Серверы глобального каталога
🕛 08.01.2009, 18:25
На сервере глобального каталога находится глобальный каталог (GC). Он является частичной, предназначенной только для чтения копией всех контекстов именования домена (NC - Naming Context) в лесу. Каталог GC содержит основной, но неполный набор атрибутов для каждого объекта леса в каждом домене NC. Данные каталога GC получают из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.Совет. Будет ли атрибут скопирован в каталог GC, определяется схемой. Администраторы могут конфигурировать дополнительные атрибуты, которые будут реплицироваться в каталог GC, используя меню Active Directory Schema (Схема Active Directory), встроенное в консоль управления ММС. Чтобы добавить атрибут к каталогу GC, выберите опцию Replicate This Attribute To The Global Catalog (Копировать этот атрибут в глобальный каталог) на самом атрибуте. В результате значение параметра атрибута isMemberOfPartialAttributeSet будет установлено на true (истина). Вы можете добавлять атрибут к глобальному каталогу, если ожидаете, что пользователям потребуется искать этот объект в лесу. Редко упоминаемые атрибуты обычно не добавляются к каталогу GC.
Первый контроллер домена, установленный в домене, автоматически является контроллером глобального каталога. Дополнительные контроллеры домена можно назначить как GC, выбирая опцию Global Catalog Server (Сервер глобального каталога) в инструменте администрирования Active Directory Sites And Services (Сайты и службы Active Directory). Это делается с целью оптимизации входа в систему. Как используется каталог GC в процессе входа в систему, описано далее в этом разделе. В главе 5 дается более подробная информация о количестве GC-серверов, которое потребуется при развертывании, и о том, где их следует располагать.
Вы можете задаться вопросом, зачем вообще нужны GC-серверы. Во-первых, они используются для поиска в Active Directory. Без каталога GC поиск по запросам, полученным контроллером домена, который не обладает запрошенным объектом, приведет к тому, что он переправит запрос на контроллер домена другого домена. Поскольку GC-каталог содержит полный список всех объектов леса (и не содержит атрибуты объекта), GC-сервер может ответить на любой запрос, используя атрибут, который копировался в GC-каталог, без необходимости передавать его другому контроллеру домена. Запрос, который послан GC-серверу, является LDAP-запросом (Lightweght Directory Access Protocol - облегченный протокол службы каталогов), использующим порт 3268 (заданный по умолчанию порт GC-каталога).
Во-вторых, GC-серверы необходимы для обработки пользовательских входов в систему. Обычно каждый раз, когда пользователь входит в домен, выполняется обращение к GC-каталогу. Это происходит потому, что контроллеры домена, не являющиеся глобальными, не содержат никакой информации об универсальном членстве группы. (Универсальные группы имеются только в доменах, обладающих функциональным уровнем Microsoft Windows 2000 или Windows Server 2003. Функциональные уровни используются в Windows Server 2003, чтобы разрешить функ
ции службы Active Directory всем контроллерам домена, которые могут их поддерживать.) Универсальные группы могут содержать учетные записи пользователей и групп из любого домена определенного леса. Так как универсальное групповое членство распространяется на лес, то групповое членство может быть разрешено только тем контроллером домена, который имеет информацию каталога на уровне леса, т.е. информацию глобального каталога (GC). Чтобы сгенерировать точную лексему защиты для пользователя, запрашивающего идентификацию, требуется контактировать с GC-каталогом для определения универсального группового членства пользователя.
Примечание. Windows Server 2003 поддерживает новую функцию кэширования универсального группового членства, которая дает возможность входить в сеть Windows Server 2003 без контакта с GC-каталогом. Универсальное групповое членство кэши-руется на контроллерах домена, не являющихся контроллерами GC, если эта опция разрешена, а пользователь впервые пытается войти в систему. Как только эта информация попадает в GC-каталог, она кэшируется на неограниченное время на контроллере домена сайта и периодически обновляется (по умолчанию каждые 8 часов). Включение этой функции приводит к ускорению входа в систему пользователей с удаленных сайтов, так как для аутентификации контроллеру домена не требуется обращения к GC-каталогу. Чтобы включить опцию универсального группового членства на сайте, откройте оснастку Active Directory: Sites And Services (Сайты и службы Active Directory) и выберите нужный сайт в дереве консоли. Щелкните правой кнопкой мыши на панели деталей NTDS Site Settings (Параметры настройки сайта NTDS), затем выберите Properties (Свойства). На вкладке Properties выберите опцию Enable Universal Group Membership Caching (Разрешить кэширование универсального группового членства), а затем укажите сайт, с которого будет обновляться кэш. По умолчанию сайт обновит информацию с самого близкого сайта, который имеет глобальный каталог GC.