Der Active Directory Globale Katalog (GC)

    Teaser NTDS SettingsActive-Directory-Umgebungen können sehr komplex werden: Das Modell "Ein Unternehmen - eine Domäne" spielt selbst bei KMUs kaum eine Rolle; vielmehr hat man es gewöhnlich mit Domänen zu tun, welche die Teilbereiche der Organisation widerspiegeln und eine übergreifende Gesamtstruktur bilden. Die Summe aller Objekte der Gesamtstruktur heißt globaler Katalog (GC).

    In jeder Domäne existiert ein globaler Katalogserver und enthält Kopien aller Objekte der Gesamtstruktur. Die Kopien von Objekten der eigenen Domäne sind dabei komplett, bei den Objekten anderer Domänen handelt es sich um Teilkopien, die nur die für das Schema erforderlichen sowie die für Suchvorgänge durch Benutzer am häufigsten verwendeten Attribute enthalten. Auf diese Weise kann man nach Objekten anderer Domänen suchen, ohne jeweils deren Domänencontroller kontaktieren zu müssen.

    Dazu benötigt man den globalen Katalog

    Der globale Katalog wird zur Abfrage folgender Informationen verwendet:

    • Suchen von Objekten im Active Directory mit minimaler Netzwerkaktivität und maximaler Geschwindigkeit, etwa im bekannten Suchdialog.
    • UPN-Authentifizierung: Meldet man sich per UPN (User Principal Name) an einer anderen Domäne an, wird per GC-Abfrage ermittelt, ob der betreffende Benutzer bekannt und dazu berechtigt ist. Beispiel: Will sich andreas@sales.contoso.com an der Domäne support.contoso.com anmelden, steht der DC für sales.contoso.com nicht zur Verfügung; per GC kann der Benutzers dennoch authentifiziert werden.
    • Der DC einer Domäne fragt den GC beim Prüfen von Verweisen auf Objekte in anderen Domänen ab.
    • Mitgliedschaft in universalen Gruppen – diese wird nicht auf den Domänencontrollern repliziert.

    Globalen Katalogserver konfigurieren

    Pro DC lässt sich festlegen, ob er ein globaler Katalogserver sein sollBeim Erstellen von Domänen wird der erste Domänencontroller (DC) der Gesamtstruktur ein globaler Katalogserver. Man kann diese Funktion auf einen anderen DC verlagern, oder die Funktion anderen DCs zusätzlich hinzufügen. Zu viele GCs in der Gesamtstruktur sorgen allerdings für erhöhten Replikationsbedarf und verschwenden Bandbreite – viel hilft also nicht unbedingt viel, als Faustregel sollte man einen globalen Katalogserver pro physischem Standort einrichten.

    Um einen DC zum GC-Server zu machen, verwendet man die Management-Konsole Active Directory-Standorte und -Dienste. Hier expandiert man den Knoten Standorte, dort den Standort, die den Server enthält, und dort den Knoten Server. Mit der rechten Maustaste klickt man auf den Knoten NTDS-Einstellungen, und findet die Einstellung auf der Registerkarte Allgemein. Bis zur vollständigen Replikation kann es ja nach Größe der Struktur Minuten, aber auch mehrere Stunden dauern.

    Analog man – wenn gewünscht – die Funktion an einem existierenden globalen Katalogserver entfernen. Als Ergebnis hätte man die Funktion an den neuen DC übertragen. Ein globaler Katalogserver muss jeweils pro Gesamtstruktur übrig bleiben, damit sich Mitglieder universeller Gruppen anmelden können. Das Active Directory erkennt, wenn man versucht, den letzten GC-Server zu entfernen, und warnt bei Verwendung der Management-Konsole vor diesem Versuch, lässt ihn nach Bestätigung aber zu.

    GC-lose Anmeldung – Zwischenspeichern der universalen Gruppenmitgliedschaft

    Speichert man univerale Gruppenmitgliedschaften zwischen, werden weniger Anfragen an den globalen Katalog benötigtUm den Datenverkehr beispielsweise zu Außenstellen ohne eigenen globalen Katalogserver zu minimieren, lässt sich die universale Gruppenmitgliedschaft zwischenspeichern (cachen), so dass die GC-Abfrage zu diesem Zweck vermieden werden kann. Sie erfolgt nur bei der ersten Anmeldung eines Benutzers, danach wird sie auf dem lokalen DC zwischengespeichert. Entscheidend dafür ist nicht, ob der Benutzer Mitglied einer universalen Gruppe ist, sondern ob es universale Gruppen in der Gesamtstruktur gibt und diese in der entsprechenden Domäne verfügbar sind. Zusätzlich muss die Funktion eingeschaltet werden. Sie ist eventuell schwer zu finden, weil in diesem Fall das Menü Eigenschaften der Knoten-Ansicht in der linken Spalte der Management-Konsole und der Objektansicht auf der rechten Seite unterschiedlich sind:

    In der Management-Konsole Active Directory-Standorte und -Diensteexpandiert man den Knoten Standorte und dort den Standort, für den das Caching aktiviert werden soll. Hier klickt man mit der rechten Maustaste auf NTDS-Standorteinstellungen im rechten Detailfenster, und dort auf Eigenschaften. Die gesuchte Einstellung findet sich unter der Registerkarte Standorteinstellungen.

    Keine Kommentare