طرز کار با سرورهای گلوبال کاتالوگ GC

در یک forest اکتیو دایرکتوری با چندین دومین، گلوبال کاتالوگ یک مخزن مرکزی از اطلاعات دومین را برای forest بوسیله ذخیره سازی کپی بخشی partial replicas از پارتیشن دایرکتوری دومین ارائه میدهد. علاوه بر این به عنوان یک دومین کنترولر نیز عمل میکند، یک سرور گلوبال کاتالوگ فعالیتهای زیر را در forest پشتیبانی میکند :

جستجوی دایرکتوری در محیط forest

لاگان و تایید هویت یوزر

کش کردن caching و به روز رسانی Universal group membership

آگاهی گلوبال کاتالوگ و replication

دومین کنترولرها به عنوان سرورهای گلوبال کاتالوگ عمل میکنند و گلوبال کاتالوگ ها کپی های جزئی خود را به تمام دیگر سرورهای گلوبال کاتالوگ در یک forest پخش میکنند. به این خاطر که single master نمیباشد، هر سرور گلوبال کاتالوگ میتواند پردازش کند و پس از آن تغییرات را به دیگر سرورهای گلوبال کاتالوگ replicate کند. از آنجا که آنها یک ست جزئی صفت از تمام اشیاء در یک forest و همچنین اطلاعات universal group membership را ذخیره میکنند، سرورهای گلوبال کاتالوگ قادر به جستجو در پهنای forest و احراز هویت میباشند. وقتی که یوزرها یا ادمین ها منابع را در forest اکتیو دایرکتوری جستجو میکنند، یک سرور گلوبال کاتالوگ پردازش جستجو در گلوبال کاتالوگ را انجام میدهد و سپس نتیجه را برمیگردند. بدون یک گلوبال کاتالوگ، جستجو در منابع forest باید به صورت جداگانه در هر دومین مربوط به forest انجام شود .

دنیای واقعی : سرورهای گلوبال کاتالوگ یا باید پارتنرهای replication در همه دومین های داخل forest داشته باشند و یا قادر باشند با یک سرور گلوبال کاتالوگ دیگر replication کنند. توپولوژی برای سرورهای گلوبال کاتالوگ بطور اتوماتیک که دانش جستجوگر سازگاری Knowledge Consistency Checker - KCC نام دارد ساخته میشود. KCC همچنین یک ماتریس ارزش cost محل نزدیکترین سرور گلوبال کاتالو�� با توجه به تنظیمات ارزش لینک site انجام میدهد. سرورهای گلوبال کاتالوگ رکورد A سرویس خاص گلوبال کاتالوگ را در DNS رجیستر میکنند و کلاینت با توجه به site اسکن میکند. اگر هیچ سرور گلوبال کاتالوگ در site ای که یوزر لاگان میکند وجود نداشته باشد، یک سرور گلوبال کاتالوگ در site نزدیک استفاده میشود، با توجه به ارزش ماتریکس توسط KCC که از روی ارزش لینک site تولید شده است .

در طی لاگان یوزر به صورت interactive ، دومین کنترولری که اعتبار authenticating شناسه امنیتی security identifiers – SIDs را بازیابی میکند که کامپیوتر یوزر نیاز به ساختن رمز دسترسی access token یوزر دارد. برای بازیابی SIDs از تمام گروه های universal که یوزر به آنها تعلق دارد، دومین کنترولری که اعتبار را چک میکند، نیاز به ارتباط با سرور گلوبال کاتالوگ دارد. اگر در یک site سرور گلوبال کاتالوگ در زمانی که یوزر لاگان به دومین میکند در دسترس نباشد و در این دومین گرو های universal وجود داشته باشد، کامپیوتر میتواند از اعتبارات کش شده cached credentials برای لاگان یوزر استفاده کند، اما فقط زمانی که قابلیت کش فعال باشد و یوزر قبلا با همین کامپیوتر به دومین لاگان کرده باشد. اگر یوزر با این کامپیوتر قبلا لاگان به دومین نکرده باشد، کامپیوتر نمیتواند از اعتبارات کش شده cached credentials استفاده کند و یوزر فقط میتواند به صورت لوکال لاگان کند .

توجه: از آنجایی که گلوبال کاتالوگ اطلاعات مربوط به عضویت گروه ها را در forest ذخیره میکند، دسترسی به یک سرور گلوبال کاتالوگ، احتیاج به احراز هویت authentication اعتبارات کش نشده noncached credentials در یک forest با چندین دومین دارد. قبل از اینکه یوزر بتواند از اعتبارات کش شده استفاده کند، شما باید قابلیت universal group membership caching را فعال کنید. وقتی کش کردن فعال است، دومین کنترولرهایی که ویندوز سرور ۲۰۰۳ یا جدیدتر هستند، عضوهای گروه را کش میکنند و کش را با ارتباط به سرور گلوبال کاتالوگ به روز رسانی میکنند .

علاوه بر این، اگر یوزر اسم لاگان logon name مشخص را به صورت اسم اصلی یوزر user principal name - UPN استفاده کند و دومین کنترولری که احراز هویت را انجام میدهد، هیچ اطلاعاتی از این اکانت نداشته باشد، این دومین کنترولر با سرور گلوبال کاتالوگ ارتباط برقرار میکند تا دومینی که یوزر مربوط به آن است را جستجو کند. دلیل این کار بخاطر این میباشد که در ارتباط با DNS domain suffix یک UPN لزومی ندارد که دومین آن یوزر باشد و شناسایی دومین آن یوزر شاید احتیاج به ارتباط با سرور گلوبال کاتالوگ باشد. بطور مثال اگر اکانت یک یوزر در ny.tech.cpandl.com باشد و یوزر با williams@cpandl.com لاگان کرده باشد، نام دومین در UPN suffix با دومین یوزر یکی نیست و دومین کنترولری که احراز هویت را انجام میدهد مجبور است با یک سرور گلوبال کاتالوگ ارتباط داشته باشد تا دومین یوزر را شناسایی کند .

صرف نظر از اینکه یک دومین کنترولر، سرور گلوبال کاتالوگ نیز است، نمایش فیزیکی داده های اکتیو دایرکتوری یک فایل Ntds.dit دیتای منفرد و تک است. در یک دومین کنترولر نوشتنی که سرور گلوبال کاتالوگ نیست، Ntds.dit شامل کامل، کپی از هر شی object در پارتیشن دایرکتوری دومین domain directory partition برای دومین خود و همچنین یک پارتیشن پیکربندی دومین configuration directory partition نوشتنی میباشد. در یک دومین کنترولر نوشتنی که سرور گلوبال کاتالوگ نیز میباشد، Ntds.dit شامل کامل، کپی از هر شی object در پارتیشن دایرکتوری دومین برای دومین خود، یک کپی جزئی خواندنی از هر شی در پارتیشن دایرکتوری دومین برای دومین های دیگر در forest ، همچنین یک پارتیشن پیکربندی دومین نوشتنی میباشد. به هر حال اگر دومین کنترولر صاحب رول schema operations master برای forest باشد، دارای یک پارتیشن طرح دایرکتوری schema directory partition نوشتنی نیز میباشد. در غیر اینصورت دارای یک پارتیشن طرح دایرکتوری خواندنی است .


کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری