Windows server 2008 r2 глобальный каталог

Глобальный каталог Active Directory

Глобальный каталог в Active Directory представляет собой нечто вроде проиндексирован­ного набора объектов, которые чаще всего запрашиваются или к которым чаще всего по­лучается доступ в лесе Active Directory. Не все контроллеры доменов в Windows Server 2008 R2 Active Directory являются серверами глобального каталога по умолчанию. Несмотря ка вышесказанное, однако, при установке нового леса Windows Server 2008 R2 первый кон­троллер домена Windows Server 2008 R2 в этом лесе будет обязательно превращаться в сер­вер глобального каталога, поскольку наличие такой службы является просто необходимым для нормального функционирования Active Directory. По умолчанию мастер DCPROMO в Windows Server 2008 R2 также будет развертывать все контроллеры доменов в виде серве­ров глобального каталога. Ниже перечислены шаги, необходимые для превращения в сер­веры глобального каталога контроллеров домена, которые таковыми не являются.

1. 1. Откройте консоль Active Directory Sites and Services (Active Directory — сайты и служ­бы), выбрав в меню Start (Пуск) пункт All Programs-Administrative Tools-Active Directory Sites and Services.
2. 2. В окне консоли щелкните на узле, представляющем сервер, на который требуется добавить глобальный каталог, последовательно развернув узлы Sites (Сайты), <имя_ сайта>, Servers (Серверы) и <имя_сервера> и выделив желаемый сервер либо в консоли, либо в панели с деревом узлов.
3. 3. В панели сведений щелкните правой кнопкой мыши на узле NTDS Settings (Параметры NTDS) и выберите в контекстном меню пункт Properties (Свойства).
4. 4. На вкладке General (Общие) отметьте флажок Global Catalog (Глобальный каталог).
5. 5. Щелкните на кнопке ОК, чтобы завершить настройку.

Кроме пяти ролей FSMO в Active Directory cуществует еще шестая роль контроллера домена – глобальный каталог (Global catalog, GC). В отличие от FSMO роль глобального каталога может иметь любой контроллер в домене, т.е. она не требует уникальности сервера в пределах домена или леса. Тем не менее, глобальный каталог — самая важная с практической точки зрения роль контроллера домена. И вот почему.

Глобальный каталог является контроллером домена, хранящим копии всех объектов Active Directory в лесу. В нем хранится полная копия всех объектов каталога своего домена и частичная копия всех объектов всех других доменов леса. Таким образом, глобальный каталог позволяет пользователям и приложениям находить объекты в любом домене текущего леса посредством поиска атрибутов, включенных в глобальный каталог.

Глобальный каталог содержит основной, но неполный набор атрибутов (Partial Attribute Set, PAT) для каждого объекта леса в каждом домене. Данные GC получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы AD. Будет ли атрибут скопирован в глобальный каталог определяется схемой. При необходимости можно сконфигурировать дополнительные атрибуты, которые будут реплицироваться в GC, используя оснастку Схема Active Directory (Active Directory Schema). Чтобы добавить атрибут в глобальный каталог, надо выбрать опцию Копировать этот атрибут в глобальный каталог (Replicate This Attribute To The Global catalog) на самом атрибуте. В результате значение параметра атрибута isMemberOfPartialAttributeSet будет установлено на true (истина).

Как узнать, где находится глобальный каталог? Для текущего домена достаточно просто набрать в командной строке:

dsquery server –isgc

В результате мы получим список DN серверов глобаль­ного каталога, например: «CN=SRV1,CN=Servers, CN=Default-First-Site- Name, CN=Sites, CN=Configuration, DC=contoso, DC=com»

Команду dsquery server также можно использовать для поиска серверов GC в конкретном домене, лесе или сайте. Например:

dsquery server –domain contoso.com –isgc — ищем серверы глобального каталога в домене contoso.com;
dsquery server –forest –isgc — поиск серверов GC во всем лесу;
dsquery server –site Default-First-Site-Name — поиск по сайту Default-First-Site-Name.

Имейте в виду, что для поиска глобального каталога по сайту нужно знать полное имя сайта и нельзя использовать символы подстановки.

Как происходит размещение глобального каталога? Первый сервер GC создается автоматически на первом контроллере домена в лесу при установке доменных служб Active Directory. В случае одного сайта, пусть даже и содержащего несколько доменов, одного сервера глобального каталога обычно достаточно для обработки запросов и входов в Active Directory. В среде с несколькими сайтами, для оптимизации производительность сети стоит рассмотреть возможность добавления серверов GC в для обеспечения быстрого ответа на поисковые запросы и быстрого входа в систему.  Также на каждом сайте AD, где предполагается установить Exchange, должен иметься в наличии хотя бы один сервер глобального каталога.

Дополнительные контроллеры домена можно назначить как GC, выбирая опцию Глобальный каталог (Global catalog) в оснастке администрирования Сайты и службы Active Directory (Active Directory Sites And Services).

Сервер глобального каталога используется в следующих ситуациях:

• Поиск объектов

Для доступа к объектам Active Directory использует протокол облегченного доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Запросы поиска LDAP могут быть отправлены и получены службой каталогов AD по порту 389 (порт LDAP по умолчанию) и по порту 3268 (порт GC).

Когда запрос поиска отправляется на порт 389, поиск осуществляется в разделе каталога одного домена. Если объект не находится в текущем домене, контроллер домена пересылает запрос на контроллер домена в домене, указанный в различающемся имени объекта (distinguished name, DN).

Примечание. DN объекта — это атрибут каждого объекта, представляющий его имя и местоположение в лесу AD, например ″CN=Mike, OU=users, DC=contoso, DC=com″.

Если же запрос поиска отправляется на порт 3268, то опрашиваются все разделы каталога в лесу, то есть поиск обрабатывается сервером глобального каталога. Поскольку глобальный каталог содержит полный список всех объектов леса, сервер GC может ответить на любой запрос без необходимости передавать его другому контроллеру домена. Кстати, только серверы глобального каталога могут получать запросы LDAP через порт 3268.

Таким образом, если пользователь выполняет поиск какого-либо объекта, указав в запросе параметр «Весь каталог»,  данный запрос перенаправляется на порт 3268  и отправляется для разрешения на сервер GC. Если же по каким-либо причинам в домене  нет сервера GC, пользователи и приложения не смогут выполнять поиск в лесу. Также стоит отметить, что глобальный каталог содержит все права доступа для каждого объекта и атрибута, и если вы ищете объект, доступ к которому у вас нет доступа, вы его не увидите в списке результатов поиска. Соответственно, пользователи могут найти только те объекты, для которых им предоставлен доступ.

• Проверка подлинности

Кроме функции  поиска в мультидоменном лесу, сервер GC играет роль источника аутентификации во время входа пользователя в домен. Сервер глобального каталога разрешает имя пользователя в том случае, если контроллер домена, проверяющий подлинность, не имеет сведений об учетной записи этого пользователя. Другими словами, если учетная запись пользователя находится в одном домене, но сам пользователь входит в систему с компьютера, расположенного в другом домене, контроллер домена не cможет найти учетную запись пользователя и для того, чтобы завершить процесс входа в систему, он должен связаться с сервером глобального каталога.

• Проверка членства в универсальных группах в мультидоменной среде

В процессе проверки контроллер домена проверяет подлинность пользователя, после чего пользователь получает данные авторизации для доступа к ресурсам. Для предоставления этих данных контроллер домена извлекает идентификаторы безопасности (SID) для всех групп безопасности, членом которых является пользователь и добавляет эти идентификаторы в маркер доступа пользователя. Поскольку универсальные группы могут содержать учетные записи пользователей и групп из любого домена в лесу, групповое членство в них может быть разрешено только тем контроллером домена, который имеет информацию каталога на уровне леса, т.е. сервером GC. Например, пользователь в лесу с несколькими доменами подключается к домену, в котором разрешены универсальные группы. В этом случае контроллер домена, для получения членства в универсальных группах, должен связаться с сервером глобального каталога. Если пользователь уже подключался к данному домену и сервер глобального каталога недоступен, то клиентский компьютер пользователя может использовать для входа кэшированные учетные данные. Но если сервер глобального каталога недоступен при входе пользователя в домен, в котором используются универсальные группы и пользователь ни разу не подключался к данному домену, войти в домен он не сможет (только локально в систему). Исключение составляет учетная запись доменного администратора, он всегда может входить в домен, даже если сервер GC недоступен.

Примечание. Если в составе леса находится только один домен, то при входе в систему нет необходимости получать в глобальном каталоге членство в универсальных группах. Это обусловлено тем, что AD обнаруживает отсутствие в лесу других доменов и предотвращает отправление глобальному каталогу запроса на эти сведения.

• Проверка ссылок на объекты внутри леса

Контроллеры домена используют глобальный каталог для подтверждения ссылок на объекты других доменов в лесу. То есть, если контроллер домена содержит объект с атрибутом, который содержит ссылку на объект в другом домене, то контроллер домена проверяет ссылку, устанавливая связь с сервером глобального каталога.

• Поиск в адресной книге Exchange

Когда пользователи в своем почтовом клиенте хотят найти человека в пределах своей организации, как правило они выполняют поиск через глобальную адресную книгу (global address list, GAL).  GAL — это список, который Exchange создает в результате выполнения запроса LDAP на поиск всех объектов, получающих почту — пользователей, контакты и группы. Когда пользователь пробует открыть в Microsoft Outlook адресную книгу, или пишет сообщение и вводит имя или адрес в поле «Кому», Outlook использует сервер глобального каталога, указанный сервером Exchange. Для поиска серверов глобального каталога, почтовые сервера Exchange используют Active Directory и DNS.

Подведем итог: При отсутствии доступа к серверу глобального каталога пользователи не смогут войти в систему, а почтовый сервер Exchange не сможет отправлять и принимать почту. Вот именно поэтому глобальный каталог и является самой важной ролью контролера домена, без которой функционирование Active Directory практически невозможно.

Глобальный каталог Active Directory (Global catalog) очень часто называют шестой ролью FSMO и это имеет под собой некоторый смысл. Дело в том, что фактически глобальный каталог ролью FSMO являться не может хотя бы по причине того, что эту роль может в конкретный момент времени держать как один контроллер домена, так и все контроллеры домена леса враз. В то время как роли Flexible single-master operations может размещать на себе только один DC и если вдруг в лесу каким-то образом окажутся например два хозяина схемы, это непременно приведет к катастрофе.

Но почему же все-таки «шестая роль fsmo»? Подобное определение, на мой взгляд, могли дать только по одной причине — чтобы подчеркнуть важность этой роли для работы всего леса AD. Задача размещения на сервере глобального каталога действительно является очень важной для нормального функционирования не только служб AD DS, но и ряда других доменнозависимых сервисов, например Exchange Server.

В этой статье я постараюсь пролить свет на задачи и принцип работы серверов глобального каталога, ведь о них периодически совершенно не заслуженно забывают.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике  Windows Server  на моем блоге.

Начнем с теории.

Назначение

Как и было сказано выше, глобальным каталогом могут быть одновременно несколько (или даже все враз) контроллеров домена в лесу. В средах со сложной иерархией доменов и множеством DC необходимо обеспечить приемлемое быстродействие повседневного функционала, например поиска объектов леса. Обычный рядовой контроллер домена хранит у себя полную реплику объектов своего домена, но не других доменов леса. То есть, чтобы найти, например, пользователя из домена А, контроллер домена В должен обратиться к одному из DC домена А для выполнения операции поиска, но такая операция однозначно займет сравнительно продолжительное время, тем более если все контроллеры домена А территориально располагаются совсем в другом месте и к тому же с не самым хорошим каналом связи.

Чтобы иметь возможность быстро выполнить поиск объектов из других доменов, к вам на помощь приходит глобальный каталог, который хранит у себя частичные реплики данных всего леса, помимо БД с объектами собственного домена.

Сказанное выше лучше всего иллюстрирует изображение из официальной документации ¹:

Как видно из рисунка, контроллер домена А, он же и глобальный каталог (сервер справа), содержит частичные реплики доменов B, C, D. Таким образом, для выполнения операции поиска пользователей домена D (или любого другого) сотрудником из домена A, даже не придется обращаться к контроллерам домена D, ведь вся информация уже доступна на сервере глобального каталога его родного домена A. Это также справедливо по отношению к поиску ² любых объектов, которые опубликованы в AD ³ (пользователи, компьютеры, файлы, принтеры, службы).

Поиск объектов, пожалуй, одна из самых важных и частых задач, но есть и другие, в которых главную роль выполняет именно глобальный каталог. Например он участвует в процессе проверки подлинности с помощью основного имени пользователя (User principal name — UPN — имя, которое выглядит как e-mail пользователя).

UPN

Насколько известно, в доменах могут быть заданы альтернативные — дополнительные — «имена доменов». Это может потребоваться для упрощения входа пользователей или для повышения безопасности. Если у вас уже несколько UPN-суффиксов, для каждой конкретной учетной записи вы можете определить суффикс при создании учетки или в свойствах уже созданной:

Чтобы пользователь bissquit@corp.bissquit.com мог залогиниться на рабочей станции домена dev.corp.bissquit.com, контроллеры домена dev.corp.bissquit.com должны иметь доступ к глобальному каталогу, чтобы проверить подлинность пользователя и предоставленные ему разрешения (разумеется этот пользователь должен иметь права для локального входа на данную рабочую станцию).

Универсальные группы

Global catalog предоставляет сведения о членстве пользователя в универсальных группах в мультидоменной среде. При попытке пользователя залогиниться, контроллер домена, через который проходит процесс авторизации, формирует токен, содержащий идентификаторы (SID’ы) всех групп, в которые включена учетная запись пользователя. В свою очередь, получить сведения о членстве учетной записи в универсальных группах, контроллер домена может только у глобального каталога ⁴. Иначе процесс аутентификации в домене с универсальными группами не пройдет (при этом о членстве в других типах групп известно и обычным контроллерам домена).

Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен.

Дополнительные сведения об универсальных группах см. в разделе Область действия группы. Дополнительные сведения об универсальных группах и о репликации см. в разделах Репликация глобального каталога и Глобальные каталоги и сайты.

Как было сказано выше, некоторые приложения очень сильно зависят от доступности глобального каталога. Например Exchange Server извлекает информацию о получателях именно через GC.

Краткие выводы

Сделаем вывод из сказанного выше, а также дополним информацию некоторыми другими фактами:

1. При установке AD DS на первом контроллере домена в лесу, этот же контроллер становится и глобальным каталогом;
2. Данные глобального каталога (частичные реплики других доменов леса) распространяются через механизм репликации;
3. Доступность глобального каталога сильно зависит от сервисов DNS, поскольку при запуске контроллера или при окончании начальной репликации, netlogon публикует SRV-записи, указывающие, что этот сервер является сервером глобального каталога. Впоследствии клиенты узнают о существовании этого сервера GC именно из сведений DNS;
4. Глобальный каталог осуществляет «связь» одного домена леса с другими — выполняет поиск объектов в других доменах, участвует в процессе аутентификации пользователей других доменов на своих рабочих станциях, определяет членство в универсальных группах, разрешает UPN-имена.

Из всего этого следует вывод, что глобальный каталог особенно важен, если речь идет о многодоменной инфраструктуре.

Далее перейдем к лучшим практикам администрирования.

Лучшие практики

Для целей отказоустойчивости крайне важно держать глобальным каталогом как минимум несколько контроллеров домена. Будет лучше, если в каждом домене будет минимум по одному GC. Тем не менее, если у вас есть возможность, лучше сделать серверами Global catalog все DC в лесу. Это положительно скажется ещё и на балансировке нагрузки, не говоря уже о том, что с этого момента можно будет практически не заботиться о FSMO-роли хозяин инфраструктуры (подробнее см. в статье ).

Если все же не получается сделать все DC серверами глобального каталога, то позаботьтесь о том, чтобы сервер-владелец роли хозяин инфраструктуры не располагался на сервере глобального каталога, иначе это приведет к остановке его функционирования (фантомные записи не будут создаваться/изменяться) и как следствие — появлению неактуальных данных.

Администрирование

Некоторые базовые задачи администрирования, связанные с GC, рассмотрены ниже.

Добавить роль GC для КД

Сделать ⁵ сервер глобальным каталогом вы можете из оснастки Active Directory — сайты и службы ⁶. Для этого откройте оснастку, найдите контроллер домена (1), который хотите сделать сервером GC и нажмите правой кнопкой на NTDS Settings (2) нужного вам сервера, открыв свойства:

Откроется окно свойств и на вкладке Общие вам необходимо поставить галочку рядом с Глобальный каталог. Как только репликация данных глобального каталога завершится, через SRV-запись он объявит себя сервером GC.

Добавление UPN-суффикса

Выше я упоминал об UPN-суффиксах. Чтобы добавить дополнительные суффиксы ⁷, нужно зайти в оснастку Active Directory — домены и доверие. Далее — нажать правой кнопкой на имя оснастки и зайти в свойства:

Тут вы сможете добавить дополнительные UPN-суффиксы и уже при создании/изменении учетных записей пользователей выбирать нужные.

Создание дополнительного атрибута

Также есть возможность создания собственных ^{8 9} атрибутов AD. Сделать это можно через оснастку Схема Active Directory (подробнее см. в статье Schema master — Хозяин схемы Active Directory):

Разумеется при любых изменениях схемы необходимо проявлять осторожность и четко понимать к чему могут привести те или иные действия, в противном случае лучше не лезьте

SRV-запись GC в DNS

Проверить регистрацию ¹⁰ серверов глобального каталога в DNS вы можете в соответствующей оснастке в контейнере _tcp зоны прямого просмотра вашего домена:

Ну и последнее.

Проверка готовности GC

Ну а проверить готовность сервера GC можно по инструкции ¹¹:

1) Откройте оснастку Ldp. Чтобы открыть Ldp, нажмите кнопку Пуск, выберите команду Выполнить, введите ldp, а затем нажмите кнопку ОК.
Чтобы открыть Ldp в , ldp.
2) В меню Подключение выберите команду Подключить.
3) В поле Подключиться введите имя сервера, на котором имеется глобальный каталог, чью готовность необходимо проверить.
4) В поле Порт введите 389, если значение 389 не появилось.
5) Снимите флажок Без подключения и нажмите кнопку ОК.
6) В области сведений проверьте, что значение атрибута isGlobalCatalogReady равно TRUE.
7) В меню Подключение выберите команду Отключиться, затем закройте оснастку Ldp.

На этом обзор одной из важнейших ролей контроллеров домена — глобального каталога — завершен. Оставляйте в комментариях свои мнения и замечания.

comments powered by HyperComments

The first domain controller in your infrastructure automatically becomes the first domain controller for the root domain in the AD DS forest. It is also configured as a global catalog server. Additional domain controllers joining AD DS are not promoted to global catalog roles by default, but administrators do have control over this. Administrators can promote or demote domain controllers to or from the global catalog role using the AD Sites and Services management snap-in, as you’ll see shortly.

As a domain controller, the global catalog server contains a full copy of all objects defined in the domain to which this GC server belongs. It also contains a partial copy of all other objects located elsewhere in the AD forest. Figure 4-6 shows the global catalog’s role in the infrastructure.

Physical storage in the Active Directory database on each DC is organized into several segments, called partitions (which may also be referred to as naming

FIGURE 4-6

The global catalog’s role in infrastructure

FIGURE 4-6

The global catalog’s role in infrastructure

dev.flexecom.com corp.flexecom.com dev.flexecom.com corp.flexecom.com contexts). There are four types of partitions: schema, configuration, domain, and application.

There can be only one version of the schema and configuration partitions in any given forest; they are stored on all DCs and are identical across the board. The domain partition stores domain-specific object information only; it is the same on all DCs that belong to the same domain. Domain administrators are allowed to commit changes to this partition. GC-replicated data is a shortened compilation of domain partitions from all domains in any given forest. Figure 4-7 demonstrates this concept.

FIGURE 4-7

Active Directory partitions

Active Directory partitions

AD Domain Controller + Global Catalog

Mandatory — same on all domain controllers in the forest

Mandatory — same on all domain controllers in the forest

Mandatory — same on all domain controllers in the domain

Optional — same on all domain controllers in partition scope

Optional — same on all domain controllers in the forest

In addition to acting as a global search facility, global catalogs also serve the following purposes:

■ User authentication Global catalog servers are used during the authentication process when a UPN (user principal name) is used as the logon name, and the local domain controller does not have information about the user in question. The UPN identifies the username and domain name, following the familiar format of an e-mail address, such as [email protected]. For example, when Catherine travels from Denver (UPN [email protected]) to Brisbane (domain name apac.company.com) and attempts to log on to the network using a workstation in the APAC domain (computer.apac.company. com), the domain controller for apac.company.com will not have any records needed to authenticate Catherine. It will have to query the global catalog in the APAC domain in order to complete the logon process.

■ Universal group membership information Global catalog servers also store universal group membership information, necessary to service authentication requests. Global catalog servers participate in logon processes by supplying global group information to local domain controllers authenticating users. Universal groups as a security mechanism are only available in the AD DS environment when the domain functional level is set to Windows 2000 native mode or higher. (Domain functional levels and group types are discussed later in this chapter in more detail.)

Global catalog servers are required for a successful logon process in all cases, (Job with the exception of administrative logons (in any situation), or logons in an AD DS environment that has only one domain. Administrators can log on to the network whether the global catalog server is accessible or not. This exception allows administrators to do their troubleshooting work during unplanned GC server outages.

Continue reading here: Implementing Additional Global Catalogs

Was this article helpful?