Global catalog - глобальний каталог

Глобальний каталог Active Directory (Global catalog) дуже часто називають шостий роллю FSMO і це має під собою певний сенс. Справа в тому, що фактично глобальний каталог роллю FSMO бути не може хоча б через те, що цю роль може в конкретний момент часу тримати як один контролер домену, так і всі контролери домену лісу враз. У той час як ролі Flexible single-master operations може розміщувати на собі тільки один DC і якщо раптом в лісі якимось чином виявляться наприклад два господаря схеми, це неодмінно призведе до катастрофи.

Але чому ж все-таки «шоста роль fsmo»? Подібне визначення, на мій погляд, могли дати тільки з однієї причини - щоб підкреслити важливість цієї ролі для роботи всього лісу AD. Завдання розміщення на сервері глобального каталогу дійсно є дуже важливою для нормального функціонування не тільки служб AD DS, а й ряду інших доменнозавісімих сервісів, наприклад Exchange Server.

У цій статті я постараюся пролити світло на завдання і принцип роботи серверів глобального каталогу, адже про них періодично абсолютно не заслужено забувають.

Якщо вам цікава тематика Windows Server, рекомендую звернутися до рубрики Windows Server на моєму блозі.

Global catalog - Теорія

Як і було сказано вище, глобальним каталогом можуть бути одночасно кілька (або навіть всі враз) контролерів домену в лісі. У середовищах зі складною ієрархією доменів і безліччю DC необхідно забезпечити прийнятне швидкодію повсякденного функціоналу, наприклад пошуку об'єктів лісу. Звичайний пересічний контролер домену зберігає у себе повну репліку об'єктів, які підтримуються вашим, але не інших доменів лісу. Тобто, щоб знайти, наприклад, користувача з домену А. контролер домену В повинен звернутися до одного з DC домену А для виконання операції пошуку, але така операція однозначно займе порівняно тривалий час, тим більше якщо всі контролери домену А територіально розташовуються зовсім в іншому місці і до того ж з не найкращим каналом зв'язку.

Щоб мати можливість швидко виконати пошук об'єктів з інших доменів. до вас на допомогу приходить глобальний каталог, який зберігає у себе часткові репліки даних всього лісу. крім БД з об'єктами власного домену.

Сказане вище найкраще ілюструє зображення з офіційної документації 1:

Наскільки відомо, в доменах можуть бути задані альтернативні - додаткові - імена доменів. Це може знадобитися для спрощення входу користувачів або для підвищення безпеки. Якщо у вас вже кілька UPN-суфіксів, для кожної конкретної облікового запису ви можете визначити суфікс при створенні учеткі або у властивостях вже створеної:

Global catalog - глобальний каталог

Щоб користувач [email protected] міг залогінитися на робочої станції домену dev.corp.bissquit.com. контролери домену dev.corp.bissquit.com повинні мати доступ до глобального каталогу, щоб перевірити справжність користувача і надані йому дозволу (зрозуміло цей користувач повинен мати права для локального входу на дану робочу станцію).

Додаткові відомості про універсальні групах см. В розділі Область дії групи. Додаткові відомості про універсальні групах і про реплікації см. В розділах Реплікація глобального каталогу і Глобальні каталоги і сайти.

Як було сказано вище, деякі додатки дуже сильно залежать від доступності глобального каталогу. Наприклад Exchange Server витягує інформацію про одержувачів саме через GC.

Зробимо висновок зі сказаного вище, а також доповнимо інформацію деякими іншими фактами:

  1. При установці AD DS на першому контролері домену в лісі, цей же контролер стає і глобальним каталогом;
  2. Дані глобального каталогу (часткові репліки інших доменів лісу) поширюються через механізм реплікації;
  3. Доступність глобального каталогу сильно залежить від сервісів DNS, оскільки при запуску контролера або при закінченні початкової реплікації, netlogon публікує А SRV, що вказують, що цей сервер є сервером глобального каталогу. Згодом клієнти дізнаються про існування цього сервера GC саме з відомостей DNS;
  4. Глобальний каталог здійснює «зв'язок» одного домену лісу з іншими - виконує пошук об'єктів в інших доменах, бере участь в процесі аутентифікації користувачів інших доменів на своїх робочих станціях, визначає членство в універсальних групах, дозволяє UPN-імена.

З усього цього випливає висновок, що глобальний каталог особливо важливий, якщо мова йде про багатодоменному інфраструктурі. Далі перейдемо до найкращих практик адміністрування.

Кращі практики

Для цілей відмовостійкості вкрай важливо тримати глобальним каталогом як мінімум кілька контролерів домену. Буде краще, якщо в кожному домені буде мінімум по одному GC. Проте, якщо у вас є можливість, краще зробити серверами Global catalog все DC в лісі. Це позитивно позначиться ще й на балансуванні навантаження, не кажучи вже про те, що з цього моменту можна буде практично не піклуватися про FSMO ролі господар інфраструктури (докладніше див. У статті).

Якщо все ж не виходить зробити все DC серверами глобального каталогу, то подбайте про те, щоб сервер-власник ролі господар інфраструктури не розташовувався на сервері глобального каталогу, інакше це призведе до зупинки його функціонування (фантомні записі не будуть створюватися / змінюватися) і як наслідок - появі неактуальних даних.

адміністрування

Зробити 5 сервер глобальним каталогом ви можете з оснащення Active Directory - сайти і служби6. Для цього відкрийте оснащення, знайдіть контролер домену (1), який хочете зробити сервером GC і натисніть правою кнопкою на NTDS Settings (2) потрібного вам сервера, відкривши властивості:

Global catalog - глобальний каталог

Відкриється вікно властивостей і на вкладці Загальні вам необхідно поставити галочку поруч з Глобальний каталог. Як тільки реплікація даних глобального каталогу завершиться, через SRV-запис він оголосить себе сервером GC.

Вище я згадував про UPN-суффиксах. Щоб додати додаткові суфікси 7. потрібно зайти в оснащення Active Directory - домени і довіра. Далі - натиснути правою кнопкою на ім'я оснащення і зайти в властивості:

Global catalog - глобальний каталог

Тут ви зможете додати додаткові UPN-суфікси і вже при створенні / зміну облікових записів користувачів вибирати потрібні.

Також є можливість створення власних 8 9 атрибутів AD. Зробити це можна через оснащення Схема Active Directory (докладніше див. У статті Schema master - Господар схеми Active Directory). Зрозуміло при будь-яких змінах схеми необхідно проявляти обережність і чітко розуміти до чого можуть привести ті чи інші дії, в іншому випадку краще не лізьте:

Global catalog - глобальний каталог

Global catalog - глобальний каталог

Ну а перевірити готовність сервера GC можна по інструкції 11:

1) Відкрийте оснастку Ldp. Щоб відкрити Ldp, натисніть кнопку Пуск. виберіть команду Виконати. введіть ldp. а потім натисніть кнопку ОК.
Щоб відкрити Ldp в. ldp.
2) В меню Підключення виберіть команду Підключити.
3) В полі Підключитися введіть ім'я сервера, на якому є глобальний каталог, чию готовність необхідно перевірити.
4) У полі Порт введіть 389. якщо значення 389 не з'явилося.
5) Зніміть прапорець Без підключення і натисніть кнопку ОК.
6) У області відомостей перевірте, що значення атрибута isGlobalCatalogReady одно TRUE.
7) У меню Підключення виберіть команду Кінець сеансу. потім закрийте оснащення Ldp.

Global catalog - глобальний каталог