Глобальный каталог и его роль.После того как мы с вами рассмотрели что такое служба каталогов Микрософт ActiveDirectory а так же ее основные логические и физические
компоненты нужно еще рассмотреть такое понятие которое тесно связано с ActiveDirectoryкак
– глобальный каталог. Итак, давайте разберем, что такое глобальный каталог. Пусть
у нас есть большая фирма, которая имеет лес доменов. Что такое лес, домен смотрите здесь. И вот нам нужно найти какой-то объект из нашей
фирмы, пусть будет какой-то принтер. Но как мы уже знаем объекты хранятся в службе
каталога ActiveDirectory
а каждая ActiveDirectoryответственна только за свой домен. Тогда получается нам
нужно лазить по всем доменам в их службе каталогов ActiveDirectory и в каждом домене
искать данный объект в нашем случае принтер. Довольно утомительная согласитесь
операция. И вот подумал Бил Гейц,
подумал и решил тогда Мелкосфт что надо, что то придумать, что бы облегчить
такой поиск, снизить нагрузку на сеть и прочие. И придумали они тогда такую
штуку как «Глобальный каталог» (globalcatalog). То есть глобальный каталог возвышается
над всеми местными службами каталогов ActiveDirectory и хранит информацию об о всех объектах леса или дерева предприятия или фирмы. Глобальный каталог представляет из себя базу данных об объектах дерева или леса. Но
данная база данных главного каталога только частичная, то есть не полная база данных
как в случае с ActiveDirectory
домена и предназначена она только для чтения. Она содержит только фрагменты всех контекстных
доменных имен (о пространстве имен смотрите здесь) дерева или леса. То есть эта
база данных скажем так - между нами пацанами «кастрирована» слегка, так как она
не содержит весь перечень атрибутов объектов хранящихся в доменах а именно в ActiveDirectoryконкретного
домена. Скажу еще одну умную фразу, которая нам понадобится в дальнейшем, а вы
пока привыкните к ней – глобальный каталог содержит частичную реплику каждого
контекста имен каталога ActiveDirectory,
а по простому что данная база не
содержит полный набор атрибутов который
хранится в ActiveDirectory
домена, что уже было сказано выше. По умолчанию глобальный каталог автоматически создается на
исходном контроллере домена первого леса. Контролер домена, на котором хранится копия главного каталога,
называется сервером глобального каталога (globalcatalogserver). Сервером глобального каталога
можно назначить любой контроллер домена в рамках леса нашего предприятия. Хочу теперь добавить, так как выше что бы вас не запутать
совсем, не сказал то что - вообще глобальный каталог хранит все информацию об
объектах в том домене, в котором он был создан и частичную информацию об
объектах остальных доменах дерева или леса. Смотрите рисунок 1. 
Рисунок 1. Информация из глобального каталога в ActiveDirectory распространяется между серверами глобального каталога в других доменах путем репликации. Cнова это слово но о ней мы уже упоминали вскользь вот здесь и еще будем говорить. Повторяюсь - на сервере главного каталога хранится полная реплика всех атрибутов объектах каталога, принадлежащих домену в котором в котором "живет, создан" данный сервер каталога и частичная реплика атрибутов объектов каталога, относящимся ко всем остальным доменам леса или дерева. Частичная реплика включает в себя как правило наиболее часто используемые при поиске атрибуты ( например имена и фамилии пользователей, их логины и так далее), а это позволяет пользователям находить объекты даже не зная в каком домене находится этот объект. Забегая чуть вперед хочу сказать что в первый контроллер домена установленный, автоматически становится и сервером глобального каталога или еще можно сказать контроллером глобального каталога. Дополнительные контроллеры домена можно назначить как GC, выбирая опцию Global Catalog Server (Сервер глобального каталога) в инструменте администрирования Active Directory Sites And Services (Сайты и службы Active Directory). Это делается с целью оптимизации входа в систему. Как используется каталог GC в процессе входа в систему, рассмотрим позже. Функции глобального каталога У глобального каталога две основные функции (по штатному расписанию - шутка, гы..), а именно: - он позволяет осуществлять поиск в независимости от того из какого домена мы осуществляем поиск и в каком домене находится искомый объект в рамках нашего леса или домена.
теперь чуть по- взрослому. Без каталога GC поиск по запросам, полученным контроллером домена, который не обладает запрошенным объектом, приведет к тому, что он переправит запрос на контроллер домена другого домена, увеличивая и нагрузку на сеть и на обработку данного запроса непосредственно другим контроллером. Поскольку GC-каталог содержит полный список всех объектов леса или дерева (но не содержит полный набор атрибутов объекта), GC-сервер может ответить на любой запрос, используя атрибут, который копировался в GC-каталог, без необходимости передавать его другому контроллеру домена. Запрос, который послан GC-серверу, является LDAP-запросом (Lightweght Directory Access Protocol — облегченный протокол службы каталогов), использующим порт 3268 (заданный по умолчанию порт GC-каталога). Не пугайтесь и это со временем разберем, теперь просто надо запомнить что запросы к ГК осуществляются по протоколу LDAP. - с помощью глобального каталога GC регистрация пользователей в сети сводится к предоставлению контроллеру домена, на котором происходит процесс регистрации, информации о членстве в универсальных группах (о группах мы поговорим отдельно, пока необходимо помнить что универсальная группа эта группа которая может содержать учетные записи, а так же и другие группы (т.е. включенные в нее, ну как в контейнер) из любого домена нашего леса).
GC-серверы необходимы для обработки пользовательских входов в систему. Обычно каждый раз, когда пользователь входит в домен, выполняется обращение к GC-каталогу. Это происходит потому, что контроллеры домена, не являющиеся глобальными, не содержат никакой информации об универсальном членстве группы. (Универсальные группы имеются только в доменах, обладающих функциональным уровнем Microsoft Windows 2000 или Windows Server 2003.) Так как универсальное групповое членство распространяется на лес, то групповое членство может быть разрешено только тем контроллером домена, который имеет информацию каталога на уровне леса, т.е. информацию глобального каталога (GC).
Или еще можно так сказать - при регистрации пользователя в сети, GC передает контроллеру домена (который занимается переработкой (перевариванием) информации о пользователе т.е его регистрационных данных) информацию о том - является данная учетная запись членом универсальной группы или нет.
Если у нас в домене единственный контроллер домена то именно на нем и размещен сервер глобального каталога (по умолчанию). Если же несколько контроллеров то сервер глобального каталога размещается на один из них. Но в любом случае если сервер GC недоступен регистрация пользователя возможна только локально на компьютере. Исключением есть те случаи когда сайт так сконфигурирован что позволяет при попытке регистрации пользователя кэшировать (временно запоминать) результаты поиска соответствия предоставленной регистрационной записи какой то группе. Но есть и исключения. Если пользователь состоит в группе "Администраторы домена" (Domain Admins) то он может регистрироваться в сети невзирая на неготовность по тем или иным причинам сервера глобального каталога. Ладно я что - то заумничал, к этому мы еще вернемся. Поскольку каждый GC содержит обо всех объектах во всех доменах леса, запросы об отсутствующих в локальном домене объектах обрабатываются на сервере глобального каталога в домене, в котором этот запрос был подан, и это поиск информации в каталоге не связан с генерацией дополнительного трафика вне границы данного домена, а как мы уже помним GC обмениваются между собой информацией посредством репликации. Кажись пожалуй пока фсё...о глобальном каталоге.
Если что не понятно задавайте вопросы на форуме.
| 
