글로벌 카탈로그는 AD DS(Active Directory 도메인 서비스) 포리스트의 모든 개체 집합입니다. 글로벌 카탈로그 서버는 호스트 도메인에 대해서는 디렉터리에 있는 모든 개체의 전체 복사본을 저장하며 포리스트의 다른 모든 도메인에 대해서는 모든 개체의 부분적인 읽기 전용 복사본을 저장하는 도메인 컨트롤러입니다. 글로벌 카탈로그 서버는 글로벌 카탈로그 쿼리에 응답합니다.
글로벌 카탈로그에 복제되는 특성
글로벌 카탈로그를 구성하는 개체의 부분적인 읽기 전용 복사본은 제한된 특성 집합, 즉 스키마에 필요한 특성과 사용자 검색 작업에 가장 많이 사용되는 특성을 포함하므로 "부분적"이라고 지칭합니다. 이러한 특성은 스키마 정의의 일부로 PAS(부분 특성 집합)에 포함되도록 표시됩니다. 모든 도메인 개체의 가장 많이 검색되는 특성을 글로벌 카탈로그에 저장하면 도메인 컨트롤러를 불필요하게 참조하지 않아도 되고 글로벌 카탈로그 서버가 불필요하게 많은 데이터를 저장하지 않아도 되기 때문에 사용자는 네트워크 성능에 영향을 주지 않은 채 더 효율적으로 검색을 수행할 수 있습니다.
글로벌 카탈로그 기능
AD DS를 설치하면 포리스트의 첫 번째 도메인 컨트롤러에 새 포리스트에 대한 글로벌 카탈로그가 자동으로 작성됩니다. 추가적인 도메인 컨트롤러에 글로벌 카탈로그 기능을 추가할 수 있습니다. 도메인 컨트롤러에서 글로벌 카탈로그를 제거할 수도 있습니다.
글로벌 카탈로그 서버:
-
개체를 찾습니다.
글로벌 카탈로그를 사용하면 사용자는 데이터 저장 위치에 관계 없이 포리스트의 모든 도메인에서 디렉터리 정보를 검색할 수 있습니다. 포리스트 내에서 최대한의 속도와 최소한의 네트워크 트래픽으로 검색이 수행됩니다.
사용자가 시작 메뉴에서 사용자나 프린터를 검색하거나 쿼리에서 전체 디렉터리 옵션을 선택하면 글로벌 카탈로그를 검색하게 됩니다. 사용자가 검색 요청을 입력하면 이 요청은 기본 글로벌 카탈로그 포트 3268로 라우팅되고 확인을 위해 글로벌 카탈로그 서버로 전송됩니다.
-
UPN(사용자 계정 이름) 인증을 제공합니다.
인증 도메인 컨트롤러에서 사용자 계정이 인식되지 않으면 글로벌 카탈로그 서버는 UPN(사용자 계정 이름)을 확인합니다. 예를 들어 사용자의 계정이 sales1.cohovineyard.com에 있고 사용자가 sales2.cohovineyard.com에 있는 컴퓨터에서 luis@sales1.cohovineyard.com의 UPN을 사용하여 로그온한 경우 sales2.cohovineyard.com의 도메인 컨트롤러는 사용자의 계정을 찾을 수 없으며 로그온 프로세스를 완료하려면 글로벌 카탈로그 서버에 연결해야 합니다.
-
포리스트 내에서 개체 참조를 확인합니다.
도메인 컨트롤러는 글로벌 카탈로그를 사용하여 포리스트에 있는 다른 도메인의 개체에 대한 참조를 확인합니다. 도메인 컨트롤러에 다른 도메인의 개체에 대한 참조가 포함된 특성을 가진 디렉터리 개체가 있는 경우 도메인 컨트롤러는 글로벌 카탈로그 서버에 연결하여 참조를 확인합니다.
-
다중 도메인 환경에서 유니버설 그룹 구성원 자격 정보를 제공합니다.
도메인 컨트롤러는 도메인의 모든 사용자에 대한 로컬 그룹 및 글로벌 그룹 구성원 자격을 항상 검색할 수 있으며 이들 그룹의 구성원 자격은 글로벌 카탈로그에 복제되지 않습니다. 단일 도메인 포리스트에서는 도메인 컨트롤러가 항상 유니버설 그룹 구성원 자격도 검색할 수 있습니다. 하지만 유니버설 그룹의 구성원은 다른 도메인에 있을 수도 있습니다. 따라서 그룹의 구성원 목록이 포함된 유니버설 그룹의 member 특성은 글로벌 카탈로그에 복제됩니다. 다중 도메인 포리스트의 사용자가 유니버설 그룹이 허용되는 도메인에 로그온하는 경우, 도메인 컨트롤러는 글로벌 카탈로그 서버에 연결하여 사용자가 다른 도메인에서 갖고 있을 수 있는 모든 유니버설 그룹 구성원 자격을 검색해야 합니다.
유니버설 그룹을 사용할 수 있는 도메인에 사용자가 로그온했을 때 글로벌 카탈로그 서버를 사용할 수 없는 경우, 사용자가 이전에 도메인에 로그온한 적이 있으면 사용자의 클라이언트 컴퓨터는 캐시된 자격 증명을 사용하여 로그온할 수 있습니다. 사용자가 이전에 도메인에 로그온한 적이 없는 경우에는 로컬 컴퓨터에만 로그온할 수 있습니다.
참고 도메인의 관리자(Builtin Administrator 계정)는 글로벌 카탈로그 서버를 사용할 수 없는 경우에도 항상 도메인에 로그온할 수 있습니다.
유니버설 그룹 구성원 자격 캐싱
글로벌 카탈로그 서버가 없는 사이트에서 Server 2003, Windows Server 2008 또는 Windows Server 2008 R2를 실행하는 도메인 컨트롤러의 경우에는 유니버설 그룹 구성원 자격 캐싱을 사용하여 다른 사이트의 글로벌 카탈로그 서버에 연결해야 하는 필요성을 줄일 수 있습니다. 이 기능을 사용할 수 있게 하면 사용자가 유니버설 그룹이 사용 가능한 도메인에 처음 로그온할 때 사용자의 유니버설 그룹 구성원 자격 정보가 도메인 컨트롤러에 캐시됩니다. 이렇게 하면 도메인 컨트롤러가 글로벌 카탈로그 서버에 연결할 필요 없이 캐시된 구성원 자격을 사용하여 로그온을 처리합니다.