Globális katalógusszerver
Az Active Directory öt FSMO szerepkörén kívül továbbra is a hatodik tartományvezérlő szerepkör - a globális katalógus (GC). Az FSMO-tól eltérően, bármely tartományvezérlő rendelkezik a globális katalógus szerepével;
nem igényli a kiszolgáló egyediségét a tartományon vagy az erdőn belül. Azonban a globális katalógus a legfontosabb a domain vezérlő szerepének gyakorlati szempontból. És ezért.
A globális katalógus olyan tartományvezérlő, amely tárolja az összes Active Directory objektum másolatát az erdőben. Az összes objektum teljes példányát tárolja a domain címtárában, és az összes többi erdőterület objektumának részleges másolatát. Így a globális katalógus lehetővé teszi a felhasználók és alkalmazások számára, hogy a globális katalógusban szereplő attribútumokat keresve megtalálják az aktuális erdő bármely területén lévő objektumokat.
A globális katalógus alapvető, de hiányos attribútumkészletet (Részleges attribútum-készletet, PAT-t) tartalmaz az egyes tartományok minden egyes erdei objektumához. A GC-adatokat az erdő összes tartományi címtárpartíciójából kikeresi, a szabványos AD replikációs eljárással másolják őket. Az attribútum átmásolása a globális katalógusba a séma határozza meg. Szükség esetén további attribútumokat konfigurálhat, amelyek az Active Directory Séma beépülő modul használatával reprodukálódnak a GC-hez. Ha hozzá szeretne adni egy attribútumot a globális katalógushoz, meg kell jelölnie az attribútum másolását az attribútum globális katalógusához. Ennek eredményeképpen az isMemberOfPartialAttributeSet attribútum paraméter értéke true (true).
Hogyan tudhatom meg, hol található a globális katalógus? Az aktuális tartományhoz egyszerűen írja be a parancssorba:
dsquery szerver -sigc
Ennek eredményeképpen egy listát kapunk a DN szerverekről a globális katalógusban, például: "CN = SRV1, CN = kiszolgálók, CN = alapértelmezett első helynév, CN = helyek, CN = konfiguráció, DC = contoso, DC = com"
A dsquery szerver parancs arra is használható, hogy egy adott tartományban, erdőben vagy webhelyen keressen GC-kiszolgálókat. Például:
dsquery szerver -domain contoso.com -isgc - keresse meg a globális katalógusszervereket a contoso.com domainben;
dsquery server -forest -isgc - keresse meg a GC szervereket az egész erdőben;
A dsquery szerver webhely alapértelmezett első webhely neve - a webhely Default-First-Site-Name keresése.
Ne feledje, hogy a webhely globális katalógusának megkereséséhez ismernie kell a webhely teljes nevét, és nem használhat helyettesítő karaktereket.
Hogyan működik a globális katalógus? Az első GC kiszolgáló automatikusan létrehozásra kerül az erdő első tartományvezérlőjében az Active Directory tartományi szolgáltatások telepítésekor. Egyetlen telephely esetében, ha több tartományt is tartalmaz, egy globális katalógusszerver általában elégséges ahhoz, hogy feldolgozza az Active Directoryban lévő kérelmeket és bejegyzéseket. Egy több webhely környezetben a hálózati teljesítmény optimalizálásához fontolja meg a GC-kiszolgálók hozzáadását, hogy gyorsan válaszolhasson a keresési lekérdezésekre és a gyors bejelentkezésre. Szintén legalább egy globális katalógusszervernek jelen kell lennie minden AD webhelyen, ahol az Exchange telepítése várható.
További tartományvezérlőket rendelhet GC-ként az Active Directory helyek és szolgáltatások adminisztrátori beépülő modul Globális katalógus opciójának kiválasztásával.
A globális katalógusszerver az alábbi helyzetekben használható:
Objektumok eléréséhez az Active Directory a Lightweight Directory Access Protocol (LDAP) kifejezést használja. Az LDAP keresési kéréseket az AD-címtárszolgáltatás küldheti és fogadhatja a 389-es porton (alapértelmezett LDAP-port) és a 3268-as porton (GC-port).
Amikor a 389-es portra keresési kérelmet küldenek, a keresést egy tartomány könyvtárrészében hajtják végre. Ha az objektum nem az aktuális tartományban van, akkor a tartományvezérlő továbbítja a kérést a tartományvezérlőnek az objektum megkülönböztető nevében (megkülönböztetett név, DN) megadott tartományban.
Megjegyzés. A DN objektum minden olyan objektum attribútuma, amely az AD-erdőben megadja a nevét és helyét, például "CN = Mike, OU = felhasználók, DC = contoso, DC = com".
Ha a keresési lekérdezést a 3268-as portra küldi, akkor az erdő összes címtárpartíciója lekérdeződik, vagyis a keresést a globális katalógusszerver feldolgozza. Mivel a globális katalógus tartalmazza az összes erdei objektum teljes listáját, a GC kiszolgáló bármely kérelemre válaszolhat anélkül, hogy át kellene adnia egy másik tartományvezérlőnek. Egyébként csak a globális katalógusszerverek kaphatnak LDAP-kéréseket a 3268-as porton keresztül.
Így ha egy felhasználó a lekérdezés "Minden könyvtár" paraméterének megadásával keresi az objektumot, akkor ez a kérés átirányításra kerül a 3268-as portra, és engedélyt küld a GC kiszolgálónak. Ha valamilyen oknál fogva nincs GC-kiszolgáló a tartományban, a felhasználók és alkalmazások nem tudnak kereséseket végrehajtani az erdőben. Érdemes megjegyezni, hogy a globális katalógus tartalmazza az összes objektum és attribútum összes engedélyét, és ha olyan objektumot keres, amelyhez nem fér hozzá, akkor a keresési eredmények listájában nem látja. Ennek megfelelően a felhasználók csak azokat az objektumokat találhatják meg, amelyekhez hozzáférést kapnak.
- A tagság ellenőrzése egyetemes csoportokban egy többdomaines környezetben
Megjegyzés. Ha az erdőben csak egy domain található, akkor amikor bejelentkezik a rendszerre, akkor nem kell tagságot szereznie a globális katalógus egyetemes csoportjaiban. Ez azért van, mert az AD észleli az erdőben lévő egyéb domainek hiányát, és megakadályozza, hogy a globális katalógus kérést küldjön erről az információról.
A tartományvezérlők globális katalógust használnak az erdõ más területein található objektumokhoz való hivatkozások hitelesítésére. Ez azt jelenti, hogy ha a tartományvezérlő olyan objektumot tartalmaz, amelynek attribútuma egy másik tartomány objektumára utal, akkor a tartományvezérlő ellenőrzi a kapcsolatot a globális katalógusszerverrel való kapcsolat létrehozásával.
Összefoglalva: Ha nem fér hozzá a globális katalógusszerverhez, a felhasználók nem tudnak bejelentkezni, és az Exchange levelezőszervere nem fog tudni levelet küldeni és fogadni. Ezért a globális katalógus a tartományvezérlő legfontosabb szerepe, amely nélkül az Active Directory működése szinte lehetetlen.