Globaler Katalog – Globaler Katalog


AnzeigenlogoDer globale Active Directory-Katalog wird sehr oft als sechste Rolle von FSMO bezeichnet und ist sinnvoll. Tatsache ist, dass der globale Katalog nicht die FSMO-Rolle sein kann. schon aus dem Grund, dass diese Rolle zu einem bestimmten Zeitpunkt von einem Domänencontroller oder allen Domänencontrollern in der Gesamtstruktur gleichzeitig übernommen werden kann. Während die Rolle flexibler Single-Master-Vorgänge nur von einem Domänencontroller gehostet werden kann und sich beispielsweise zwei Schema-Master irgendwie in der Gesamtstruktur befinden, führt dies mit Sicherheit zu einer Katastrophe.

Aber warum ist es die “sechste Rolle von fsmo”? Diese Definition hätte meiner Meinung nach nur aus einem Grund gegeben werden können – um die Bedeutung dieser Rolle für den Betrieb des gesamten AD-Waldes hervorzuheben. Die Aufgabe, einen globalen Katalog auf einem Server zu hosten, ist in der Tat sehr wichtig, damit nicht nur AD DS, sondern auch eine Reihe anderer domänenspezifischer Dienste wie Exchange Server ordnungsgemäß funktionieren.

In diesem Artikel werde ich versuchen, die Aufgaben und den Betrieb globaler Katalogserver zu beleuchten, da diese regelmäßig völlig unverdient vergessen werden.


Der Hauptartikel zu Active Directory ist Active Directory-Domänendienste. Lesen Sie auch andere Artikel über die Rollen der Master of Operations – FSMO – Fexible Single Master Operations.

Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, die Windows Server-Spalte in meinem Blog zu lesen.


Globaler Katalog – Theorie

Beginnen wir mit der Theorie.

Geplanter Termin

Wie oben erwähnt, können mehrere (oder sogar alle gleichzeitig) Domänencontroller in einer Gesamtstruktur gleichzeitig ein globaler Katalog sein. In Umgebungen mit komplexen Domänenhierarchien und vielen Domänencontrollern muss die tägliche Funktionalität, z. B. die Suche nach Objekten in der Gesamtstruktur, reaktionsfähig sein. Ein typischer Mitgliedsdomänencontroller verwaltet eine vollständige Replik von Objekten in seiner Domäne, jedoch nicht von anderen Domänen in der Gesamtstruktur. Das heißt, um beispielsweise einen Benutzer aus der Domäne zu finden ABER, Domänencontroller BEIM muss sich auf eine der DC-Domänen beziehen ABER Eine Suchoperation durchzuführen, aber eine solche Operation wird definitiv relativ lange dauern, insbesondere wenn sich alle Controller der Domäne A geografisch an einem völlig anderen Ort befinden und darüber hinaus nicht über den besten Kommunikationskanal verfügen.

Um schnell ausführen zu können Suche nach Objekten aus anderen DomänenDer globale Katalog hilft Ihnen dabei speichert Teilreplikate der gesamten Gesamtstrukturdatenzusätzlich zu einer Datenbank mit Objekten einer eigenen Domäne.

Das Obige wird am besten durch ein Bild aus der offiziellen Dokumentation veranschaulicht ::

Globaler Katalog 01

Wie Sie der Abbildung entnehmen können, ist der Domänencontroller ABEREs ist auch der globale Katalog (Server rechts), der teilweise Replikate von Domänen enthält B, C, D.… So führen Sie einen Suchvorgang für Domänenbenutzer durch D. (oder einem anderen) Mitarbeiter aus Domäne A müssen Sie sich nicht einmal an Domänencontroller wenden D., da alle Informationen bereits auf dem globalen Katalogserver seiner Heimatdomäne verfügbar sind EIN… Dies gilt auch für suchen Alle Objekte, die in AD veröffentlicht werden (Benutzer, Computer, Dateien, Drucker, Dienste).

Die Suche nach Objekten ist vielleicht eine der wichtigsten und häufigsten Aufgaben, aber es gibt andere, bei denen der globale Katalog die Hauptrolle spielt. Zum Beispiel nimmt er teil bei der Authentifizierung mit dem Primärnamen des Benutzers (Benutzerprinzipalname – UPN – ein Name, der der E-Mail des Benutzers ähnelt).

UPN

Soweit bekannt, können Domains alternative – zusätzliche – “Domainnamen” haben. Möglicherweise möchten Sie dies tun, um Benutzern die Anmeldung zu erleichtern oder die Sicherheit zu verbessern. Wenn Sie bereits mehrere UPN-Suffixe haben, können Sie für jedes bestimmte Konto das Suffix beim Erstellen eines Kontos oder in den Eigenschaften eines bereits erstellten Kontos definieren:

Globaler Katalog 02

An den Benutzer @ bissquitcorp.bissquit.com könnte sich bei der Domain Workstation anmelden dev.corp.bissquit.comDie Domänencontroller dev.corp.bissquit.com müssen Zugriff auf den globalen Katalog haben, um den Benutzer und die ihm erteilten Berechtigungen zu authentifizieren (dieser Benutzer muss natürlich über die Berechtigung verfügen, sich lokal bei dieser Workstation anzumelden).

Universelle Gruppen

Globaler Katalog Bietet Informationen zur universellen Gruppenmitgliedschaft eines Benutzers in einer Umgebung mit mehreren Domänen… Wenn ein Benutzer versucht, sich anzumelden, generiert der Domänencontroller, über den der Autorisierungsprozess läuft, ein Token, das Kennungen (SIDs) aller Gruppen enthält, in denen das Benutzerkonto enthalten ist. Ein Domänencontroller kann wiederum nur Informationen über die Mitgliedschaft eines Kontos in universellen Gruppen aus dem globalen Katalog abrufen … Andernfalls schlägt der Authentifizierungsprozess in einer Domäne mit universellen Gruppen fehl (und reguläre Domänencontroller wissen auch über die Mitgliedschaft in anderen Gruppentypen Bescheid).

Wenn der globale Katalog bei der Anmeldung an einer Domäne mit Windows 2000 Native Mode-Funktionalität oder höher nicht verfügbar ist, werden die zwischengespeicherten Anmeldeinformationen für einen Benutzer verwendet, der sich bereits bei der Domäne angemeldet hat. Wenn sich der Benutzer noch nicht bei der Domäne angemeldet hat, kann er sich nur am lokalen Computer anmelden. Die Anmeldung bei einer Domain als Administrator (das Konto “Integrierter Administrator”) ist jedoch immer zulässig, auch wenn der globale Katalog nicht verfügbar ist.

Weitere Informationen zu universellen Gruppen finden Sie unter Gruppenumfang… Weitere Informationen zu universellen Gruppen und zur Replikation finden Sie unter Globale Katalogreplikation und Globale Verzeichnisse und Sites.

Wie oben erwähnt, hängen einige Anwendungen stark von der Verfügbarkeit des globalen Katalogs ab. beispielsweise Exchange Server ruft Empfängerinformationen ab es ist durch den GC.

Kurze Schlussfolgerungen

Lassen Sie uns aus dem oben Gesagten eine Schlussfolgerung ziehen und die Informationen durch einige andere Fakten ergänzen:

  1. Wenn Sie AD DS auf dem ersten Domänencontroller in der Gesamtstruktur installieren, wird dieser Domänencontroller auch zum globalen Katalog.
  2. Globale Katalogdaten (Teilreplikate anderer Domänen in der Gesamtstruktur) werden über den Replikationsmechanismus weitergegeben.
  3. Die Verfügbarkeit des globalen Katalogs hängt stark von den DNS-Diensten ab, da Netlogon beim Start des Controllers oder beim Ende der ersten Replikation SRV-Einträge veröffentlicht, die darauf hinweisen, dass dieser Server ein globaler Katalogserver ist. Clients erfahren dann anhand der DNS-Informationen, ob dieser GC-Server vorhanden ist.
  4. Der globale Katalog führt die “Verbindung” einer Gesamtstrukturdomäne mit anderen aus – er sucht nach Objekten in anderen Domänen, nimmt an der Authentifizierung von Benutzern anderer Domänen auf seinen Arbeitsstationen teil, bestimmt die Mitgliedschaft in universellen Gruppen und löst UPN-Namen auf.

Daraus folgt, dass der globale Katalog besonders wichtig ist, wenn es um die Multi-Domain-Infrastruktur geht.

Hinweis: Für Single-Domain-Gesamtstrukturen wird der globale Katalog jedoch weiterhin benötigt. Zusätzlich zu Anwendungen, die eng an den GC gebunden sind, ist dies für den normalen Betrieb der Benutzer erforderlich. Weitere Informationen finden Sie im Blog Fragen Sie das Directory Services-Team, вопрос «Wenn ich nur eine Domain in meiner Gesamtstruktur habe, benötige ich einen globalen Katalog? Viele Dokumente deuten darauf hin, dass dies der Fall ist. ».

Lassen Sie uns als Nächstes zu den besten Verwaltungsmethoden übergehen.

Best Practices

Aus Gründen der Fehlertoleranz ist es äußerst wichtig, mindestens mehrere Domänencontroller im globalen Katalog zu halten. Es ist besser, wenn jede Domain mindestens einen GC hat. Wenn Sie jedoch die Möglichkeit haben, Es ist besser, alle Domänencontroller in der Gesamtstruktur als globale Katalogserver zu erstellen… Dies wird sich auch positiv auf den Lastausgleich auswirken, ganz zu schweigen von der Tatsache, dass es von nun an möglich sein wird, sich praktisch nicht mehr um die FSMO-Rolle des Infrastrukturbesitzers zu kümmern (weitere Einzelheiten siehe Artikel).

Wenn Sie immer noch nicht alle globalen Katalogserver von DCs erstellen können, stellen Sie sicher, dass sich der Server, dem die Infrastrukturmaster-Rolle gehört, nicht auf dem globalen Katalogserver befindet. Andernfalls funktioniert er nicht mehr (Phantomdatensätze werden nicht erstellt / geändert). als Konsequenz – das Auftreten irrelevanter Daten.

Verwaltung

Einige grundlegende GC-bezogene Verwaltungsaufgaben werden unten erläutert.

GC-Rolle für CD hinzufügen

Zu machen Server globalen Katalog können Sie aus Snap-In Active Directory-Standorte und -Dienste … Öffnen Sie dazu das Snap-In, suchen Sie den Domänencontroller (1), den Sie zum GC-Server machen möchten, und klicken Sie mit der rechten Maustaste darauf NTDS-Einstellungen (2) den Server, den Sie benötigen, indem Sie die Eigenschaften öffnen:

Globaler Katalog 03

Das Eigenschaftenfenster wird geöffnet und auf der Registerkarte angezeigt Sind üblich Sie müssen das Kontrollkästchen neben aktivieren Globaler Katalog… Sobald die Replikation der globalen Katalogdaten abgeschlossen ist, wird sie über den SRV-Datensatz als GC-Server angekündigt.

Hinzufügen eines UPN-Suffix

Oben habe ich UPN-Suffixe erwähnt. Hinzufügen zusätzlicher Suffixe müssen Sie zum Schnappschuss gehen Active Directory-Domänen und -Vertrauensstellungen… Weiter – Klicken Sie mit der rechten Maustaste auf den Namen des Snap-Ins und gehen Sie zu den Eigenschaften:

Globaler Katalog 04

Globaler Katalog 05

Hier können Sie zusätzliche UPN-Suffixe hinzufügen und die erforderlichen beim Erstellen / Ändern von Benutzerkonten auswählen.

Erstellen eines zusätzlichen Attributs

Es ist auch möglich, eigene zu erstellen AD-Attribute. Dies kann über das Active Directory-Schema-Snap-In erfolgen (weitere Informationen finden Sie im Artikel Schema-Master – Active Directory-Schema-Master):

Globaler Katalog 06

Natürlich müssen Sie bei Änderungen am Schema vorsichtig sein und klar verstehen, wozu diese oder jene Aktionen führen können, sonst ist es besser, sich nicht einzumischen

GC SRV-Eintrag in DNS

Überprüfen Sie die Registrierung Bei globalen Katalogservern in DNS können Sie das entsprechende Snap-In im Container _tcp der Forward-Lookupzone Ihrer Domain verwenden:

Globaler Katalog 07

Und das Letzte.

GC-Bereitschaftsprüfung

Nun, Sie können die Bereitschaft des GC-Servers gemäß den Anweisungen überprüfen ::

1) Öffnen Sie das Ldp-Snap-In. Klicken Sie auf die Schaltfläche, um Ldp zu öffnen AnfangWählen Sie den Befehl aus Ausführen, eingeben ldpund drücken Sie dann die Taste OK.
Um Ldp in zu öffnen, ldp.
2) Im Menü Verbindung Team auswählen Einstecken.
3) Auf dem Feld Verbinden Geben Sie den Namen des Servers ein, der den globalen Katalog enthält, dessen Bereitschaft Sie überprüfen möchten.
4) Auf dem Feld Hafen eingeben 389wenn 389 nicht erschienen ist.
5) Deaktivieren Sie das Kontrollkästchen Ohne Verbindung und drücken Sie die Taste OK.
6) Überprüfen Sie im Detailbereich den Attributwert isGlobalCatalogReady gleichermaßen WAHR.
7) Im Menü Verbindung Team auswählen TrennenSchließen Sie dann das Ldp-Snap-In.

Globaler Katalog 08

Damit ist Ihr Überblick über eine der wichtigsten Rollen von Domänencontrollern abgeschlossen – den globalen Katalog. Hinterlassen Sie Ihre Meinungen und Kommentare in den Kommentaren.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *