グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。

グローバル カタログにレプリケートする属性

グローバル カタログを構成するオブジェクトの読み取り専用の部分的なコピーには、限定された一連の属性 (スキーマで必要となる属性、およびユーザーの検索操作で最も一般的に使用される属性) が含まれるため、このようなコピーは "部分的" として表されます。これらの属性は、部分的な属性セット (PAS) に含まれるようにスキーマ定義の一部としてマークされます。最もよく検索されるすべてのドメイン オブジェクトの属性をグローバル カタログに格納することで、ユーザーは効率的に検索を実行できます。この検索では、ドメイン コントローラーへの不要な紹介によるネットワーク パフォーマンスへの影響が発生せず、グローバル カタログ サーバーに大量の不要なデータが格納されることもありません。

グローバル カタログの機能

AD DS をインストールすると、新しいフォレストがフォレスト内の最初のドメイン コントローラーで自動的に作成されます。グローバル カタログの機能を別のドメイン コントローラーに追加することができます。また、ドメイン コントローラーからグローバル カタログを削除することもできます。

グローバル カタログの機能は、次のとおりです。

  • オブジェクトを検索する。

    グローバル カタログを使用すると、ユーザーは、データの保存場所にかかわらず、フォレスト内のすべてのドメインにわたってディレクトリ情報を検索できます。最大限の速度と最小限のネットワーク トラフィックで、フォレスト内の検索が実行されます。

    ユーザーやプリンターの検索を [スタート] メニューから実行したり、クエリ内で [ディレクトリ全体] オプションを選択したりすると、グローバル カタログが検索されます。検索要求を入力すると、要求は既定のグローバル カタログのポート 3268 にルーティングされ、解決のためにグローバル カタログ サーバーに送信されます。

  • ユーザー プリンシパル名認証を提供する。

    認証する側のドメイン コントローラーでユーザー アカウントが認識されない場合に、グローバル カタログ サーバーによってユーザー プリンシパル名 (UPN) が解決されます。たとえば、ユーザーのアカウントが sales1 にあり、sales2.cohovineyard.com にあるコンピューターからユーザーが luis@sales1.cohovineyard.com というユーザー プリンシパル名でログオンする場合、sales2.cohovineyard.com にあるドメイン コントローラーでは、ユーザー アカウントが見つからないため、ログオン プロセスを完了するためにグローバル カタログに問い合わせる必要があります。

  • フォレスト内のオブジェクト参照を検証する。

    ドメイン コントローラーでは、フォレスト内の他のドメインにあるオブジェクトへの参照を検証するためにグローバル カタログを使用します。ドメイン コントローラーでディレクトリ オブジェクトが保持されており、そのオブジェクトの属性に別のドメインにあるオブジェクトへの参照が含まれている場合、ドメイン コントローラーでは、グローバル カタログ サーバーに問い合わせることによって、その参照を検証します。

  • マルチドメイン環境でユニバーサル グループ メンバーシップ情報を提供する。

    ドメイン コントローラーによって、そのドメインにあるユーザーのドメイン ローカル グループおよびグローバル グループのメンバーシップが常に検出されますが、それらのグループのメンバーシップはグローバル カタログにレプリケートされません。シングル ドメイン構成のフォレストでは、ドメイン コントローラーによって、ユニバーサル グループ メンバーシップが常に検出されます。ただし、ユニバーサル グループには、別のドメインのメンバーを含めることができます。このため、ユニバーサル グループのメンバーの一覧が含まれる、ユニバーサル グループの member 属性は、グローバル カタログにレプリケートされます。マルチドメイン構成のフォレスト内のユーザーがドメインにログオンするときに、ユニバーサル グループを使用できる場合、ドメイン コントローラーでは、他のドメインにあるそのユーザーのユニバーサル グループ メンバーシップを取得するために、グローバル カタログ サーバーに問い合わせる必要があります。

    ユーザーが、ユニバーサル グループを使用できるドメインにログオンするときに、グローバル カタログが使用できない場合、ユーザーのクライアント コンピューターでは、ユーザーが以前にそのドメインにログオンしたことがあれば、キャッシュされている資格情報を使用して、そのユーザーのログオンを許可します。ユーザーが以前にそのドメインにログオンしたことがない場合、ユーザーはローカル コンピューターだけにログオンできます。

    ドメインの管理者 (Builtin Administrator アカウント) は、グローバル カタログ サーバーが使用できない場合でも、そのドメインにいつでもログオンできます。

ユニバーサル グループ メンバーシップのキャッシュ

Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 が実行されているドメイン コントローラーが、グローバル カタログ サーバーを持たないサイト内にある場合、ユニバーサル グループ メンバーシップのキャッシュを使用することにより、別のサイトにあるグローバル カタログ サーバーへの問い合わせを減らすことができます。この機能を有効にした場合、ユニバーサル グループを使用できるドメインにユーザーが初めてログオンすると、そのユーザーのユニバーサル グループ メンバーシップ情報がそのドメイン コントローラーにキャッシュされます。それ以降、ドメイン コントローラーでは、ログオンを処理するためにグローバル カタログ サーバーに問い合わせるのではなく、キャッシュされたメンバーシップを使用します。

その他の参照情報

目次