Глобальный каталог - это набор всех объектов в лесу доменных служб Active Directory. Сервер глобального каталога - это контроллер домена, на котором хранится полная копия всех объектов в каталоге для собственного домена и частичная, предназначенная только для чтения копия всех объектов во всех других доменах леса. Серверы глобального каталога отвечают на запросы глобального каталога.
Атрибуты, которые реплицируются в глобальный каталог
Частичные, доступные только для чтения копии объектов, из которых состоит глобальный каталог, называются «частичными» потому, что включают в себя ограниченный набор атрибутов - атрибуты, которые востребованы схемой, и атрибуты, которые чаще всего используются в пользовательских операциях поиска. Эти атрибуты отмечены для включения в частичный набор атрибутов как часть определения их схемы. Хранение самых атрибутов, поиск которых выполняется чаще всего, для всех доменных объектов в глобальном каталоге позволяет пользователям более эффективно использовать возможность поиска без снижения сетевой производительности вследствие отсутствия пересылок на контроллеры доменов и без необходимости хранения на сервере глобального каталога большого объема ненужных данных.
Функция глобального каталога
При установке доменных служб Active Directory глобальный каталог для нового леса автоматически создается на первом контроллере домена в лесу. Можно добавить функцию глобального каталога на дополнительные контроллеры домена. Также можно удалить глобальный каталог с контроллера домена.
Сервер глобального каталога выполняет следующие функции:
- Находит объекты.
С помощью глобального каталога пользователи могут выполнить поиск данных каталога во всех доменах леса независимо от места хранения данных. Поиск в лесу выполняется с максимальной скоростью и минимальным сетевым трафиком.
Если пользователь ищет людей или принтеры с помощью функций в меню Пуск или выбирает в запросе параметр Весь каталог, поиск выполняется в глобальном каталоге. После ввода пользователем поискового запроса этот запрос перенаправляется на порт глобального каталога по умолчанию, 3268, и отправляется для разрешения на сервер глобального каталога.
- Обеспечивает проверку подлинности имени
участника-пользователя.
Сервер глобального каталога разрешает имя участника-пользователя, если контроллер домена, проверяющий подлинность, не имеет сведений об учетной записи этого пользователя. Например, если учетная запись пользователя находится в домене sales1.cohovineyard.com, а пользователь входит в систему с именем участника-пользователя luis@sales1.cohovineyard.com с компьютера, который находится в домене sales2.cohovineyard.com, контроллер домена sales2.cohovineyard.com не может найти учетную запись пользователя и должен связаться с сервером глобального каталога, чтобы завершить процесс входа в систему.
- Подтверждает ссылки на объекты в лесу.
Контроллеры домена используют глобальный каталог для подтверждения ссылок на объекты других доменов в лесу. Если контроллер домена содержит объект каталога с атрибутом, содержащим ссылку на объект в другом домене, контроллер домена проверяет ссылку, устанавливая связь с сервером глобального каталога.
- Обеспечивает сведения о членстве в
универсальных группах в среде с несколькими доменами.
Контроллер домена всегда может определить членство в локальной группе или глобальной группе домена для любого пользователя из этого же домена; членства в этих группах не реплицируются в глобальный каталог. В лесу, состоящем из одного домена, контроллер домена всегда может определить членство в универсальной группе. Однако в универсальных группах могут быть члены из других доменов. По этой причине атрибут универсальных групп member, который содержит список членов в группе, реплицируется в глобальный каталог. Если пользователь в лесу с несколькими доменами подключается к домену, где разрешены универсальные группы, контроллер домена должен связаться с сервером глобального каталога для получения членства в универсальных группах, которое может иметь этот пользователь в других доменах.
Если сервер глобального каталога недоступен при входе пользователя в домен, в котором доступны универсальные группы, клиентский компьютер пользователя может использовать для входа кэшированные учетные данные, если пользователь уже подключался к этому домену. Если пользователь ранее не подключался к домену, он может только войти в систему локального компьютера.
Примечание Администратор в домене (встроенная учетная запись администратора) всегда может входить в домен, даже если сервер глобального каталога недоступен.
Кэширование членства в универсальных группах
На контроллерах домена, работающих под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2, в сайте, который не содержит сервер глобального каталога, можно использовать кэширование членства в универсальных группах, чтобы снизить необходимость подключения к серверу глобального каталога, находящегося в другом сайте. Если эта функциональная возможность включена, при первом подключении пользователя к домену, в котором доступны универсальные группы, сведения о членстве пользователя в универсальной группе кэшируются на контроллере домена. Затем контроллер домена использует членства в кэше для обработки входа пользователей вместо подключения к серверу глобального каталога.