Der globale Katalog ist die Menge aller Objekte in einer AD DS-Gesamtstruktur (Active Directory Domain Services, Active Directory-Domänendienste). Ein globaler Katalogserver ist ein Domänencontroller, auf dem eine vollständige Kopie aller Objekte im Verzeichnis für die dazugehörige Hostdomäne und eine schreibgeschützte Teilkopie aller Objekte für alle anderen Domänen in der Gesamtstruktur gespeichert werden. Globale Katalogserver antworten auf Abfragen des globalen Katalogs.
Auf den globalen Katalog replizierte Attribute
Die schreibgeschützten Teilkopien der Objekte, aus denen der globale Katalog besteht, werden als "Teil-" beschrieben, da sie eine begrenzte Anzahl von Attributen enthalten – die für das Schema erforderlichen Attribute sowie die für Suchvorgänge durch Benutzer am häufigsten verwendeten Attribute. Diese Attribute werden für die Inklusion im Teilattributsatz (Partial Attribute Set, PAS) als Teil der jeweiligen Schemadefinition markiert. Durch das Speichern der am häufigsten gesuchten Attribute aller Domänenobjekte im globalen Katalog werden Suchvorgänge für Benutzer effizienter gestaltet, ohne dabei die Netzwerkleistung durch unnötige Verweise auf Domänencontroller zu beinträchtigen und ohne die Notwendigkeit eines globalen Katalogservers zum Speichern großer Mengen nicht erforderlicher Daten.
Funktionen des globalen Katalogs
Wenn Sie AD DS installieren, wird der globale Katalog für eine neue Gesamtstruktur automatisch auf dem ersten Domänencontroller in der Gesamtstruktur erstellt. Sie können weiteren Domänencontrollern die Funktionen des globalen Katalogs hinzufügen. Sie können den globalen Katalog auch von einem Domänencontroller entfernen.
Mit einem globalen Katalogserver wird Folgendes ermöglicht:
-
Suchen von Objekten
Der globale Katalog ermöglicht Benutzern das Suchen nach Verzeichnisinformationen innerhalb aller Domänen in einer Gesamtstruktur, und zwar unabhängig vom Speicherort der Daten. Suchvorgänge innerhalb einer Gesamtstruktur werden mit maximaler Geschwindigkeit und minimalem Netzwerkverkehr ausgeführt.
Wenn ein Benutzer über das Startmenü nach Personen oder Druckern sucht oder in einer Abfrage die Option Gesamtes Verzeichnis auswählt, durchsucht dieser Benutzer den globalen Katalog. Nachdem der Benutzer eine Suchanforderung eingegeben hat, wird die Anforderung an den Standardport 3268 des globalen Katalogs weitergeleitet und zur Auflösung an den globalen Katalogserver gesendet.
-
UPN-Authentifizierung (User Principal Name, Benutzerprinzipalname)
Ein globaler Katalogserver löst einen Benutzerprinzipalnamen (User Principal Name, UPN) auf, wenn der authentifizierende Domänencontroller das Benutzerkonto nicht kennt. Wenn das Konto eines Benutzers sich beispielsweise in sales1.cohovineyard.com befindet und der Benutzer sich mit dem Benutzerprinzipalnamen luis@sales1.cohovineyard.com von einem Computer aus anmeldet, der sich in Sales2.cohovineyard.com befindet, kann der Domänencontroller in sales2.cohovineyard.com das Konto des Benutzers nicht finden. Daher muss zum Abschließen des Anmeldevorgangs ein globaler Katalogserver kontaktiert werden.
-
Überprüfen von Objektverweisen innerhalb einer Gesamtstruktur
Der globale Katalog wird von Domänencontrollern verwendet, um Verweise auf Objekte anderer Domänen in der Gesamtstruktur zu überprüfen. Wenn ein Domänencontroller über ein Verzeichnisobjekt mit einem Attribut verfügt, das einen Verweis auf ein Objekt in einer anderen Domäne enthält, wird der Verweis vom Domänencontroller überprüft, indem ein globaler Katalogserver kontaktiert wird.
-
Universelle Gruppenmitgliedschaftsinformationen in einer Umgebung mit mehreren Domänen
Ein Domänencontroller kann immer lokale Gruppenmitgliedschaften (in Domäne) und globale Gruppenmitgliedschaften für einen beliebigen Benutzer in der Domäne ermitteln. Die Mitgliedschaft dieser Gruppen wird nicht auf den globalen Katalog repliziert. In einer Gesamtstruktur mit einer einzelnen Domäne kann ein Domänencontroller immer universelle Gruppenmitgliedschaften ermitteln. Universelle Gruppen können jedoch über Mitglieder in unterschiedlichen Domänen verfügen. Aus diesem Grund wird das member-Attribut von universellen Gruppen (mit der Liste der Mitglieder in der Gruppe) auf den globalen Katalog repliziert. Wenn sich ein Benutzer in einer Gesamtstruktur mit mehreren Domänen an einer Domäne anmeldet, in der universelle Gruppen zugelassen sind, muss der Domänencontroller einen globalen Katalogserver kontaktieren, um die universellen Gruppenmitgliedschaften abzurufen, über die der Benutzer möglicherweise in anderen Domänen verfügt.
Wenn ein globaler Katalogserver beim Anmelden eines Benutzers an einer Domäne, in der universelle Gruppen verfügbar sind, nicht verfügbar ist, kann die Anmeldung des Clientcomputers des Benutzers mithilfe zwischengespeicherter Anmeldeinformationen erfolgen, wenn der Benutzer sich bereits zuvor an der Domäne angemeldet hat. Wenn der Benutzer sich nicht zuvor an der Domäne angemeldet hat, kann der Benutzer sich nur am lokalen Computer anmelden.
Hinweis Der Administrator in der Domäne (das vordefinierte Administratorkonto) kann sich immer an der Domäne anmelden, auch wenn kein globaler Katalogserver verfügbar ist.
Zwischenspeichern der universellen Gruppenmitgliedschaft
Auf Domänencontrollern unter Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 an einem Standort ohne globalen Katalogserver kann durch Zwischenspeichern der universellen Gruppenmitgliedschaft vermieden werden, dass ein globaler Katalogserver an einem anderen Standort kontaktiert werden muss. Wenn dieses Feature aktiviert ist, werden bei der ersten Anmeldung eines Benutzers an einer Domäne, in der universelle Gruppen verfügbar sind, die universellen Gruppenmitgliedschaftsinformationen des Benutzers auf dem Domänencontroller zwischengespeichert. Danach verwendet der Domänencontroller zum Anmelden die zwischengespeicherten Mitgliedschaften. Es muss daher kein globaler Katalogserver kontaktiert werden.