В этой cтатье рассмотрим такое понятие, как "Глобальный Каталог" и его роль.
Итак, давайте разберем, что такое глобальный каталог. Пусть у нас естькомпания, которая имеет лес доменов. И вот нам нужно найти какой-то объект из нашей компании, пусть это будет какой-то принтер. Но как мы уже знаем объекты хранятся в службе каталога ActiveDirectory, а каждая ActiveDirectory ответственна только за свой домен. Тогда получается нам нужно лазить по всем доменам в их службе каталогов ActiveDirectory и в каждом домене искать данный объект в нашем случае принтер. Довольно утомительная согласитесь операция. И вот было решено в Майкроосфт что надо облегчить такой поиск, снизить нагрузку на сеть и прочее, прочее. В результате родился «Глобальный каталог» (globalcatalog).
То есть глобальный каталог возвышается над всеми местными службами каталогов ActiveDirectory и хранит информацию об о всех объектах леса или дерева предприятия или компании.
Глобальный каталог представляет из себя базу данных об объектах дерева или леса. Но данная база данных главного каталога только частичная, то есть не полная база данных как в случае с ActiveDirectory домена и предназначена она только для чтения. Она содержит только фрагменты всех контекстных доменных имен дерева или леса. То есть эта база данных скажем так - «ограниченная» слегка, так как она не содержит весь перечень атрибутов объектов хранящихся в доменах а именно в ActiveDirectory конкретного домена. Скажу еще одну умную фразу, которая нам понадобится в дальнейшем, а вы пока привыкните к ней – глобальный каталог содержит частичную реплику каждого контекста имен каталога ActiveDirectory, а по простому что данная база не содержит полный набор атрибутов который хранится в ActiveDirectory домена, что уже было сказано выше.
По умолчанию глобальный каталог автоматически создается на исходном контроллере домена первого леса.
Контролер домена, на котором хранится копия главного каталога, называется сервером глобального каталога (globalcatalogserver). Сервером глобального каталога можно назначить любой контроллер домена в рамках леса нашего предприятия.
Хочу теперь добавить, так как выше что бы вас не запутать совсем, не сказал то что - вообще глобальный каталог хранит все информацию об объектах в том домене, в котором он был создан и частичную информацию об объектах остальных доменах дерева или леса. Смотрите рисунок
Информация из глобального каталога в ActiveDirectory распространяется между серверами глобального каталога в других доменах путем репликации.
Повторяюсь - на сервере главного каталога хранится полная реплика всех атрибутов объектах каталога, принадлежащих домену в котором в котором "живет, создан" данный сервер каталога и частичная реплика атрибутов объектов каталога, относящимся ко всем остальным доменам леса или дерева. Частичная реплика включает в себя как правило наиболее часто используемые при поиске атрибуты ( например имена и фамилии пользователей, их логины и так далее), а это позволяет пользователям находить объекты даже не зная в каком домене находится этот объект.
Забегая чуть вперед хочу сказать что в первый контроллер домена установленный, автоматически становится и сервером глобального каталога или еще можно сказать контроллером глобального каталога. Дополнительные контроллеры домена можно назначить как GC, выбирая опцию Global Catalog Server (Сервер глобального каталога) в инструменте администрирования Active Directory Sites And Services (Сайты и службы Active Directory). Это делается с целью оптимизации входа в систему. Как используется каталог GC в процессе входа в систему, рассмотрим ниже.
Функции глобального каталога
У глобального каталога две основные функции :
он позволяет осуществлять поиск в независимости от того из какого домена мы осуществляем поиск и в каком домене находится искомый объект в рамках нашего леса или домена. Без каталога GC поиск по запросам, полученным контроллером домена, который не обладает запрошенным объектом, приведет к тому, что он переправит запрос на контроллер домена другого домена, увеличивая и нагрузку на сеть и на обработку данного запроса непосредственно другим контроллером. Поскольку GC-каталог содержит полный список всех объектов леса или дерева (но не содержит полный набор атрибутов объекта), GC-сервер может ответить на любой запрос, используя атрибут, который копировался в GC-каталог, без необходимости передавать его другому контроллеру домена. Запрос, который послан GC-серверу, является LDAP-запросом (Lightweght Directory Access Protocol — облегченный протокол службы каталогов), использующим порт 3268 (заданный по умолчанию порт GC-каталога). Не пугайтесь и это со временем разберем, теперь просто надо запомнить что запросы к ГК осуществляются по протоколу LDAP.
с помощью глобального каталога GC регистрация пользователей в сети сводится к предоставлению контроллеру домена, на котором происходит процесс регистрации, информации о членстве в универсальных группах (содержит пользователей и группы т.е. включенные в нее, ну как в контейнер) из любого домена нашего леса).
GC-серверы необходимы для обработки пользовательских входов в систему. Обычно каждый раз, когда пользователь входит в домен, выполняется обращение к GC-каталогу. Это происходит потому, что контроллеры домена, не являющиеся глобальными, не содержат никакой информации об универсальном членстве группы. (Универсальные группы имеются только в доменах, обладающих функциональным уровнем Microsoft Windows 2000 или Windows Server 2003.) Так как универсальное групповое членство распространяется на лес, то групповое членство может быть разрешено только тем контроллером домена, который имеет информацию каталога на уровне леса, т.е. информацию глобального каталога (GC).
Или еще можно так сказать - при регистрации пользователя в сети, GC передает контроллеру домена (который занимается переработкой (перевариванием) информации о пользователе т.е его регистрационных данных) информацию о том - является данная учетная запись членом универсальной группы или нет.
Если у нас в домене единственный контроллер домена то именно на нем и размещен сервер глобального каталога (по умолчанию). Если же несколько контроллеров то сервер глобального каталога размещается на один из них. Но в любом случае если сервер GC недоступен регистрация пользователя возможна только локально на компьютере. Исключением есть те случаи когда сайт так сконфигурирован что позволяет при попытке регистрации пользователя кэшировать (временно запоминать) результаты поиска соответствия предоставленной регистрационной записи какой то группе. Но есть и исключения. Если пользователь состоит в группе "Администраторы домена" (Domain Admins) то он может регистрироваться в сети невзирая на неготовность по тем или иным причинам сервера глобального каталога. Поскольку каждый GC содержит обо всех объектах во всех доменах леса, запросы об отсутствующих в локальном домене объектах обрабатываются на сервере глобального каталога в домене, в котором этот запрос был подан, и это поиск информации в каталоге не связан с генерацией дополнительного трафика вне границы данного домена, а как мы уже помним GC обмениваются между собой информацией посредством репликации. Как включить «глобальный каталог»
Откройте консоль Active Directory Sites and Services, раскройте узел Sites->Default-First-Site-Name->имя_сервера->NTDS Settings. Откройте свойства узла NTDS Settings и установите флаг Global Catalog.
Да еще одно. Глобальная адресная книга для Exchange запрашивается именно из глобального каталога (GC)
Есть еще Важный вывод из определения:
Мастер инфраструктуры не работает на глобальном каталоге, потому что в его базе есть ВСЕ объекты леса. Там нет фантомов по определению, т.к. они не нужны.
Если у вас все контроллеры в домене глобальные каталоги, то где находится и работает ли мастер инфраструктуры для вас совершенно не важно. Т.к. он просто не нужен.
Глобальный каталог - самая важная с практической точки зрения роль контроллера домена
