O catálogo global é o conjunto de todos os objetos de uma floresta dos Serviços de Domínio Active Directory (AD DS). O servidor do catálogo global é um controlador de domínio que armazena uma cópia completa de todos os objetos no diretório para seu domínio host e uma cópia parcial somente leitura de todos os objetos para todos os outros domínios na floresta. Os servidores do catálogo global respondem as consultas relacionadas com o catálogo global.

Atributos replicados no catálogo global

As cópias parciais somente leitura de objetos que compõem o catálogo global são descritas como "parciais" porque incluem um conjunto limitado de atributos necessários ao esquema, além dos atributos mais usados nas operações de pesquisa do usuário. Esses atributos são marcados para inclusão no PAS (conjunto de atributos parcial), como parte das definições do esquema. O armazenamento dos atributos mais pesquisados de todos os objetos de domínio no catálogo global otimiza as pesquisas para os usuários sem afetar, contudo, o desempenho da rede com referências desnecessárias aos controladores de domínio e, também, sem exigir um servidor de catálogo global para armazenar grandes quantidades de dados desnecessários.

Funcionalidade do catálogo global

Quando o AD DS é instalado, o catálogo global da nova floresta é criado automaticamente no primeiro controlador de domínio da floresta. É possível adicionar a funcionalidade do catálogo global a outros controladores de domínio. Também é possível remover o catálogo global de um controlador de domínio.

O servidor de catálogo global:

  • Localiza objetos.

    O catálogo global ativa as pesquisas de informações de diretório do usuário em todos os domínios de uma floresta, independentemente do local onde os dados estão armazenados. As pesquisas na floresta são executadas com máxima velocidade e tráfego de rede mínimo.

    Quando um usuário pesquisa pessoas ou impressoras no menu Iniciar ou seleciona a opção Pasta Inteira em uma consulta, ele está utilizando o catálogo global. Depois que o usuário insere uma solicitação de pesquisa, esta será encaminhada à porta 3268 do catálogo global e enviada a um servidor de catálogo global para resolução.

  • Fornece a autenticação do nome principal do usuário.

    Um servidor de catálogo global resolve o nome principal do usuário (UPN) quando o controlador de domínio da autenticação desconhece a conta de usuário. Por exemplo, se uma conta de usuário for localizada em sales1.cohovineyard.com e o usuário efetuar logon com o UPN luis@sales1.cohovineyard.com de um computador localizado em sales2.cohovineyard.com, o controlador de domínio em sales2.cohovineyard.com não encontrará a conta de usuário e deverá contatar um servidor do catálogo global para concluir o processo de logon.

  • Valida as referências de objeto em uma floresta.

    Os controladores de domínio usam o catálogo global para validar as referências a objetos de outros domínios na floresta. Quando um controlador de domínio dispõe de um objeto de diretório com um atributo contendo uma referência a um objeto de outro domínio, ele valida essa referência, contatando um servidor do catálogo global.

  • Fornece informações sobre a associação ao grupo universal em um ambiente de vários domínios.

    O controlador de domínio também pode descobrir associações de um usuário ao grupo local do domínio e ao grupo global e a associação a esses grupos não será replicada no catálogo global. Em uma floresta com um único domínio, o controlador também pode descobrir associações ao grupo universal. Todavia, os grupos universais podem ter membros de domínios diferentes. Por esse motivo, o atributo membro dos grupos universais, que contém a lista de membros no grupo, é replicado no catálogo global. Quando um usuário de uma floresta de vários domínios efetua logon em um domínio onde os grupos universais são permitidos, o controlador de domínio deve contatar um servidor de catálogo global para recuperar as associações desse usuário ao grupo universal em outros domínios.

    Se um servidor de catálogo global não estiver disponível quando um usuário efetuar logon em um domínio em que os grupos universais estão disponíveis, o computador cliente do usuário poderá usar as credenciais armazenadas em cache para fazer logon, se o usuário tiver se conectado no domínio anteriormente. Se, por outro lado, o usuário não tiver se conectado no domínio anteriormente, ele poderá fazer logon no computador local apenas.

    Observação

    O administrador do domínio (conta Administradores Internos) pode sempre efetuar logon no domínio, mesmo quando um servidor de catálogo global não estiver disponível.

Cache de membros de grupos universais

Nos controladores de domínio executando o Windows Server 2003, o Windows Server 2008 ou o Windows Server 2008 R2 em um site sem um servidor de catálogo global, é possível usar o cache de membros do grupo universal para reduzir a necessidade de entrar em contato com um servidor de catálogo global em um site diferente. Quando esse recurso estiver ativado, na primeira vez que o usuário efetuar logon em um domínio onde os grupos universais estão disponíveis, as informações sobre a associação do grupo universal serão armazenadas no controlador de domínio. Posteriormente, o controlador de domínio usará as associações armazenadas em cache para processar o logon, em vez de contatar um servidor de catálogo global.


Sumário