Il catalogo globale è l'insieme di tutti gli oggetti di una foresta di Servizi di dominio Active Directory. Un server di catalogo globale è un controller di dominio in cui viene archiviata una copia completa di tutti gli oggetti della directory per il dominio host e una copia parziale di sola lettura di tutti gli oggetti per tutti gli altri domini della foresta. I server di catalogo globale rispondono alle query sul catalogo globale.

Attributi replicati nel catalogo globale

Le copie parziali di sola lettura contenute nel catalogo globale vengono definite "parziali" poiché includono un set limitato di attributi, costituito dagli attributi necessari per lo schema e dagli attributi più comunemente utilizzati nelle operazioni di ricerca degli utenti. Tali attributi vengono contrassegnati per l'inclusione nel set di attributi parziali (PAS) nell'ambito delle relative definizioni dello schema. L'archiviazione degli attributi su cui vengono più comunemente eseguite ricerche per tutti gli oggetti dominio nel catalogo globale garantisce ricerche più efficienti per gli utenti senza influire sulle prestazioni di rete con riferimenti superflui a controller di dominio e senza richiedere l'archiviazione di ingenti quantità di dati non necessari in un server di catalogo globale.

Funzionalità del catalogo globale

Quando si installa Servizi di dominio Active Directory, il catalogo globale per una nuova foresta viene creato automaticamente nel primo controller di dominio della foresta. È possibile aggiungere funzionalità di catalogo globale a ulteriori controller di dominio, nonché rimuovere il catalogo globale da un controller di dominio.

Un server di catalogo globale esegue le operazioni seguenti.

  • Individuazione di oggetti.

    Il catalogo globale supporta ricerche degli utenti relative alle informazioni della directory in tutti i domini di una foresta, indipendentemente dalla posizione in cui i dati sono archiviati. Le ricerche in una foresta vengono eseguite con la massima velocità e un traffico di rete minimo.

    Quando un utente cerca utenti o stampanti dal menu Start oppure seleziona l'opzione Directory completa in una query, la ricerca dell'utente viene eseguita nel catalogo globale. Dopo che è stata immessa dall'utente, una richiesta di ricerca viene indirizzata alla porta predefinita del catalogo globale 3268 e viene inviata a un server di catalogo globale per la risoluzione.

  • Autenticazione del nome dell'entità utente.

    Un server di catalogo globale risolve un nome dell'entità utente (UPN) quando il controller di dominio che esegue l'autenticazione non è in grado di determinare l'account utente. Ad esempio, se l'account di un utente è incluso in vendite1.cohovineyard.com e l'utente accede con l'UPN luigi@vendite1.cohovineyard.com da un computer in vendite2.cohovineyard.com, il controller di dominio di vendite2.cohovineyard.com non è in grado di individuare l'account dell'utente e deve contattare un server di catalogo globale per completare il processo di accesso.

  • Convalida dei riferimenti a oggetti in una foresta.

    I controller di dominio utilizzano il catalogo globale per convalidare i riferimenti a oggetti di altri domini della foresta. Quando un controller di dominio include un oggetto directory con un attributo contenente un riferimento a un oggetto di un altro dominio, il controller di dominio convalida il riferimento contattando il server di catalogo globale.

  • Passaggio di informazioni sull'appartenenza a gruppi universali in un ambiente con più domini.

    Un controller di dominio è sempre in grado di individuare le appartenenze a gruppi globali e gruppi locali di dominio per qualsiasi utente del proprio dominio e l'appartenenza a tali gruppi non viene replicata nel catalogo globale. In una foresta con dominio singolo, un controller di dominio può sempre individuare inoltre l'appartenenza a gruppi universali. I gruppi universali possono tuttavia includere membri di domini diversi. Per questo motivo, l'attributo member dei gruppi universali, contenente l'elenco dei membri del gruppo, viene replicato nel catalogo globale. Quando un utente di una foresta con più domini accede a un dominio in cui sono consentiti gruppi universali, il controller di dominio deve contattare un server di catalogo globale per recuperare qualsiasi appartenenza a gruppi universali di cui l'utente potrebbe disporre in altri domini.

    Se non è disponibile un server di catalogo globale al momento dell'accesso dell'utente a un dominio in cui sono disponibili gruppi universali, il computer client dell'utente può accedere utilizzando le credenziali memorizzate nella cache, a condizione che l'utente abbia in precedenza eseguito l'accesso al dominio. In caso contrario, l'utente può accedere soltanto al computer locale.

    Nota

    L'amministratore del dominio (account Administrator predefinito) può sempre accedere al dominio, anche quando non è disponibile un server di catalogo globale.

Memorizzazione nella cache dell'appartenenza a gruppi universali

Nei controller di dominio che eseguono Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 in un sito che non dispone di un server di catalogo globale, è possibile utilizzare la memorizzazione nella cache dell'appartenenza a gruppi universali per ridurre l'esigenza di contattare un server di catalogo globale di un sito diverso. Quando questa funzionalità è attivata, al primo accesso di un utente a un dominio in cui sono disponibili gruppi universali vengono memorizzate nella cache del controller di dominio informazioni sull'appartenenza dell'utente a gruppi universali. Successivamente, il controller di dominio utilizza le informazioni sull'appartenenza memorizzate nella cache per elaborare l'accesso, anziché contattare un server di catalogo globale.

Ulteriori riferimenti

Argomenti della Guida