Kategorien

Wer oder was ist der globale Katalog (GC)?


Wenn Suchoperationen in einem Active Directory nach bestimmten Informationen durchgeführt werden sollen, kann es in größeren Umgebungen länger
dauern, wenn dafür jedes Objekt und jedes Attribut einzeln angefasst werden müsste.
Um die Suche im Active Directory schnell abwickeln zu können,
benutzt das Active Directory den „globalen Katalog“.

 

Der globale Katalog hat keine eigene, sondern eine vom Active Directory abgeleitete Datenbank. Denn schließlich macht es keinen Sinn,
alle Objekte die bereits im Active Directory existieren, doppelt im globalen Katalog zu führen.


In den globalen Katalog werden alle Active Directory-Objekte einer Gesamtstruktur repliziert. Der GC speichert die vollständige Domänenpartition
(alle Objekte samt allen Attributen) der eigenen Domäne, in der sich der globale Katalog befindet. Alle Objekte der Domänenpartition anderer Domänen
befinden sich ebenfalls im GC, es werden aber nicht alle Attribute der Objekte gespeichert. Lediglich die Attribute, die für eine Suchoperation relevant
sein könnten (z.B. der DN eines Objekts) werden gespeichert.
Des Weiteren hat der GC einen Index, in dem hinterlegt ist, welches Objekt auf welchem
Domänencontroller im Active Directory liegt. Weiterhin kennt er jede Domänenpartition in der Gesamtstruktur und weiß z.B. welcher Domänencontroller
an welchem Standort steht.  

Innerhalb seiner Domäne sind die Informationen sofort auch über den GC verfügbar. Die Informationen aus den anderen Domänen werden über die
normale Replikation auf die Server übertragen.

 

Der erste Domänencontroller der in einer Gesamtstruktur installiert wird, ist automatisch auch ein globaler Katalog.
Alle weiteren Domänencontroller sind standardmäßig keine GCs.   

 

Wenn man auf einem weiteren Domänencontroller den GC aktivieren möchte, so gilt es das Snap-In Active Directory-Standorte und -Dienste aufzurufen,
den Standort in dem sich der Domänencontroller befindet auszuwählen, den Server zu erweitern damit dann in den NTDS-Eigenschaften
der Haken für den globalen Katalog gesetzt werden kann.


Man kann auch auf einem Domänencontroller den GC, auf folgende Weise aktivieren:

  • Sollen auf allen DCs einer bestimmten Domäne der GC aktiviert werden, so kann folgender Befehl verwendet werden:
    DSQUERY Server -domain intra.dikmenoglu.de | DSMOD Server -isgc yes

 

Es können beliebig viele GCs in der Gesamtstruktur existieren (es gibt keine physikalische Grenze).
Möchte man sich alle globalen Kataloge in der Gesamtstruktur anzeigen, so kann man das NSLOOKUP dazu verwenden.

Der Befehl würde lauten: nslookup gc._msdcs.<Root-Domäne>.
Der Nachteil an diesem Befehl ist, dass lediglich die IP-Adressen angezeigt werden und keine Servernamen.

Eine weitere Variante über das DNS die globalen Kataloge der Gesamtstruktur abzufragen, wäre wie folgt:
Dnscmd %Logonserver% /Enumrecords %Userdnsdomain% _tcp | find /i „3268“

Möchte man alle DCs in der Gesamtstruktur, auf denen der GC aktiviert ist mit ihren Namen angezeigt bekommen,
so lässt sich dies mit folgendem Befehl lösen: Dsquery server –forest -isgc
Oder so:
Dsquery * „CN=Configuration,DC=Root-Domäne“ -Filter „(&(objectCategory=nTDSDSA)
(options:1.2.840.113556.1.4.803:=1))“

Alle globalen Katalogserver einer bestimmten Domäne, werden mit folgendem Befehl angezeigt:
Dsquery server -domain intra.dikmenoglu.de -isgc.

Die globalen Katalogserver eines bestimmten Standorts, können mit diesem Befehl angezeigt werden:
Dsquery server –site <Standortname> -isgc

 

 

Des Weiteren bekommt man auch, auf einen Blick die GCs in der Gesamtstruktur mit ihrem NetBIOS-Namen, im REPLMON zu sehen.
Dazu gilt es im REPLMON (das sich in den Windows Support Tools befindet) eine Verbindung zu einem DC herzustellen,
einen Rechtsklick auf den Servernamen zu tätigen und dann die Option „Show Global Catalog Servers in Enterprise“ auszuwählen.

 

Welche Attribute werden denn im globalen Katalog gespeichert?

 

Microsoft hat vorgegeben, welche Attribute in den globalen Katalog repliziert werden.

Common Default Attributes Set for Active Directory and Global Catalog

Natürlich ist es möglich, weitere Attribute die für die eigene Umgebung relevant wären (wenn z.B. das Active Directory durch eine Applikation erweitert
wird), mit in den globalen Katalog aufzunehmen, aber Achtung – das bedeutet mehr Speicherplatz!

 

Möchte man nun weitere Attribute in den GC repliziert haben, so gilt es in einer MMC das „Active Directory-Schema“ Snap-In aufzurufen.

 

Hinweis: Das Schema Snap-In ist erst sichtbar, wenn vorher unter Start – Ausführen der Befehl „regsvr32 schmmgmt.dll“ ausgeführt wurde.

Da diese Einstellung eine Änderung am Schema bedeutet, dürfen diese Anpassungen auch nur von der Gruppe „Schema-Admins“ vorgenommen werden.

 

Natürlich sollten Modifizierungen am Schema mit größter Vorsicht (wenn überhaupt nötig) getätigt und die gewünschten Änderungen vorher in einer
Testumgebung getestet worden sein, damit es in der Produktionsumgebung keine bösen Überraschungen gibt.

 

In den Eigenschaften eines Attributs kann man sehen, dass mehrere Optionen gesetzt werden können:

Die beiden markierten Optionen sind von besonderer Bedeutung was die Effizienz bei Zugriffen auf das Active Directory betrifft:

  • Die Option „Attribut in Active Directory indizieren“ bedeutet, dass auf dem globalen Katalog eine Indexierung des Attributs erfolgen soll
  • Mit der Option „Attribut in den globalen Katalog replizieren“ wird festgelegt, dass ein Attribut in den globalen Katalog aufgenommen werden soll.
    Aber Achtung, falls ein Attribut in den GC aufgenommen wird, repliziert sich in einer Multi-Domänen Gesamtstruktur der GC komplett neu mit
    den anderen GCs, wenn sich der Gesamtstrukturfunktionsmodus nicht auf der Ebene „Windows Server 2003“ befindet. Befindet sich hingegen der
    Gesamtstrukturfunktionsmodus auf „Windows Server 2003“, so wird nur das Attribut repliziert, das in den GC aufgenommen wurde.

Quelle:  http://blog.dikmenoglu.de/PermaLink,guid,3dc2b382-f818-45ce-bcd2-f86922196585.aspx