在多域林中，当某些（但不是全部）基础结构主机位于全局目录中时，究竟会发生什么？

TechNet上有很多文章，例如这篇文章说，如果基础架构主机也是全球目录，则幻象对象不会得到更新，但是除此之外，关于此过程中实际发生的事情没有很多深入的信息。组态。

想象这样的配置：

|--------------|
| example.com  |
|              |
| dedicated IM |
|--------------|
    |
    |
    |
|-------------------|
| child.example.com |
|                   |
|  IM on a GC       |
|-------------------|

在哪里child有两个都是全局目录的DC，这意味着Infrastructure Master角色在GC上。并且，example在非 GC 的DC上具有三个具有Infrastructure Master角色的DC 。

我了解通常最好只是将所有内容都设为GC，而不必担心这种事情，但是假设情况并非如此- 像这样的设置可以预期的确切错误行为是什么，以及哪个域（ s）这种行为会表现出来吗？孩子还是父母？

不是全局编录的域控制器没有林中每个对象的副本（是否设置了部分属性）。因此，这样的DC必须创建“虚拟”对象以引用来自另一个域的真实对象。

域中的基础结构主机负责更新域中其他DC上的那些幻影引用。为此，它首先引用其域中的全局编录服务器，因为我们假定全局编录具有有关林中所有对象的最完整，最新的知识。

问题是这样的。如果基础结构主机与全局编录是同一服务器，则IM进行更新时（每2天），他将检查GC，而GC也恰好是他本人。“好吧，我在这里没什么区别！” 他说，因为他已经在GC上，所以GC上的内容与IM上的内容之间没有区别...因此，看起来他已经完全是最新的了。现在的问题是他回到梦乡，对无事可做感到满意。这意味着该域中不是GC的其他域控制器不会使用该域间信息进行更新。

编辑：

如果您在example.com中创建了一个对象，则它将复制到child.example.com中的GC，但是由于child.example.com在GC上具有IM，并且还具有非GC的其他DC，因此该新对象将永远不要在child.example.com上的其他DC上为其创建幻像。因此，您将无法从其他DC将新对象添加到ACL或将其放入安全组等中，因为它们将不允许您添加没有引用的主体。正因为如此，因为那样的话，您将遇到各种各样奇怪的参照完整性问题。

反之，如果您在child.example.com中创建了一个新对象，它将复制到example.com，并且可以在example.com中使用该新对象，因为父级中没有任何DC IM无法正确复制到的域。

同样，这就是Microsoft通常建议仅制作所有 DC的GC的原因，因为那样IM能否正常工作并不重要，因为所有DC都是GC仍然拥有所有更新的信息。

编辑：我也只是想回到这篇文章，并提到当启用AD回收站时，基础结构FSMO绝对不执行任何操作：

http://myotherpcisacloud.com/post/2013/04/13/AD-Recycle-Bin-and-a-Eulogy-for-the-Infrastructure-Master.aspx