo que hace el Maestro de
Infraestructura.
Piensa este escenario, en un ambiente de múltiples dominios
Un UsuarioA, con cuenta en el DominioA
Este UsuarioA, está en un grupo del DominioB
Por lo tanto en el DominioB, en el grupo, hay una referencia (puntero) al
UsuarioA del DominioA
Ahora, por el motivo que sea, mueves el UsuarioA, a un DominioC
¿Cómo hacemos para actualizar este puntero? ¿Cómo se da cuenta el sistema
que este puntero a la cuenta DominioA, ahora debe apuntar a la cuenta del
DominioC?
El Maestro de Infraestructura revisa periódicamente su base de AD para
verificar inconsistencias, específicamente consultando al Catálogo Global
Si él mismo es Catálogo Global, como consulta su propia copia del AD, no
detecta nada
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/
Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.
------------------------------------------------
"zubero" <zub...@e-mail.com> wrote in message
news:Xns9ADDD7F9...@207.46.248.16...
zubero
<guillermo.de...@BORRAR.mug.org.ar> wrote in
news:eSLiLOA6...@TK2MSFTNGP02.phx.gbl:
> A ver si puedo aclararte un poco ;-)
> Primero hay que tener claro qué es lo que hace el Maestro de
> Infraestructura.
>
> Piensa este escenario, en un ambiente de múltiples dominios
> Un UsuarioA, con cuenta en el DominioA
> Este UsuarioA, está en un grupo del DominioB
> Por lo tanto en el DominioB, en el grupo, hay una referencia (puntero)
> al UsuarioA del DominioA
> Ahora, por el motivo que sea, mueves el UsuarioA, a un DominioC
>
> ¿Cómo hacemos para actualizar este puntero? ¿Cómo se da cuenta el
> sistema que este puntero a la cuenta DominioA, ahora debe apuntar a la
> cuenta del DominioC?
> El Maestro de Infraestructura revisa periódicamente su base de AD para
> verificar inconsistencias, específicamente consultando al Catálogo
> Global Si él mismo es Catálogo Global, como consulta su propia copia
> del AD, no detecta nada
>
>
Muchas gracias por la explicación, Guillermo.
De todas formas, si no lo he entendido malamente, si se produce cualquier
cambio a nivel de pertenencia a grupos, el cambio se puede hacer en un DC
que no sea el Maestro de Infraestructura, por lo tanto, de una u otra
forma, se entera de dicho cambio y comprueba su "consistencia", ¿correcto?
A partir de ahí, lo contrasta con el Global Catalog y, si hay cambio,
replica dicho cambio al resto de DC's. De ahí, como bien comentas, si el
mismo DC tiene ambas funcionalidades, no se entera de cambio alguno.
Ahora bien, si hacemos dicha modificación en un DC no FSMO Infraestructura,
¿cómo se "entera" éste último?
Saludos,
zubero
news:ux2LyQ45...@TK2MSFTNGP03.phx.gbl:
> Esta recomendación es para cuando tenes múltiples dominios.
>
>
>
> Existe una excepción a esta regla, la Global Catalog puede estar
> configurada en el servidor que tiene el rol infraestructure Master si
> todos los DC en el dominio también son Global Catalog. El rol
> infraestructure Master mantiene la integridad referencial de seguridad
> asociados con los objetos de dominio que residen en otros contexto.
>
> Por ejemplo, si tienes un dominio A que tiene un grupo con un usuario
> en el dominio B como miembro. Si la ubicación del usuario B cambia
> (por ejemplo moverlo de una ou a otra) genera que el infraestructure
> Master del dominio A realice el update. Ahora si el Infraestructure
> MAster es ademas GC, ya ha aplicado los cambios en todo el dominio sin
> la necesidad de que el rol genere el update.
>
> Te dejo una nota de la KB que habla sobre el tema.
> Fantasmas, desechos y el maestro de infraestructuras
> http://support.microsoft.com/?id=248047
>
>
>
> --
> Roberto Di'Lello | MCSE 2008 / 2003 - MCSA Messaging 2003 - MCTS |
> roberto...@radians.com.ar | www.radians.com.ar
>
Muchas gracias por la explicación, Roberto. La nota de la KB me ha ayudado
bastante a verlo más claro.
Sólo un inciso, en la excepción que comentas, donde todos los DC's de un
dominio son GC, dada este escenario, no sería necesario un FSMO
Infraestructura, ¿no?
Saludos,
Guilermo Delprato [MS-MVP]
consultará
Si entiendo bien tu pregunta :-)
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/
Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.
------------------------------------------------
"zubero" <zub...@e-mail.com> wrote in message
news:Xns9AE1D1F3...@207.46.248.16...
zubero
wrote in news:eW7oS2y6...@TK2MSFTNGP06.phx.gbl:
> Porque el cambio se replicar� a un GC y el Infrastructure Master lo
> consultar�
> Si entiendo bien tu pregunta :-)
>
Gracias, Guillermo.
Entonces, el GC siempre se ha de actualizar antes que el FSMO
Infraestructura, �correcto? Porque a partir de ah�, es en lo que se basa el
Infraestructure Master para mantener su BBDD, �no? �Qui�n consulta entonces
al FSMO Infraestructure?
A partir de aqu�, �qu� asegura la integridad de la informaci�n que
actualiza el FSMO de Infraestructura? Es decir, en un bosque extenso con
diversos dominios, sitios y GC's, podr�a darse el caso que al modificar la
pertenencia a grupos de diversos usuarios de diferentes dominios, tarde
cierto tiempo en replicarse a todos los GC's, y el FSMO de uno de los
dominios "afectados" consultara el GC, que todav�a no estuviera actualizado
con estos cambios, y por lo tanto, el Maestro de Infraestructura no
reflejar�a esta informaci�n actualizada de Active Directory. �Puede darse
esta situaci�n?
Saludos,
--
Carlos Jim�nez
Guilermo Delprato [MS-MVP]
A ver si puedo resumir según entiendo
El Infrastructure Master revisa los integrantes de los grupos de SU propio
dominio, cuando encuentra una cuenta de otro dominio, consulta al GC a ver
si esa cuenta "existe en el lugar donde la tiene apuntada".
Si está: todo bien, sigamos adelante
Si no está: entiendo que buscando en el GC por el GUID de la cuenta puede
encontrarla y actualizar sus datos
En AD no se asegura que los datos sean consistentes en todo momento, hay un
período de convergencia hasta que la información se replica en todos los DCs
--
Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/
Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.
------------------------------------------------
"zubero" <zub...@e-mail.com> wrote in message
news:Xns9AE2A5A4...@207.46.248.16...
> "Guilermo Delprato [MS-MVP]" <guillermo.de...@BORRAR.mug.org.ar>
> wrote in news:eW7oS2y6...@TK2MSFTNGP06.phx.gbl:
>
>> Porque el cambio se replicará a un GC y el Infrastructure Master lo
>> consultará
>> Si entiendo bien tu pregunta :-)
>>
>
>
> Gracias, Guillermo.
> Entonces, el GC siempre se ha de actualizar antes que el FSMO
> Infraestructura, ¿correcto? Porque a partir de ahí, es en lo que se basa
> el
> Infraestructure Master para mantener su BBDD, ¿no? ¿Quién consulta
> entonces
> al FSMO Infraestructure?
> A partir de aquí, ¿qué asegura la integridad de la información que
> actualiza el FSMO de Infraestructura? Es decir, en un bosque extenso con
> diversos dominios, sitios y GC's, podría darse el caso que al modificar la
> pertenencia a grupos de diversos usuarios de diferentes dominios, tarde
> cierto tiempo en replicarse a todos los GC's, y el FSMO de uno de los
> dominios "afectados" consultara el GC, que todavía no estuviera
> actualizado
> con estos cambios, y por lo tanto, el Maestro de Infraestructura no
> reflejaría esta información actualizada de Active Directory. ¿Puede darse
> esta situación?
>
>
> Saludos,
>
> --
> Carlos Jiménez
zubero
> Que me estás preguntando cosas que nunca profundicé :-)
> A ver si puedo resumir según entiendo
> El Infrastructure Master revisa los integrantes de los grupos de SU
> propio dominio, cuando encuentra una cuenta de otro dominio, consulta
> al GC a ver si esa cuenta "existe en el lugar donde la tiene
> apuntada". Si está: todo bien, sigamos adelante
> Si no está: entiendo que buscando en el GC por el GUID de la cuenta
> puede encontrarla y actualizar sus datos
>
> En AD no se asegura que los datos sean consistentes en todo momento,
> hay un período de convergencia hasta que la información se replica en
> todos los DCs
>
Disculpa por la demora en mi respuesta.
Gracias por la explicación, Guillermo. Me ha quedado mucho más claro.