Active Directory catalog global (global catalog) este adesea numit al șaselea rolul FSMO și este sub un anumit sens. Faptul că rolul global real catalog FSMO nu poate fi cel mai puțin din cauza faptului că acest rol poate fi în orice moment pentru a păstra ca un controler de domeniu, precum și toate controlerele de domeniu de pădure, la o dată. În timp ce rolul operațiunilor flexibile singur de master pot plasa pe tine doar un singur DC și dacă dintr-o dată în pădure într-un fel va fi ca două maestru schemă, aceasta va duce inevitabil la dezastru.
Dar de ce este că „rolul FSMO sasea»? O astfel de definiție, în opinia mea, ar putea da doar un singur motiv - pentru a sublinia importanța acestui rol pentru întreaga pădure AD. Problema locație pe un server de catalog global este într-adevăr foarte importantă pentru funcționarea normală a nu numai AD DS, dar, de asemenea, o serie de alte servicii domennozavisimyh, cum ar fi Exchange Server.
In acest articol voi încerca să facă lumină în sarcinile și operarea serverelor de catalog global, din cauza lor periodic uitat destul de deservedly.
Dacă sunteți interesat de subiecte pentru Windows Server, recomand să se adreseze la categoria Server Windows pe blog-ul meu.
Catalog de Global - Teoria
După cum sa menționat mai sus, global catalog pot fi multiple (sau dintr-o dată) în pădurea DCs. În medii cu o ierarhie complexă de domenii și multiple DC este necesară pentru a asigura o performanță acceptabilă de funcționalitate de zi cu zi cum ar fi obiecte de căutare Forest. Plain magazine obișnuite controler de domeniu la o replică completă a obiectului din domeniul dvs., dar nu și în alte domenii în pădure. Asta este de a găsi, de exemplu, un utilizator al domeniului A. Controlerul de domeniu trebuie să contacteze unul din domeniul DC A pentru a efectua o operațiune de căutare, dar această operație este nevoie în mod clar un timp relativ lung, mai ales în cazul în care toate controlerele de domeniu A geografic situat într-un complet diferit locul și, de asemenea, nu cu canalul de comunicare bună.
Pentru a putea căuta rapid obiecte din alte domenii. aveți sprijinul catalogului global care stochează la o replică parțială a datelor tuturor pădurii. în plus față de baza de date cu propriile obiecte de domeniu.
Cele de mai sus este cel mai bine ilustrată de imaginea documentației oficiale 1:
mai mult - - nume de domenii sunt nici alternative cunoscute pot fi definite în domenii. Acest lucru poate fi necesar pentru a facilita datele introduse de utilizator sau pentru a spori securitatea. Dacă aveți mai multe UPN-sufix pentru fiecare cont individual, puteți specifica un sufix pentru a crea uchetki sau în proprietățile deja stabilite:
[email protected] că utilizatorul se poate conecta la domeniul stație de lucru dev.corp.bissquit.com. dev.corp.bissquit.com controlere de domeniu ar trebui să aibă acces la catalogul global pentru autentificarea utilizatorului și permisiunea acordată el (desigur, acest utilizator trebuie să aibă dreptul să vă conectați pe plan local pe stația de lucru).
Pentru mai multe informații despre grupurile universale, a se vedea. A se vedea domeniul de aplicare Group. Pentru mai multe informații despre grupurile universale și replicare, vezi. Secțiuni catalog global replicare și cataloage globale și site-uri.
După cum sa menționat mai sus, unele aplicații depind în mare măsură de disponibilitatea catalogului global. Cum ar fi Exchange Server preia informațiile despre destinatari este prin GC.
Pentru a trage concluzii din cele de mai sus, precum și să completeze informațiile prin alte fapte:
- Instalarea AD DS pe primul controler de domeniu în pădure, controlerul devine la fel și directorul la nivel mondial;
- Aceste catalog global (replici parțiale a altor domenii din pădure) răspândit prin mecanismul de replicare;
- Disponibilitatea catalogului la nivel mondial depinde în mare măsură de serviciile DNS, deoarece controlerul de start-up sau la sfârșitul replicării inițiale, NETLOGON publică SRV-înregistrare, indicând faptul că acest server este un server de catalog global. Ulterior, clienții știu de existența numele serverului GC din datele DNS;
- Catalogul globală realizează „conexiunea“ de un domeniu în pădure cu celelalte - caută pentru obiecte în alte domenii implicate în autentificarea utilizatorilor altor domenii de pe stațiile de lucru lor, definește adeziunea la un grup universal, permite UPN-nume.
Din toate acestea se poate concluziona că catalogul global este deosebit de important atunci când vine vorba de infrastructura multi-domeniu. Apoi, trece la cele mai bune practici ale administrației.
Cele mai bune practici
Din motive de rezistență, este esențial să se mențină catalogul global cel puțin câteva controlere de domeniu. Ar fi mai bine dacă în fiecare domeniu va fi de cel puțin un GC. Cu toate acestea, dacă aveți posibilitatea de a face mai bine serverele de catalog global în fiecare DC în pădure. Acest lucru are un impact pozitiv și asupra sarcinii de echilibrare, să nu mai vorbim de faptul că din acest moment poți avea grijă de greu infrastructurii FSMO-rol de gazdă (a se vedea. În articolul).
Dacă tot nu ajunge să facă toate DC un server de catalog global, apoi asigurați-vă că serverul este proprietarul rolului proprietarului infrastructurii nu se află pe un server de catalog global, în caz contrar se va opri funcționarea acestuia (nu se va crea intrări-fantomă / modificată) și ca o consecință - apariția de date irelevante.
administrare
5 face un server de catalog global, din Active Directory, puteți fixa - site-uri și sluzhby6. Pentru a face acest lucru, deschideți utilitarul de completare snap-in, localizați controlerul de domeniu (1) pe care doriți să faceți un server GC, și faceți clic dreapta pe Setări NTDS (2) serverul pe care doriți, deschideți proprietățile:
Fereastra Properties se deschide și fila General, aveți nevoie pentru a pune o căpușă lângă Catalogul Global. De îndată ce catalogul replicarea la nivel mondial a datelor este completată, prin SRV-post, el însuși a declarat serverul GC.
Mai sus am menționat UPN-sufixul. Pentru a adăuga sufixe suplimentare 7. aveți nevoie pentru a merge la Active Directory de completare snap - Domenii si Trusturi. Apoi - faceți clic dreapta pe numele de completare snap-in și du-te la proprietăți:
Aici puteți adăuga suplimentar UPN-sufix și deja la crearea / editarea conturilor de utilizator selectați dorit.
De asemenea, este posibil să se creeze propriile 8 septembrie atribute AD. Acest lucru se poate face prin intermediul Active Directory Schema (pentru detalii, vezi Schema de master -. Active Directory schema de master). Desigur, în orice modificări ale schemei trebuie să fie atent și să înțeleagă în mod clar ce aceste sau alte acțiuni pot duce, în caz contrar, este mai bine să nu urce:
Ei bine, a verifica disponibilitatea serverelor GC poate fi sub instrucțiunea 11:
1) Deschideți LDP Snap-in. Pentru a deschide Ldp, faceți clic pe Start. faceți clic pe Executare. introduceți LDP. și apoi faceți clic pe OK.
Pentru a deschide Ldp în. LDP.
2) În meniul Connection, faceți clic pe Conectare.
3) În Connect, introduceți numele serverului pe care există un catalog global a cărui dorință de a testa.
4) În caseta Port, introduceți 389. În cazul în care valoarea de 389 nu apare.
5) Debifați fără conexiune și faceți clic pe OK.
6) În panoul de detalii, verificați dacă atributul isGlobalCatalogReady este setat la TRUE.
7) În meniul Connection, faceți clic pe Deconectare. apoi închideți utilitarul de completare snap LDP.
