Серверы глобального каталога
Глобальный каталог (global catalog) представляет собой базу данных, содержащую фрагменты всех доменных контекстов имен, образующих пространство имен каталога. Глобальный каталог является важной и неотъемлемой частью Active Directory. В глобальном каталоге содержатся сведения обо всех объектах, принадлежащих к доменным контекстам имен. Однако в глобальном каталоге хранятся не все объекты целиком, а только подмножество их атрибутов. Выбираются те атрибуты, которые чаще всего присутствуют в запросах пользователей.
Атрибуты, размещаемые в глобальном каталоге, определяются в рамках схемы каталога. У каждого класса атрибутов имеется параметр isMemberof FartialAttributeSet. Если значение этого параметра равно TRUE, атрибут будет размещен в глобальном каталоге. Администратор может определить для размещения в глобальном каталоге дополнительные атрибуты. Однако необходимо помнить, что расширение числа атрибутов, заносимых в глобальный каталог, приводит к росту его объема. Соответственно дороже обходится его обслуживание.
Процесс добавления нового атрибута для размещения в глобальном каталоге влечет за собой синхронизацию всех его реплик. Если лес находится на функциональном уровне Windows Server 2003, добавление нового атрибута приведет к репликации только этого атрибута на все носители глобального каталога. Если же лес находится на функциональном уровне Windows 2000, добавление нового атрибута приводит к полной синхронизации всех реплик глобального каталога.
Контроллер домена, выступающий в качестве носителя глобального каталога, принято называть сервером глобального каталога (global catalog server). Необходимо обратить внимание на то, что функции сервера глобального каталога могут быть возложены только на контроллер домена. При этом на контроллере домена создается дополнительный раздел, который используется для размещения базы данных глобального каталога.
Сервер глобального каталога выполняет две функции.
- Поиск объектов. Клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов, основываясь на известных значениях атрибутов. Глобальный каталог хранит в себе информацию обо всех доменных разделах леса. Фактически использование сервера глобального каталога является единственным способом осуществлять поиск объектов по всему лесу доменов.
- Аутентификация пользователей. Сервер глобального каталога предоставляет информацию о членстве пользователя в различных группах с универсальной областью действия (universal group). Эта информация требуется в процессе аутентификации пользователя. Именно на основании членства пользователя в тех или иных группах происходит назначение прав доступа. Более того, сервер глобального каталога необходим в том случае, если для регистрации в системе пользователь использует свое основное имя. Разрешение основного имени осуществляется непосредственно сервером глобального каталога. Если сервер глобального каталога оказывается недоступным, контроллер домена, осуществляющий аутентификацию, не будет располагать данными, необходимыми для авторизации пользователя. В результате пользователю будет отказано в регистрации. Исключение составляют члены группы Domain Admins (Администраторы домена), аутентификация которых осуществляется даже в том случае, когда сервер глобального каталога недоступен.
В лесу доменов должен быть как минимум один сервер глобального каталога. Поэтому по умолчанию обязанности сервера глобального каталога возлагаются на первый контроллер домена, установленный в лесу доменов. Тем не менее, любой контроллер домена может быть сконфигурирован в качестве сервера глобального каталога. Это может быть сделано в силу различных причин. Например, чтобы снизить нагрузку на медленные линии связи, обычно принято устанавливать как минимум по одному серверу глобального каталога для каждого узла.