Fiecare administrator de sistem care funcționează cu Active Directory Domain Services, cel puțin o dată în timpul activității sale se confruntă cu un catalog global, dar nu toată lumea crede că administratorul de sistem, ceea ce este catalogul global, și ceea ce este pentru. Catalog Global (Global Catalog sau GC) este un depozit de baze de date distribuite, care stochează informații despre fiecare obiect, și facilitează, de asemenea, căutarea în pădure Active Directory. Catalogul la nivel mondial este stocat pe controlerele de domeniu care sunt desemnate ca servere de catalog global și distribuite prin replicare cu mai multe colegii. Primul controler de domeniu instalat în pădure este configurat automat ca un server de catalog global. Puteți transfera posibilitatea unui catalog global la alte controlere de domeniu, precum și a schimba locația catalogul global este instalat în mod implicit, ceea ce indică un controler diferit. Catalogul globală permite utilizatorilor și aplicații pentru a găsi obiecte în orice domeniu în pădure curentă prin căutarea atributele incluse în catalogul global, care sunt identificate în schema ca un anumit set de atribute (Atribut set parțial, PAT). Să presupunem că aveți o pădure cu trei domenii, fiecare domeniu conține două controlere de domeniu. Toate cele șase controlere de domeniu suportă replicarea schemelor și configurația pădurilor. Prin urmare, controlerele de domeniu A conține contextul domeniului de denumire A controlere replica în domeniul B - domeniu replica denumire B și C, respectiv, controlerele de domeniu de domeniu replica C. Luați în considerare următorul scenariu: Domeniul C utilizatorul vrea să găsească domeniul utilizatorului A. În acest caz, atunci când un utilizator efectuează un domeniu de căutare, domeniul C al obiectului a, rezultatele interogării oferă un director la nivel mondial. Dar dacă obiectul conține un atribut specific care nu este activat în mod implicit în catalogul global, puteți adăuga acest atribut folosind „Driving Active Directory» completare snap. Astfel, în cazul în care nu au fost pentru serverul de catalog global este un controler de domeniu care primește cereri de căutare de obiecte în alte domenii pentru interogări transmise operatorului în domeniul obiectului dorit de căutare. În acest articol veți învăța despre conceptul însuși de un server catalog global, arhitectura lor, protocoale, procese, structura fizică, dar și despre multe nuanțe asociate cu această tehnologie.
Interacțiunea catalogului global cu alte tehnologii server
Serverele de servere globale interacționează cu următoarele tehnologii:
Instalați Active Directory. Catalogul global este configurat automat pe primul controler de domeniu instalat în pădure;
Interacțiunea serverelor de servere globale cu tehnologiile serverului este după cum urmează:
Fig. 1. Un exemplu de modul în care interacționează serverele catalogului global cu serviciile de domeniu Active Directory
După crearea unui nou controler de domeniu DC02, administratorul de sistem îl definește ca un server de catalog global și replică un set parțial de atribute din DC01. În domeniul A, DC01 replică modificările pentru DC02 din domeniul A, iar DC02 replică actualizările de date pentru DC01 din domeniul B.
În etapa „A“ computer client KlientH trimite o cerere la catalogul global, care redirecționează cererea DNS la server pentru a căuta cel mai apropiat server catalog global „B“, apoi contactele client server catalog global pentru a efectua interogarea sa de „C“.
Dezvoltare și scenarii pentru utilizarea serverelor de catalog globale
Un server de catalog global este de obicei utilizat în situațiile care sunt acoperite în următoarele subsecțiuni.
Căutați obiecte
Deoarece controlerul de domeniu care funcționează ca server de catalog global conține obiecte din toate domeniile din pădure, catalogul global oferă utilizatorilor și aplicațiilor capacitatea de a căuta date de director în toate domeniile forestiere, indiferent de locația de stocare. Dacă pădurea dvs. constă dintr-un singur domeniu, atunci toate controlerele de domeniu au acces complet pentru a scrie instanțe ale fiecărui obiect din domeniul forestier. Când un utilizator caută un director de securitate, opțiunea "Start" din interogare afișează opțiunea "Toate directorul". atunci căutarea este efectuată direct în catalogul global.
Pentru a accesa obiectele, Active Directory utilizează Lightweight Directory Access Protocol (LDAP). cereri de căutare LDAP pot fi trimise și primite de servicii de director Active Directory pe portul 389 (LDAP, portul implicit) și portul 3268 (catalog de port global). trafic LDAP care utilizează Secure Sockets Layer (SSL) protocol de autentificare oferă acces la porturile 686 și 3269 în consecință, comportamentul de căutare care se aplică la porturile 389 și 3268 sunt, de asemenea, aplicate la cererile LDAP corespunzătoare prin porturile 686 și 3269 Atunci când este trimisă cererea de căutare la portul 389, căutarea este efectuată în secțiunea de directoare a unui domeniu. Dacă subiectul nu se află în domeniu, a se vedea schema de director sau de configurare, controlerul de domeniu transmite cererea către un controler de domeniu în domeniu care este specificat în numele distinctiv al obiectului. În cazul în care cererea de căutare este trimisă la portul 3268, apoi sondaje toate partițiile director din pădure, care este, de căutare este procesat de un server de catalog global. Este demn de atenție faptului că numai serverele de catalog global pot primi cereri de LDAP pe portul 3268.
După ce utilizatorul introduce cererea sa, această solicitare este redirecționată către portul 3268 și trimisă pentru permisiunea serverului catalogului global. La rândul său, dacă pentru orice motiv din domeniul dvs. Active Directory nu există niciun server de catalog global, utilizatorii sau aplicațiile dvs. nu vor putea efectua căutări în pădure. De asemenea, merită remarcat faptul că toate replicile reproduse în catalogul global includ toate drepturile de acces pentru fiecare obiect și atribut. Aceasta înseamnă că, dacă căutați un obiect căruia i se refuză accesul, nu îl veți vedea în lista cu rezultatele căutării. În consecință, utilizatorii vor putea găsi numai acele obiecte pentru care li se permite accesul;
Confirmarea referințelor la obiecte din pădure.
Controlorul de domeniu utilizează un catalog global pentru a valida referințele la obiecte din alte domenii din pădure. Aceasta înseamnă că, dacă controlerul de domeniu conține un obiect cu un atribut care conține o referință la un obiect dintr-un alt domeniu, controlerul de domeniu verifică legătura stabilind o conexiune la serverul catalogului global;
Autentificare nume de utilizator.
Procesul de interacțiune dintre intrarea utilizatorului și catalogul global arată astfel:
Fig. 2. Procesul de interacțiune între logarea utilizatorului și catalogul global
- Deoarece domeniul utilizatorului nu coincide neapărat cu sufixul UPN, controlerul de domeniu se uită la principiile celui mai apropiat domeniu din site-ul în care este localizat computerul client;
- Controlerul de domeniu pe care clientul încearcă să îl contactează determină dacă numele DNS din sufixul numelui principal al utilizatorului este un domeniu, cu un controler de domeniu autorizat. Dacă numele de domeniu din sufixul UPN se potrivește cu domeniul controlerului de domeniu care gestionează autentificarea clientului, dar numele de utilizator nu a fost găsit, controlerul de domeniu comunică cu serverul de catalog global. De asemenea, dacă numele de domeniu din sufixul UPN nu se potrivește cu domeniul controlerului de domeniu, atunci controlerul de domeniu comunică cu serverul catalogului global;
- Utilizând atributul userPrincipalName al obiectului utilizator, serverul catalogului global caută numele distins al obiectului utilizatorului și returnează această valoare controlerului de domeniu;
- Controlerul de domeniu preia numele de domeniu de la numele distins și returnează valoarea primită clientului;
- Clientul solicită un domeniu de domeniu pentru domeniul său.
Informații despre apartenența la grupuri universale într-un mediu cu mai multe domenii.
Un grup universal este, de asemenea, un grup de securitate care vă permite să gestionați resursele distribuite pe mai multe domenii. În timpul executării interogării interactive, controlerul de domeniu preia SID-urile computerului utilizatorului. Din acest motiv, atributul universal al membrului este membru. care conține o listă de membri din grup, este reprodusă în catalogul global. De exemplu, un utilizator dintr-o pădure cu domenii multiple se conectează la un domeniu în care sunt permise grupuri universale. În acest caz, controlorul de domeniu, pentru a obține calitatea de membru în grupuri universale, trebuie să contacteze serverul catalogului global. Dacă utilizatorul nu sa conectat niciodată la domeniu și serverul catalogului global nu este disponibil, acesta se poate loga numai local la sistem. Cu toate acestea, dacă serverul de catalog global nu este disponibil atunci când utilizatorul se conectează la un domeniu în care sunt disponibile grupuri universale și utilizatorul sa conectat deja la domeniu, clientul client al clientului poate să utilizeze datele de conectare memorate în memoria cache.
Memorarea statutului de membru în grupuri universale.
Prin urmare, pentru controlorii de domeniu cu comunicații nesigure cu un server de catalog global, este recomandat să activați și să configurați cache-ul de membru pentru grupurile universale. În același timp, informațiile despre participarea utilizatorilor în grupuri universale pot fi actualizate la 500 de membri la fiecare 8 ore. După prima conectare, memoria cache a utilizatorului este actualizată periodic timp de 180 de zile.
În mod implicit, atributele pentru obiectele de utilizator și de computer nu sunt populate. În următoarea ilustrație, veți vedea un exemplu de construire a unei liste de ID-uri de securitate pentru un controler de domeniu pentru cache:
Fig. 3. Un exemplu de construire a unei liste de ID-uri de securitate de către un controler de domeniu pentru cache
Catalogul global de arhitectură
Arhitectura serverului catalogului global este diferită de arhitectura serverului care nu are un rol de catalog global, utilizând un port LDAP non-standard 3268 care rutează interogările direct în catalogul global. Cererile care merg la portul 3268 se formează la fel ca orice solicitare LDAP, dar Active Directory Domain Services modifică comportamentul căutării, în funcție de portul utilizat. Adică cererile pentru portul 3268 sunt direcționate către partițiile directorului catalogului global, incluzând partițiile de directoare de tipul "read-only" pentru care acest server este autorizat. Solicitările pentru portul 389 sunt direcționate către un domeniu care poate fi scris, precum și către secțiunile din directorul de configurare, aplicațiile și schemele de replică care sunt localizate pe serverul catalogului global ca un controler de domeniu. În plus, atunci când comunicați cu serverele de catalog globale pentru a obține calitatea de membru universal în grup când un utilizator se conectează la sistem, controlerele de domeniu utilizează interfața de replicare proprietară.
În consecință, principalele componente ale catalogului global includ:
Următoarea ilustrație prezintă arhitectura catalogului global:
Fig. 4. Arhitectura catalogului global
Protocoale cataloage globale
Protocoalele și interfețele pentru toate controlerele de domeniu sunt aceleași și nu există protocoale specifice pentru serverele de catalog globale. În acest caz, ne interesează patru interfețe și trei protocoale. Importanța unui catalog la nivel mondial este faptul că un controler de domeniu utilizând protocoalele sale de replicare proprii RPC nu numai pentru replicare, dar, de asemenea, pentru a comunica cu un server de catalog global atunci când preluați informații despre calitatea de membru universal de grup și membri actualizează memoria cache în grup, atunci când „Caching membrii în grupuri universale ". Pentru toate cerințele catalogului global, se utilizează următoarele protocoale:
- Protocol de acces ușor la director (LDAP).
- Simplu protocol de transfer de mail (SMTP).
- Apel de procedură la distanță (RPC).
Următoarea ilustrație prezintă protocoalele de catalog globale:
Fig. 5. Interfețe și protocoale ale catalogului global
Structura fizică a catalogului global
Ca rol de controlor de domeniu, catalogul global stochează o partiție de director de domeniu de scriere în care sunt localizate obiecte cu toate atributele. Este, de asemenea, un server de catalog global stochează un atribut set parțial (PAS), cu dreptul de a citi toate obiectele din alte domenii într-o pădure multidomeniu. Obiectele de schemă care definesc atributele sunt obiecte attributeSchema care includ atributul isMemberOfPartialAttributeSet. Dacă valoarea acestui atribut este TRUE, atunci atributul este reprodus în catalogul global. Global topologie replicare catalog este generat automat de KCC (Knowledge Consecvența Verificator, KCC) - un proces integrat care pune în aplicare o topologie de replicare care asigură livrarea conținutului de director al fiecărei secțiuni pentru fiecare server de catalog global.
O reprezentare fizică a directorului de date la nivel mondial nu este diferit de controlerul de domeniu, care este, în magazinele de date globale Catalog Ntds.dit atribute ale unui obiect într-un singur fișier. Un controler de domeniu care nu este un server catalog global, fișierul Ntds.dit conține replică inscriptibil a fiecărui obiect în partiție director un domeniu pentru domeniul dvs., precum și partiții de director inscriptibil, și configurația circuitului.
De exemplu, luați în considerare un scenariu destul de tipic. Serverul catalogului global găzduiește o replică completă a domeniului său, precum și o replică parțială a tuturor domeniilor forestiere. Pe acest server de catalog global, toate partițiile de directoare de pe serverul catalogului global sunt stocate în fișierul bazei de date catalog (Ntds.dit). În consecință, în acest caz nu există un depozit separat al atributelor catalogului global.
Componentele structurii fizice a unui catalog global includ:
- Fișierul de bază de date Ntds.dit care stochează replici ale obiectelor Active Directory care sunt găzduite de orice controler de domeniu, inclusiv servere de catalog globale;
- Pădurea Active Directory, adică setul de domenii care alcătuiesc structura logică a Active Directory și care pot fi căutate în catalogul global;
- Controlerele de domeniu care stochează o singură secțiune completă a unui director de domeniu de scriere și a configurației directorului de pădure și a partițiilor de schemă;
- Un server de catalog global care este un controler de domeniu care conține o replică completă de înregistrare a fiecărui obiect în secțiunea catalog a aceluiași domeniu pentru domeniul său, precum și replicile domeniilor rămase din pădurea multidomene care sunt disponibile pentru citire.
Următoarea ilustrație prezintă structura fizică a catalogului global:
Fig. 6. Structura fizică a catalogului global
concluzie
> La rândul său, controlerul de domeniu poate determina întotdeauna calitatea de membru al unui grup local sau un grup de domeniu la nivel mondial pentru orice utilizator din același domeniu, dar apartenența la aceste grupuri nu este replicată la catalogul global, deoarece aceste grupuri de membri pot fi utilizatori din diferite domenii.
Dar permiteți-mi, utilizatorii de domenii diferite pot fi membri ai grupurilor locale.