Global catalog — Глобальный каталог

Егор Васильев Windows , 0 Комментариев

ad-logoГлобальный каталог Active Directory (Global catalog) очень часто называют шестой ролью FSMO и это имеет под собой некоторый смысл. Дело в том, что фактически глобальный каталог ролью FSMO являться не может хотя бы по причине того, что эту роль может в конкретный момент времени держать как один контроллер домена, так и все контроллеры домена леса враз. В то время как роли Flexible single-master operations может размещать на себе только один DC и если вдруг в лесу каким-то образом окажутся например два хозяина схемы, это непременно приведет к катастрофе.

Но почему же все-таки «шестая роль fsmo»? Подобное определение, на мой взгляд, могли дать только по одной причине — чтобы подчеркнуть важность этой роли для работы всего леса AD. Задача размещения на сервере глобального каталога действительно является очень важной для нормального функционирования не только служб AD DS, но и ряда других доменнозависимых сервисов, например Exchange Server.

В этой статье я постараюсь пролить свет на задачи и принцип работы серверов глобального каталога, ведь о них периодически совершенно не заслуженно забывают.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике  Windows Server  на моем блоге.

Global catalog — Теория

Начнем с теории.

Назначение

Как и было сказано выше, глобальным каталогом могут быть одновременно несколько (или даже все враз) контроллеров домена в лесу. В средах со сложной иерархией доменов и множеством DC необходимо обеспечить приемлемое быстродействие повседневного функционала, например поиска объектов леса. Обычный рядовой контроллер домена хранит у себя полную реплику объектов своего домена, но не других доменов леса. То есть, чтобы найти, например, пользователя из домена А, контроллер домена В должен обратиться к одному из DC домена А для выполнения операции поиска, но такая операция однозначно займет сравнительно продолжительное время, тем более если все контроллеры домена А территориально располагаются совсем в другом месте и к тому же с не самым хорошим каналом связи.

Чтобы иметь возможность быстро выполнить поиск объектов из других доменов, к вам на помощь приходит глобальный каталог, который хранит у себя частичные реплики данных всего леса, помимо БД с объектами собственного домена.

Сказанное выше лучше всего иллюстрирует изображение из официальной документации 1:

Global catalog 01

Как видно из рисунка, контроллер домена А, он же и глобальный каталог (сервер справа), содержит частичные реплики доменов B, C, D. Таким образом, для выполнения операции поиска пользователей домена D (или любого другого) сотрудником из домена A, даже не придется обращаться к контроллерам домена D, ведь вся информация уже доступна на сервере глобального каталога его родного домена A. Это также справедливо по отношению к поиску 2 любых объектов, которые опубликованы в AD 3 (пользователи, компьютеры, файлы, принтеры, службы).

Поиск объектов, пожалуй, одна из самых важных и частых задач, но есть и другие, в которых главную роль выполняет именно глобальный каталог. Например он участвует в процессе проверки подлинности с помощью основного имени пользователя (User principal name — UPN — имя, которое выглядит как e-mail пользователя).

UPN

Насколько известно, в доменах могут быть заданы альтернативные — дополнительные — «имена доменов». Это может потребоваться для упрощения входа пользователей или для повышения безопасности. Если у вас уже несколько UPN-суффиксов, для каждой конкретной учетной записи вы можете определить суффикс при создании учетки или в свойствах уже созданной:

Global catalog 02

Чтобы пользователь bissquit@corp.bissquit.com мог залогиниться на рабочей станции домена dev.corp.bissquit.com, контроллеры домена dev.corp.bissquit.com должны иметь доступ к глобальному каталогу, чтобы проверить подлинность пользователя и предоставленные ему разрешения (разумеется этот пользователь должен иметь права для локального входа на данную рабочую станцию).

Универсальные группы

Global catalog предоставляет сведения о членстве пользователя в универсальных группах в мультидоменной среде. При попытке пользователя залогиниться, контроллер домена, через который проходит процесс авторизации, формирует токен, содержащий идентификаторы (SID’ы) всех групп, в которые включена учетная запись пользователя. В свою очередь, получить сведения о членстве учетной записи в универсальных группах, контроллер домена может только у глобального каталога 4. Иначе процесс аутентификации в домене с универсальными группами не пройдет (при этом о членстве в других типах групп известно и обычным контроллерам домена).

Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен.

Дополнительные сведения об универсальных группах см. в разделе Область действия группы. Дополнительные сведения об универсальных группах и о репликации см. в разделах Репликация глобального каталога и Глобальные каталоги и сайты.

Как было сказано выше, некоторые приложения очень сильно зависят от доступности глобального каталога. Например Exchange Server извлекает информацию о получателях именно через GC.

Краткие выводы

Сделаем вывод из сказанного выше, а также дополним информацию некоторыми другими фактами:

  1. При установке AD DS на первом контроллере домена в лесу, этот же контроллер становится и глобальным каталогом;
  2. Данные глобального каталога (частичные реплики других доменов леса) распространяются через механизм репликации;
  3. Доступность глобального каталога сильно зависит от сервисов DNS, поскольку при запуске контроллера или при окончании начальной репликации, netlogon публикует SRV-записи, указывающие, что этот сервер является сервером глобального каталога. Впоследствии клиенты узнают о существовании этого сервера GC именно из сведений DNS;
  4. Глобальный каталог осуществляет «связь» одного домена леса с другими — выполняет поиск объектов в других доменах, участвует в процессе аутентификации пользователей других доменов на своих рабочих станциях, определяет членство в универсальных группах, разрешает UPN-имена.

Из всего этого следует вывод, что глобальный каталог особенно важен, если речь идет о многодоменной инфраструктуре.

Примечание: для лесов с одним доменом, тем не менее, глобальный каталог все также нужен. Помимо приложений, жестко завязанных на GC, он необходим и для нормальной работы пользователей. Подробнее см. в блоге Ask the Directory Services Team, вопрос «If I have only one domain in my forest, do I need a Global Catalog? Plenty of documents imply this is the case.».

Далее перейдем к лучшим практикам администрирования.

Лучшие практики

Для целей отказоустойчивости крайне важно держать глобальным каталогом как минимум несколько контроллеров домена. Будет лучше, если в каждом домене будет минимум по одному GC. Тем не менее, если у вас есть возможность, лучше сделать серверами Global catalog все DC в лесу. Это положительно скажется ещё и на балансировке нагрузки, не говоря уже о том, что с этого момента можно будет практически не заботиться о FSMO-роли хозяин инфраструктуры (подробнее см. в статье ).

Если все же не получается сделать все DC серверами глобального каталога, то позаботьтесь о том, чтобы сервер-владелец роли хозяин инфраструктуры не располагался на сервере глобального каталога, иначе это приведет к остановке его функционирования (фантомные записи не будут создаваться/изменяться) и как следствие — появлению неактуальных данных.

Администрирование

Некоторые базовые задачи администрирования, связанные с GC, рассмотрены ниже.

Добавить роль GC для КД

Сделать 5 сервер глобальным каталогом вы можете из оснастки Active Directory — сайты и службы 6. Для этого откройте оснастку, найдите контроллер домена (1), который хотите сделать сервером GC и нажмите правой кнопкой на NTDS Settings (2) нужного вам сервера, открыв свойства:

Global catalog 03

Откроется окно свойств и на вкладке Общие вам необходимо поставить галочку рядом с Глобальный каталог. Как только репликация данных глобального каталога завершится, через SRV-запись он объявит себя сервером GC.

Добавление UPN-суффикса

Выше я упоминал об UPN-суффиксах. Чтобы добавить дополнительные суффиксы 7, нужно зайти в оснастку Active Directory — домены и доверие. Далее — нажать правой кнопкой на имя оснастки и зайти в свойства:

Global catalog 04

Global catalog 05

Тут вы сможете добавить дополнительные UPN-суффиксы и уже при создании/изменении учетных записей пользователей выбирать нужные.

Создание дополнительного атрибута

Также есть возможность создания собственных 8 9 атрибутов AD. Сделать это можно через оснастку Схема Active Directory (подробнее см. в статье Schema master — Хозяин схемы Active Directory):

Global catalog 06

Разумеется при любых изменениях схемы необходимо проявлять осторожность и четко понимать к чему могут привести те или иные действия, в противном случае лучше не лезьте

SRV-запись GC в DNS

Проверить регистрацию 10 серверов глобального каталога в DNS вы можете в соответствующей оснастке в контейнере _tcp зоны прямого просмотра вашего домена:

Global catalog 07

Ну и последнее.

Проверка готовности GC

Ну а проверить готовность сервера GC можно по инструкции 11:

1) Откройте оснастку Ldp. Чтобы открыть Ldp, нажмите кнопку Пуск, выберите команду Выполнить, введите ldp, а затем нажмите кнопку ОК.
Чтобы открыть Ldp в , ldp.
2) В меню Подключение выберите команду Подключить.
3) В поле Подключиться введите имя сервера, на котором имеется глобальный каталог, чью готовность необходимо проверить.
4) В поле Порт введите 389, если значение 389 не появилось.
5) Снимите флажок Без подключения и нажмите кнопку ОК.
6) В области сведений проверьте, что значение атрибута isGlobalCatalogReady равно TRUE.
7) В меню Подключение выберите команду Отключиться, затем закройте оснастку Ldp.

Global catalog 08

На этом обзор одной из важнейших ролей контроллеров домена — глобального каталога — завершен. Оставляйте в комментариях свои мнения и замечания.

Notes:

  1. Роль глобального каталога
  2. Поиск данных каталога
  3. Публикация ресурсов
  4. What Is the Global Catalog?
  5. Включение или отключение глобального каталога
  6. Active Directory — сайты и службы
  7. Добавление суффикса имени участника-пользователя
  8. Добавление атрибута в глобальный каталог
  9. Настройка глобального каталога
  10. Подтверждение регистрации DNS глобального каталога
  11. Проверка готовности глобального каталога
comments powered by HyperComments
1inkling
2022-06-18 02:23:08
<strong>1galleon</strong>
language editing phd thesis
2022-07-05 14:31:43
<strong>writing dissertation https://professionaldissertationwriting.org/</strong>
writing dissertation abstract
2022-07-05 17:30:32
<strong>dissertation help https://professionaldissertationwriting.com/</strong>
citing a dissertation mla
2022-07-05 21:23:55
<strong>dissertation writing assistance https://helpwithdissertationwritinglondon.com/</strong>
mba dissertation writing services
2022-07-05 23:57:03
<strong>getting help online https://dissertationwritingcenter.com/</strong>
help dissertation thesis advice
2022-07-06 02:30:58
<strong>help me https://dissertationhelpexpert.com/</strong>
writing editing services
2022-07-06 03:16:44
<strong>average dissertation length https://accountingdissertationhelp.com/</strong>
writing the doctoral dissertation
2022-07-06 08:03:52
<strong>dissertation abstract https://examplesofdissertation.com/</strong>
research writing help
2022-07-06 09:25:05
<strong>chicago illinois dissertation help https://writing-a-dissertation.net/</strong>
edd dissertation topics
2022-07-06 12:50:42
<strong>dissertation writing services uk https://bestdissertationwritingservice.net/</strong>
cheap dissertation help
2022-07-06 13:58:03
<strong>dissertation example https://businessdissertationhelp.com/</strong>
dissertation examples
2022-07-06 19:20:21
<strong>dissertation consulting https://customdissertationwritinghelp.com/</strong>
need help with dissertation
2022-07-06 20:07:03
<strong>writing tutor https://writingadissertationproposal.com/</strong>
help dissertation dissertation help
2022-07-07 01:22:47
<strong>best dissertation writing services uk https://dissertationhelpspecialist.com/</strong>
books thesis dissertation help
2022-07-07 03:12:08
<strong>dissertation title examples https://dissertationhelperhub.com/</strong>
buy dissertation online
2022-07-07 06:32:43
<strong>dissertation writing tutors https://customthesiswritingservices.com/</strong>
casino online streaming
2022-07-25 18:39:07
<strong>free bonus without deposit online casino https://download-casino-slots.com/</strong>
the borgata online casino
2022-07-25 21:42:04
<strong>online casino pa https://firstonlinecasino.org/</strong>
monarch online casino
2022-07-25 23:44:02
<strong>free online casino slots https://onlinecasinofortunes.com/</strong>
san manuel casino play online
2022-07-26 02:47:12
<strong>best online casino usa https://newlasvegascasinos.com/</strong>
golden dragon online casino
2022-07-26 08:06:40
<strong>golden nugget casino online https://onlinecasinosdirectory.org/</strong>
firekeepers online casino michigan
2022-07-26 09:49:16
<strong>twin river online casino https://9lineslotscasino.com/</strong>
slots casino online
2022-07-26 12:18:45
<strong>minimum deposit online casino https://free-online-casinos.net/</strong>
online us casino
2022-07-26 15:35:20
<strong>best online casino deposit bonus https://internet-casinos-online.net/</strong>
turning stone online casino login
2022-07-26 16:55:16
<strong>las atlantis online casino https://cybertimeonlinecasino.com/</strong>
hardrock online casino nj
2022-07-27 00:14:14
<strong>gta 5 online casino mystery prize how to claim https://vrgamescasino.com/</strong>
las vegas online casino
2022-07-27 01:33:21
<strong>riversweeps 777 online casino download https://casino-online-roulette.com/</strong>
instant withdrawal online casino usa
2022-07-27 04:22:04
<strong>online casino malaysia https://casino-online-jackpot.com/</strong>
pa online casino
2022-07-27 09:06:57
<strong>10 dollar minimum deposit usa online casino 2020 https://ownonlinecasino.com/</strong>
casino game online
2022-07-27 14:32:04
<strong>vegas 7 online casino https://casino8online.com/</strong>
kodi vpn
2022-08-07 13:54:42
<strong>online vpn free https://freevpnconnection.com/</strong>
business vpn connection
2022-08-07 19:55:20
<strong>best vpn for windows 2018 https://freehostingvpn.com/</strong>
vpn service comparison
2022-08-07 21:26:46
<strong>free vpn no credit card https://ippowervpn.net/</strong>
ivacy vpn
2022-08-08 00:20:00
<strong>trustzone vpn https://imfreevpn.net/</strong>
download express vpn
2022-08-08 03:14:36
<strong>best secure vpn for mac https://superfreevpn.net/</strong>
chrome vpn extension free
2022-08-08 05:38:55
<strong>vpn routers best buy https://free-vpn-proxy.com/</strong>
what does vpn mean
2022-08-08 08:17:42
<strong>nord vpn buy https://rsvpnorthvalley.com/</strong>
best gay dating app for android
2022-08-23 17:27:03
<strong>best gay dating apps https://gayedating.com/</strong>
gay dating sites that work
2022-08-23 19:04:28
<strong>college gay dating dite https://datinggayservices.com/</strong>
dating game
2022-08-24 12:56:09
<strong>online free dating personals for singles https://freephotodating.com/</strong>
free sites
2022-08-24 15:04:26
<strong>absolutely free local dating site https://onlinedatingbabes.com/</strong>
dating dating
2022-08-24 18:36:02
<strong>intitle:dating https://adult-singles-online-dating.com/</strong>
zoosk dating
2022-08-24 20:36:10
<strong>online marriage sites in usa https://adult-classifieds-online-dating.com/</strong>
popular now o
2022-08-24 21:32:20
<strong>popular dating sites https://online-internet-dating.net/</strong>
free local dating
2022-08-25 00:16:31
<strong>top dating online sites https://speedatingwebsites.com/</strong>
free adult personals site
2022-08-25 03:27:52
<strong>top dateing sites https://datingpersonalsonline.com/</strong>
free se4x
2022-08-25 04:56:06
<strong>farmersonly https://wowdatingsites.com/</strong>
online dating sites
2022-08-25 09:18:49
<strong>date game online https://freeadultdatingpasses.com/</strong>
plenty fish
2022-08-25 11:45:33
<strong>sz dating seiten https://virtual-online-dating-service.com/</strong>
free f
2022-08-25 13:38:12
<strong>dating services contact china https://zonlinedating.com/</strong>
freedating
2022-08-25 17:19:43
<strong>singles online dating https://onlinedatingservicesecrets.com/</strong>
best online casino bonus
2022-08-30 11:08:56
<strong>online casino calculator https://onlinecasinos4me.com/</strong>
highest payout online casino
2022-08-30 20:46:24
<strong>win real money online casino for free https://casinosonlinex.com/</strong>
gay sex chat roulette
2022-09-02 23:06:38
<strong>gay video chat https://newgaychat.com/</strong>
google zoom gay pnp chat
2022-09-03 09:49:38
<strong>gay cam chat webcam https://gaychatspots.com/</strong>
gay furry chat
2022-09-03 14:41:25
<strong>top gay chat rooms https://gay-live-chat.net/</strong>
gay free chat
2022-09-03 22:38:06
<strong>ffree gay chat https://chatcongays.com/</strong>
live video streaming gay chat
2022-09-04 03:51:48
<strong>gay webcam chat zoom https://gayphillychat.com/</strong>
gay chat random x4
2022-09-04 05:38:01
<strong>free gay chat rooms no registration needed https://gaychatnorules.com/</strong>
gay web chat
2022-09-04 12:21:04
<strong>random gay chat with a stranger https://gaymusclechatrooms.com/</strong>
gay porn chat random
2022-09-04 20:54:25
<strong>gay univere men chat https://gayinteracialchat.com/</strong>
gay voice chat
2022-10-20 16:53:36
<strong>gay dot com chat room https://gaymanchatrooms.com/</strong>
websites to type papers
2022-10-20 17:58:15
<strong>instant paper writer https://term-paper-help.org/</strong>
write my math paper
2022-10-20 21:11:39
<strong>custom writing papers https://uktermpaperwriters.com/</strong>
pay for paper
2022-10-20 22:39:51
<strong>college paper writing help https://paperwritinghq.com/</strong>
what should i write my paper on
2022-10-20 23:38:01
<strong>write my apa paper https://writepapersformoney.com/</strong>
paper writing services
2022-10-21 01:41:54
<strong>best paper writers https://write-my-paper-for-me.org/</strong>
help me with my paper
2022-10-21 02:25:39
<strong>custom thesis papers https://doyourpapersonline.com/</strong>
college paper writing services
2022-10-21 06:10:22
<strong>dltk custom writing paper https://cheapcustompaper.org/</strong>
buy a college paper
2022-10-21 08:06:06
<strong>pay someone to write your paper https://writingpaperservice.net/</strong>
buy cheap paper online
2022-10-21 09:27:13
<strong>buying papers for college https://buyessaypaperz.com/</strong>
paper writing services best
2022-10-21 11:11:30
<strong>buy paper online https://mypaperwritinghelp.com/</strong>
pay to write papers
2022-10-21 11:44:38
<strong>college papers help https://writemypaperquick.com/</strong>
purchase college papers
2022-10-21 14:23:11
<strong>best paper writing service reviews https://papercranewritingservices.com/</strong>
need help write my paper
2022-10-21 15:29:31
<strong>college paper writing service https://premiumpapershelp.com/</strong>
write my paper in 3 hours
2022-10-21 17:12:38
<strong>apa papers for sale https://ypaywallpapers.com/</strong>
3olympics
2023-01-26 19:22:29
<strong>2sharing</strong>
coursework papers
2023-02-05 14:47:45
<strong>coursework https://brainycoursework.com/</strong>
coursework writing service uk
2023-02-05 16:17:00
<strong>coursework masters https://courseworkninja.com/</strong>
coursework project
2023-02-05 19:27:28
<strong>coursework moderation https://mycourseworkhelp.net/</strong>
coursework planner
2023-02-05 20:45:14
<strong>coursework writer uk https://courseworkdownloads.com/</strong>
coursework psychology
2023-02-05 21:34:55
<strong>coursework writer uk https://courseworkinfotest.com/</strong>
design and technology gcse coursework
2023-02-06 00:10:31
<strong>coursework help university https://teachingcoursework.com/</strong>
custom coursework writing service
2023-02-06 01:18:30
<strong>coursework paper https://buycoursework.org/</strong>
online coursework
2023-02-06 02:36:48
<strong>coursework paper https://courseworkdomau.com/</strong>
dating for free
2023-02-08 13:15:42
<strong>online sex chat https://freewebdating.net/</strong>
absolutely free dating sites no fees ever
2023-02-08 13:51:30
<strong>online dating sites for free 100% https://jewish-dating-online.net/</strong>
free free dating sites
2023-02-08 14:50:28
<strong>the dating game https://jewish-dating-online.net/</strong>
rhondacaringmom online dating
2023-02-08 15:57:30
<strong>dating websites for free https://free-dating-sites-free-personals.com/</strong>
free local dating
2023-02-08 17:32:36
<strong>milf dating franken https://sexanddatingonline.com/</strong>
mature interracial dating
2023-02-08 18:46:24
<strong>local dating https://onlinedatingsurvey.com/</strong>
positive single
2023-02-08 21:01:29
<strong>free site https://onlinedatinghunks.com/</strong>
find free dating site
2023-02-08 22:39:19
<strong>interracial dating central https://datingwebsiteshopper.com/</strong>
lets-casual-dating
2023-02-09 00:26:39
<strong>date online personal https://allaboutdatingsites.com/</strong>
free dating sites free
2023-02-09 01:20:28
<strong>dating sims https://freedatinglive.com/</strong>
Яндекс.Метрика