Global catalog — Глобальный каталог

ad-logoГлобальный каталог Active Directory (Global catalog) очень часто называют шестой ролью FSMO и это имеет под собой некоторый смысл. Дело в том, что фактически глобальный каталог ролью FSMO являться не может хотя бы по причине того, что эту роль может в конкретный момент времени держать как один контроллер домена, так и все контроллеры домена леса враз. В то время как роли Flexible single-master operations может размещать на себе только один DC и если вдруг в лесу каким-то образом окажутся например два хозяина схемы, это непременно приведет к катастрофе.

Но почему же все-таки «шестая роль fsmo»? Подобное определение, на мой взгляд, могли дать только по одной причине — чтобы подчеркнуть важность этой роли для работы всего леса AD. Задача размещения на сервере глобального каталога действительно является очень важной для нормального функционирования не только служб AD DS, но и ряда других доменнозависимых сервисов, например Exchange Server.

В этой статье я постараюсь пролить свет на задачи и принцип работы серверов глобального каталога, ведь о них периодически совершенно не заслуженно забывают.


Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике  Windows Server  на моем блоге.


Global catalog — Теория

Как и было сказано выше, глобальным каталогом могут быть одновременно несколько (или даже все враз) контроллеров домена в лесу. В средах со сложной иерархией доменов и множеством DC необходимо обеспечить приемлемое быстродействие повседневного функционала, например поиска объектов леса. Обычный рядовой контроллер домена хранит у себя полную реплику объектов своего домена, но не других доменов леса. То есть, чтобы найти, например, пользователя из домена А, контроллер домена В должен обратиться к одному из DC домена А для выполнения операции поиска, но такая операция однозначно займет сравнительно продолжительное время, тем более если все контроллеры домена А территориально располагаются совсем в другом месте и к тому же с не самым хорошим каналом связи.

Чтобы иметь возможность быстро выполнить поиск объектов из других доменов, к вам на помощь приходит глобальный каталог, который хранит у себя частичные реплики данных всего леса, помимо БД с объектами собственного домена.

Сказанное выше лучше всего иллюстрирует изображение из официальной документации 1:

Global catalog 01

Как видно из рисунка, контроллер домена А, он же и глобальный каталог (сервер справа), содержит частичные реплики доменов B, C, D. Таким образом, для выполнения операции поиска пользователей домена D (или любого другого) сотрудником из домена A, даже не придется обращаться к контроллерам домена D, ведь вся информация уже доступна на сервере глобального каталога его родного домена A. Это также справедливо по отношению к поиску 2 любых объектов, которые опубликованы в AD 3 (пользователи, компьютеры, файлы, принтеры, службы).

Поиск объектов, пожалуй, одна из самых важных и частых задач, но есть и другие, в которых главную роль выполняет именно глобальный каталог. Например он участвует в процессе проверки подлинности с помощью основного имени пользователя (User principal name — UPN — имя, которое выглядит как e-mail пользователя).

Насколько известно, в доменах могут быть заданы альтернативные — дополнительные — имена доменов. Это может потребоваться для упрощения входа пользователей или для повышения безопасности. Если у вас уже несколько UPN-суффиксов, для каждой конкретной учетной записи вы можете определить суффикс при создании учетки или в свойствах уже созданной:

Global catalog 02

Чтобы пользователь bissquit@corp.bissquit.com мог залогиниться на рабочей станции домена dev.corp.bissquit.com, контроллеры домена dev.corp.bissquit.com должны иметь доступ к глобальному каталогу, чтобы проверить подлинность пользователя и предоставленные ему разрешения (разумеется этот пользователь должен иметь права для локального входа на данную рабочую станцию).

Global catalog предоставляет сведения о членстве пользователя в универсальных группах в мультидоменной среде. При попытке пользователя залогиниться, контроллер домена, через который проходит процесс авторизации, формирует токен, содержащий идентификаторы (SID’ы) всех групп, в которые включена учетная запись пользователя. В свою очередь, получить сведения о членстве учетной записи в универсальных группах, контроллер домена может только у глобального каталога 4. Иначе процесс аутентификации в домене с универсальными группами не пройдет (при этом о членстве в других типах групп известно и обычным контроллерам домена).

Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен.

Дополнительные сведения об универсальных группах см. в разделе Область действия группы. Дополнительные сведения об универсальных группах и о репликации см. в разделах Репликация глобального каталога и Глобальные каталоги и сайты.

Как было сказано выше, некоторые приложения очень сильно зависят от доступности глобального каталога. Например Exchange Server извлекает информацию о получателях именно через GC.

Сделаем вывод из сказанного выше, а также дополним информацию некоторыми другими фактами:

  1. При установке AD DS на первом контроллере домена в лесу, этот же контроллер становится и глобальным каталогом;
  2. Данные глобального каталога (частичные реплики других доменов леса) распространяются через механизм репликации;
  3. Доступность глобального каталога сильно зависит от сервисов DNS, поскольку при запуске контроллера или при окончании начальной репликации, netlogon публикует SRV-записи, указывающие, что этот сервер является сервером глобального каталога. Впоследствии клиенты узнают о существовании этого сервера GC именно из сведений DNS;
  4. Глобальный каталог осуществляет «связь» одного домена леса с другими — выполняет поиск объектов в других доменах, участвует в процессе аутентификации пользователей других доменов на своих рабочих станциях, определяет членство в универсальных группах, разрешает UPN-имена.

Из всего этого следует вывод, что глобальный каталог особенно важен, если речь идет о многодоменной инфраструктуре. Далее перейдем к лучшим практикам администрирования.

Лучшие практики

Для целей отказоустойчивости крайне важно держать глобальным каталогом как минимум несколько контроллеров домена. Будет лучше, если в каждом домене будет минимум по одному GC. Тем не менее, если у вас есть возможность, лучше сделать серверами Global catalog все DC в лесу. Это положительно скажется ещё и на балансировке нагрузки, не говоря уже о том, что с этого момента можно будет практически не заботиться о FSMO-роли хозяин инфраструктуры (подробнее см. в статье ).

Если все же не получается сделать все DC серверами глобального каталога, то позаботьтесь о том, чтобы сервер-владелец роли хозяин инфраструктуры не располагался на сервере глобального каталога, иначе это приведет к остановке его функционирования (фантомные записи не будут создаваться/изменяться) и как следствие — появлению неактуальных данных.

Администрирование

Сделать 5 сервер глобальным каталогом вы можете из оснастки Active Directory — сайты и службы 6. Для этого откройте оснастку, найдите контроллер домена (1), который хотите сделать сервером GC и нажмите правой кнопкой на NTDS Settings (2) нужного вам сервера, открыв свойства:

Global catalog 03

Откроется окно свойств и на вкладке Общие вам необходимо поставить галочку рядом с Глобальный каталог. Как только репликация данных глобального каталога завершится, через SRV-запись он объявит себя сервером GC.

Выше я упоминал об UPN-суффиксах. Чтобы добавить дополнительные суффиксы 7, нужно зайти в оснастку Active Directory — домены и доверие. Далее — нажать правой кнопкой на имя оснастки и зайти в свойства:

Global catalog 04

Global catalog 05

Тут вы сможете добавить дополнительные UPN-суффиксы и уже при создании/изменении учетных записей пользователей выбирать нужные.

Также есть возможность создания собственных 8 9 атрибутов AD. Сделать это можно через оснастку Схема Active Directory (подробнее см. в статье Schema master — Хозяин схемы Active Directory). Разумеется при любых изменениях схемы необходимо проявлять осторожность и четко понимать к чему могут привести те или иные действия, в противном случае лучше не лезьте:

Global catalog 06

Проверить регистрацию 10 серверов глобального каталога в DNS вы можете в соответствующей оснастке в контейнере _tcp зоны прямого просмотра вашего домена:

Global catalog 07

Ну а проверить готовность сервера GC можно по инструкции 11:

1) Откройте оснастку Ldp. Чтобы открыть Ldp, нажмите кнопку Пуск, выберите команду Выполнить, введите ldp, а затем нажмите кнопку ОК.
Чтобы открыть Ldp в , ldp.
2) В меню Подключение выберите команду Подключить.
3) В поле Подключиться введите имя сервера, на котором имеется глобальный каталог, чью готовность необходимо проверить.
4) В поле Порт введите 389, если значение 389 не появилось.
5) Снимите флажок Без подключения и нажмите кнопку ОК.
6) В области сведений проверьте, что значение атрибута isGlobalCatalogReady равно TRUE.
7) В меню Подключение выберите команду Отключиться, затем закройте оснастку Ldp.

Global catalog 08

На этом обзор одной из важнейших ролей контроллеров домена — глобального каталога — завершен. Оставляйте в комментариях свои мнения и замечания.

comments powered by HyperComments