Server de catalog global

În plus față de cele cinci roluri FSMO din Active Directory, există un al șaselea rol pentru controlerul de domeniu, catalogul global (GC). Spre deosebire de FSMO, orice controler dintr-un domeniu poate avea rolul catalogului global; nu necesită unicitatea serverului într-un domeniu sau în pădure. Cu toate acestea, catalogul global este cel mai important din punct de vedere practic al rolului controlorului de domeniu. Și de asta.

Un catalog global este un controler de domeniu care stochează copii ale tuturor obiectelor Active Directory din pădure. Se stochează o copie completă a tuturor obiectelor din directorul domeniului dvs. și o copie parțială a tuturor obiectelor din toate celelalte domenii ale domeniului. Astfel, catalogul global permite utilizatorilor și aplicațiilor să găsească obiecte în orice domeniu al pădurii curente, prin căutarea atributelor incluse în catalogul global.

Catalogul global conține un set de atribute de bază, dar incomplet (Set parțial de atribute, PAT) pentru fiecare obiect de pădure din fiecare domeniu. Datele GC sunt preluate din toate partițiile din directorul de domenii din pădure, fiind copiate utilizând procesul de replicare AD standard. Fie că atributul este copiat în catalogul global este determinat de schemă. Dacă este necesar, puteți configura atribute suplimentare care vor fi replicate în GC utilizând modulul snap-in Active Directory Schema. Pentru a adăuga un atribut catalogului global, trebuie să selectați opțiunea Copiați acest atribut în catalogul global pe atributul propriu-zis. Ca rezultat, valoarea parametrului atributului isMemberOfPartialAttributeSet este setată la true (true).

Cum pot afla unde se află catalogul global? Pentru domeniul curent, introduceți pur și simplu linia de comandă:

serverul dsquery -isgc

Ca rezultat, vom obține o listă de servere DN din catalogul global, de exemplu: "CN = SRV1, CN = Servere, CN = Site-uri primite, CN = Configurație, DC = contoso,

Comanda serverului dsquery poate fi de asemenea utilizată pentru a căuta servere GC într-un anumit domeniu, pădure sau site. De exemplu:

serverul dsquery -domeniu contoso.com -isgc - căutați servere de catalog globale în domeniul contoso.com;
dsquery server -forest -isgc - căutarea de servere GC în întreaga pădure;
dsquery server-site Default-First-Site-Name-căuta site-ul Default-First-Site-Name.

Rețineți că pentru a căuta în catalogul global de pe site trebuie să cunoașteți numele complet al site-ului și nu puteți utiliza caractere cu machete.

Cum este găzduit catalogul global? Primul server GC este creat automat pe primul controler de domeniu din pădure atunci când instalați Active Directory Domain Services. În cazul unui singur site, chiar dacă acesta conține mai multe domenii, un singur server de catalog global este de obicei suficient pentru a procesa cererile și intrările în Active Directory. Într-un mediu cu mai multe site-uri, pentru a optimiza performanța rețelei, vă recomandăm să adăugați servere GC pentru a vă asigura un răspuns rapid la interogările de căutare și o conectare rapidă. De asemenea, cel puțin un server de catalog global trebuie să fie prezent pe fiecare site AD unde Exchange trebuie să fie instalat.

Puteți desemna controlere de domeniu suplimentare ca GC selectând opțiunea de catalog global din modulul snap-in pentru administrarea site-urilor și serviciilor Active Directory.

Serverul catalogului global este utilizat în următoarele situații:

Pentru a accesa obiectele, Active Directory utilizează Lightweight Directory Access Protocol (LDAP). Solicitările de căutare LDAP pot fi trimise și primite de către serviciul de directoare AD pe portul 389 (portul LDAP implicit) și portul 3268 (portul GC).

Când o solicitare de căutare este trimisă la portul 389, căutarea se efectuează în secțiunea directorului unui domeniu. Dacă obiectul nu este în domeniul curent, controlerul de domeniu transmite solicitarea către controlerul de domeniu din domeniul specificat în numele distins al obiectului (nume distinctiv, DN).

Notă. Obiectul DN este un atribut al fiecărui obiect care îi reprezintă numele și locația în pădurea AD, de exemplu "CN = Mike, OU = utilizatori, DC = contoso, DC = com".

Dacă interogarea de căutare este trimisă la portul 3268, atunci toate partițiile de directoare din pădure sunt interogate, adică căutarea este procesată de serverul catalogului global. Deoarece catalogul global conține o listă completă a tuturor obiectelor forestiere, serverul GC poate răspunde la orice solicitare fără a trebui să-l transmită altui controler de domeniu. Apropo, numai serverele de cataloage globale pot primi cereri LDAP prin portul 3268.

Astfel, dacă un utilizator caută un obiect prin specificarea parametrului "Toate directoarele" din interogare, această solicitare este redirecționată către portul 3268 și trimisă pentru permisiunea serverului GC. Dacă, din orice motiv, nu există niciun server GC în domeniu, utilizatorii și aplicațiile nu vor putea efectua căutări în pădure. De asemenea, merită remarcat faptul că catalogul global conține toate permisiunile pentru fiecare obiect și atribut și dacă căutați un obiect la care nu aveți acces, nu îl veți vedea în lista cu rezultatele căutării. În consecință, utilizatorii pot găsi numai acele obiecte pentru care le este permis accesul.

  • Verificarea apartenenței în grupuri universale într-un mediu cu mai multe domenii

Notă. Dacă există un singur domeniu în pădure, atunci când vă conectați la sistem, nu este nevoie să obțineți calitatea de membru în grupurile universale din catalogul global. Acest lucru se datorează faptului că AD detectează absența altor domenii din pădure și împiedică catalogul global să trimită o solicitare pentru aceste informații.

Controlorul de domeniu utilizează un catalog global pentru a valida referințele la obiecte din alte domenii din pădure. Adică dacă controlerul de domeniu conține un obiect cu un atribut care conține o referință la un obiect dintr-un alt domeniu, controlerul de domeniu verifică legătura stabilind o conexiune la serverul de catalog global.

Pentru a rezuma: Dacă nu aveți acces la serverul de catalog global, utilizatorii nu vor putea să se conecteze și serverul de e-mail Exchange nu va putea să trimită și să primească poștă. De aceea, catalogul global este cel mai important rol al controlorului de domeniu, fără de care funcționarea Active Directory este aproape imposibilă.

Articole similare