De globale catalogus is de set van alle objecten in een AD DS-forest (Active Directory Domain Services). Een globale-catalogusserver is een domeincontroller waarop een volledige kopie wordt opgeslagen van alle objecten in de directory voor het hostdomein en een gedeeltelijke, alleen-lezen kopie van alle objecten voor alle andere domeinen in het forest. Globale-catalogusservers reageren op globale-catalogusquery's.

Kenmerken die worden gerepliceerd naar de globale catalogus

De gedeeltelijke, alleen-lezen kopieën van objecten die de globale catalogus vormen, worden als 'gedeeltelijk' beschreven omdat ze slechts een beperkte set kenmerken bevatten, namelijk de kenmerken die zijn vereist voor het schema en de kenmerken die het meest worden gebruikt in zoekbewerkingen door gebruikers. Deze kenmerken zijn als onderdeel van de schemadefinitie gemarkeerd voor opname in de PAS (Partial Attribute Set). Wanneer de kenmerken die het meest worden gezocht, voor alle domeinobjecten worden opgenomen in de globale catalogus, worden zoekbewerkingen door gebruikers efficiënter zonder dat de netwerkprestaties worden vertraagd door onnodige verwijzingen naar domeincontrollers en zonder dat op een globale-catalogusserver grote hoeveelheden gegevens moeten worden opgeslagen die niet nodig zijn.

Functionaliteit van de globale catalogus

Wanneer u AD DS installeert, wordt de globale catalogus voor een nieuw forest automatisch gemaakt op de eerste domeincontroller in het forest. U kunt globale-catalogusfunctionaliteit toevoegen aan extra domeincontrollers. U kunt de globale catalogus ook verwijderen van een domeincontroller.

Een globale-catalogusserver heeft de volgende functies:

  • Objecten zoeken

    De globale catalogus maakt het mogelijk dat gebruikers directorygegevens kunnen zoeken in alle domeinen in een forest, ongeacht waar de gegevens zijn opgeslagen. Zoekbewerkingen binnen een forest worden uitgevoerd met de maximale snelheid en minimaal netwerkverkeer.

    Wanneer een gebruiker personen of printers zoekt via het menu Start of de optie Gehele Active Directory selecteert in een query, zoekt die gebruiker in de globale catalogus. Nadat de gebruiker een zoekopdracht heeft ingevoerd, wordt die opdracht doorgestuurd naar standaardpoort 3268 voor de globale catalogus en vervolgens naar een globale-catalogusserver om te worden verwerkt.

  • UPN-namen (User Principal Names) omzetten voor verificatie

    Een UPN-naam wordt door een globale-catalogusserver omgezet wanneer de domeincontroller die de verificatie uitvoert, het gebruikersaccount niet kent. Als het account van een gebruiker zich bijvoorbeeld in verkoop1.cohowijnen.com bevindt en de gebruiker zich met de UPN-naam lodewijk@verkoop1.cohowijnen.com aanmeldt vanaf een computer die zich in verkoop2.cohowijnen.com bevindt, kan de domeincontroller in verkoop2.cohowijnen.com het account van de gebruiker niet vinden en moet deze contact opnemen met een globale-catalogusserver om het aanmeldingsproces te voltooien.

  • Objectverwijzingen binnen een forest valideren

    Domeincontrollers gebruiken de globale catalogus om verwijzingen naar objecten van andere domeinen in het forest te valideren. Wanneer een domeincontroller een directoryobject bevat met een kenmerk dat verwijst naar een object in een ander domein, wordt die verwijzing door de domeincontroller gevalideerd door contact op te nemen met een globale-catalogusserver.

  • Informatie bieden over universele groepslidmaatschappen in een omgeving met meerdere domeinen

    Een domeincontroller kan altijd lidmaatschappen van lokale en globale groepen in het domein detecteren voor elke gebruiker in het domein. Het lidmaatchap van deze groepen wordt niet naar de globale catalogus gerepliceerd. In een forest met één domein kan een domeincontroller ook altijd universele groepslidmaatschappen detecteren. Universele groepen kunnen echter leden hebben in verschillende domeinen. Daarom wordt het kenmerk lid van universele groepen, dat alle leden van de groep bevat, naar de globale catalogus gerepliceerd. Wanneer een gebruiker in een forest met meerdere domeinen zich aanmeldt bij een domein waarin universele groepen zijn toegestaan, moet de domeincontroller contact opnemen met een globale-catalogusserver om eventuele universele groepslidmaatschappen van de gebruiker in andere domeinen op te halen.

    Als er geen globale-catalogusserver beschikbaar is wanneer een gebruiker zich aanmeldt bij een domein waarin universele groepen beschikbaar zijn, kan de clientcomputer van de gebruiker referenties in de cache gebruiken om zich aan te melden als de gebruiker zich eerder bij het domein heeft aangemeld. Als de gebruiker zich niet eerder bij het domein heeft aangemeld, kan deze zich alleen bij de lokale computer aanmelden.

    Opmerking

    De administrator in het domein (het ingebouwde Administrator-account) kan zich altijd bij het domein aanmelden, ook als er geen globale-catalogusserver beschikbaar is.

Universele groepslidmaatschappen in cache opslaan

Op domeincontrollers met Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 in een site zonder globale-catalogusserver kunt u universele groepslidmaatschappen in de cache opslaan, zodat minder vaak contact moet worden opgenomen met een globale-catalogusserver in een andere site. Wanneer deze functie ingeschakeld is, worden de gegevens over de universele groepslidmaatschappen van de gebruiker in cache opgeslagen op de domeincontroller wanneer een gebruiker zich de eerste keer aanmeldt bij een domein waarin universele groepen beschikbaar zijn. Daarna gebruikt de domeincontroller de lidmaatschapsgegevens in de cache om de aanmelding te verwerken, zodat geen contact hoeft te worden opgenomen met een globale-catalogusserver.


Inhoudsopgave