A globális katalógusok szerverei, csak összetettek
Minden rendszergazda, amely együttműködik az Active Directory tartományi szolgáltatások legalább egyszer munkája során szembesül a globális katalógus, de nem mindenki hiszi, a rendszergazda, hogy mi van a globális katalógus, és mi az a. A Globális Katalógus (GC) egy elosztott adattárház, amely minden objektumról információt tárol, és megkönnyíti a keresést az Active Directory erdőben. A globális katalógus olyan tartományvezérlőkön tárolódik, amelyeket globális katalógusszerverekként jelöltek ki és több párhuzamon keresztül történő replikáció útján osztottak szét. Az erdőben telepített első tartományvezérlő automatikusan konfigurálódik globális katalógusszerverként. Átviheti a globális katalógus funkcióit más tartományvezérlőkre, és megváltoztathatja az alapértelmezetten beállított globális katalógus helyét egy másik vezérlőre mutató hivatkozással. A globális katalógus lehetővé teszi a felhasználók és alkalmazások objektumokat találni bármely területén a jelenlegi erdőben keres az attribútumok szerepelnek a globális katalógus, amely azonosítja a rendszer, mint egy bizonyos attribútumok (Részleges Képesség Set, PAT). Tegyük fel, hogy van egy három doménnel rendelkező erdő, amely minden tartományban két tartományvezérlőt tartalmaz. Mind a hat tartományvezérlő támogatja a séma replikációját és az erdő konfigurálását. Ennek megfelelően a tartományvezérlőit tartalmazza azokat a tartomány névhasználati környezet mása tartományvezérlőit B - replika tartománynév B és a C, illetve a domain replika tartományvezérlőkön C. Tételezzük fel az alábbiakat: C domén a felhasználó meg akarja találni a felhasználó domain A. Ebben az esetben , amikor egy C domainben lévő felhasználó egy A domain objektumot keres, a lekérdezés eredményei globális katalógust biztosítanak. Ha azonban az objektum olyan speciális attribútumot tartalmaz, amely alapértelmezés szerint nem szerepel a globális katalógusban, akkor ezt az attribútumot hozzáadhatja az Active Directory séma beépülő moduljához. Így, ha nem volt globális katalógusszerver, akkor a tartományvezérlő, amely más domainekben lévő keresési lekérdezéseket kap, továbbítaná a keresési lekérdezéseket a célobjektummal rendelkező domain vezérlőjéhez. Ebben a cikkben megismerkedhet a globális katalógusszerverek fogalmával, az architektúrájukkal, protokolljaikkal, folyamataikkal, fizikai struktúrájával, valamint a technológiával kapcsolatos sokféle árnyalattal kapcsolatban.
A globális katalógus kölcsönhatása más kiszolgáló technológiákkal
A globális katalógusszerverek együttműködnek a következő technológiákkal:
Az Active Directory telepítése. A globális katalógus automatikusan konfigurálódik az erdőben telepített első tartományvezérlőn;
A globális katalógusszerverek és a kiszolgáló technológiák kölcsönhatása a következő:
Ábra. 1. Példa arra, hogyan működnek együtt a globális katalógusszerverek az Active Directory tartományi szolgáltatásokkal
Egy új DC02 tartományvezérlő létrehozása után a rendszergazda globális katalógusszerverként definiálja, és az attribútumok részleges készletét a DC01-ből replikálja. Az A tartományban a DC01 megismétli az A domén DC02-es változatait, és a DC02 ismétli a B. domain DC01 adatfrissítéseit.
Az első lépésben az „A” kliens számítógép KlientH kérést küld a globális katalógus, amely átirányítja a DNS kérést a szerver keresni a legközelebbi globális kiszolgáló „B”, akkor az ügyfél kapcsolatok a globális kiszolgáló ellássa lekérdezés „C”.
Fejlesztés és forgatókönyvek globális katalógusszerverek használatához
A globális katalógusszervert általában a következő alfejezetekben leírt helyzetekben használják.
Objektumok keresése
Mivel a tartományvezérlő úgy működik, mint a globális kiszolgáló, amely tartalmazza a tárgyak minden domain az erdő, a globális katalógus segítségével a felhasználók és az alkalmazások a képesség, hogy keressen címtáradatok minden területén az erdő, függetlenül attól, tárolási helyét. Ha az erdő egyetlen tartományból áll, akkor minden tartományvezérlőnek teljes hozzáférése van az erdőterület minden egyes objektumának írási példányához. Amikor a felhasználó egy biztonsági főkört keres, akkor a lekérdezés "Start" opciója megjeleníti az "Összes könyvtár" opciót. akkor a keresés közvetlenül a globális katalógusban történik.
Objektumok eléréséhez az Active Directory a Lightweight Directory Access Protocol (LDAP) kifejezést használja. Az LDAP keresési kéréseket elküldheti és fogadhatja az Active Directory címtárszolgáltatás a 389-es porton (az alapértelmezett LDAP porton) és a 3268-as porton (a globális katalógus porton). LDAP-forgalom, amely a Secure Sockets Layer (SSL) hitelesítési protokoll hozzáférést biztosít a portok a 686 és 3269. Ezért a kutatások magatartás, amely vonatkozik a kikötők 389 és 3268 is alkalmazni a megfelelő LDAP kérések a portok a 686 és 3269. Amikor a keresési kérés érkezik a 389-es portra, a keresés az egyik tartomány könyvtárrészében történik. Ha a tárgy nem a tartomány, lásd Címtárséma vagy kialakítást, a tartományvezérlő továbbítja a kérést a domain a tartományban, hogy meg van adva a megkülönböztető nevét az objektum. Ha a 3268-as portra keresési kérelmet küldenek, akkor az erdő összes címtárpartícióját megkérdezi, vagyis a keresést a globális katalógusszerver feldolgozza. Érdemes megjegyezni, hogy csak a globális katalógusszerverek kaphatnak LDAP-kéréseket a 3268-as porton keresztül.
Miután a felhasználó megadja a kérését, ezt a kérést átirányítja a 3268-as portra, és engedélyt küld a globális katalógusszerverre. Viszont ha az Active Directory tartományban bármilyen okból nincs globális katalógusszerver, a felhasználók vagy alkalmazások nem tudnak kereséseket végrehajtani az erdőben. Érdemes megjegyezni, hogy minden globális katalógusba replikált replikák tartalmazzák az egyes objektumokhoz és attribútumokhoz való hozzáférési jogokat. Ez azt jelenti, hogy ha olyan objektumot keres, amely megtagadja a hozzáférést az Önhöz, akkor nem látja a keresési eredmények listájában. Ennek megfelelően a felhasználók csak azokat a tárgyakat találhatják meg, amelyekhez hozzáférésük van;
Az erdőben lévő tárgyakra történő utalások megerősítése.
A tartományvezérlők globális katalógust használnak az erdõ más területein található objektumokhoz való hivatkozások hitelesítésére. Ez azt jelenti, hogy ha a tartományvezérlő olyan objektumot tartalmaz, amelynek attribútuma egy másik tartomány objektumára utal, akkor a tartományvezérlő ellenőrzi a kapcsolatot a globális katalógusszerverhez való kapcsolódással;
Felhasználónév hitelesítés.
A felhasználói beavatkozás és a globális katalógus közötti interakció folyamata így néz ki:
Ábra. 2. A felhasználói bejelentkezés és a globális katalógus kölcsönhatása
- Mivel a felhasználói tartomány nem feltétlenül egyezik meg az UPN-utótagdal, a tartományvezérlő a legközelebbi domain tartományvezérlőit vizsgálja azon a webhelyen, ahol az ügyfélszámítógép található;
- Az ügyfél által megkeresni kívánt tartományvezérlő meghatározza, hogy a felhasználói főnév utótagjában található DNS-név egy domain, melynek engedélyezett tartományvezérlője van. Ha az UPN-utótag tartományi neve megegyezik az ügyfél-hitelesítést kezelő tartományvezérlővel, de a felhasználónév nem található, a tartományvezérlő a globális katalógusszerverrel kommunikál. Továbbá, ha az UPN-utótag domainneve nem egyezik meg a tartományvezérlő tartománygal, akkor a tartományvezérlő a globális katalógusszerverrel kommunikál;
- A felhasználói objektum userPrincipalName attribútumának használatával a globális katalógusszerver a felhasználói objektum megkülönböztető nevét keresi és visszaadja ezt az értéket a tartományvezérlőnek;
- A tartományvezérlő lekéri a tartománynevet a megkülönböztetett névtől, és visszaküldi a kapott értéket az ügyfélnek;
- Az ügyfél Domain-vezérlőt kér a domainje számára.
Tájékoztatás az egyetemes csoportokban való tagságról egy többdomaines környezetben.
Az univerzális csoport egy olyan biztonsági csoport is, amely lehetővé teszi a több tartományban elosztott erőforrások kezelését. Interaktív bejelentkezés végrehajtása során a tartományvezérlő behívja a felhasználó számítógépének SID-jét. Ezért az univerzális tag attribútum tag. amely a csoport tagjai listáját tartalmazza, a globális katalógusba kerül. Például egy több tartományban lévő erdőben lévő felhasználó egy olyan tartományhoz kapcsolódik, amelyben egyetemes csoportok engedélyezettek. Ebben az esetben a tartományvezérlőnek az egyetemes csoportokban való tagság megszerzése érdekében kapcsolatba kell lépnie a globális katalógusszerverrel. Ha a felhasználó soha nem kapcsolódott a domainhez, és a globális katalógusszerver nem érhető el, akkor csak helyi rendszerben jelentkezhet be a rendszerbe. De ha a globális kiszolgáló nem érhető el, amikor a felhasználó bejelentkezik a tartományba, ahol az univerzális csoportok állnak, és a felhasználó már csatlakoztatva van e területen, a felhasználó kliens számítógép segítségével hozzáférhet a tárolt adatokat.
Cache tagság az egyetemes csoportokban.
Ezért a globális katalógusszerverrel való megbízhatatlan kommunikációval rendelkező tartományvezérlők esetében javasoljuk, hogy engedélyezze és konfigurálja a tagsági gyorsítótárazást univerzális csoportokhoz. Ugyanakkor az egyetemes csoportokban a felhasználók részvételére vonatkozó információk 8 óránként 500 tagságra frissíthetők. Az első bejelentkezés után a felhasználó gyorsítótára 180 napig frissül.
Alapértelmezés szerint a felhasználói és a számítógépes objektumok attribútumai nem vannak feltöltve. Az alábbi ábrán egy példa látható a gyorsítótárazási tartományvezérlő biztonsági azonosítóinak listájának létrehozásához:
Ábra. 3. Példa a biztonsági azonosítók listájának létrehozására egy tartományvezérlő számára a gyorsítótárban
Globális Katalógus Építészet
A globális katalógusszerver architektúrája eltér a szerver architektúrájától, amely nem rendelkezik globális katalógus szerepkörrel, egy nem szabványos LD68 3268-as porttal, amely lekérdezéseket közvetlenül a globális katalógusra irányít. A 3268-as porthoz tartozó kérelmek ugyanúgy alakulnak, mint bármely LDAP-kérelem, de az Active Directory Domain Services a használt porttól függően megváltoztatja a keresés viselkedését. Ez azt jelenti, hogy a 3268-as portra vonatkozó kéréseket átirányítják a globális katalógus címtárpartícióira, beleértve az csak olvasható címtárpartíciókat is, amelyekhez a kiszolgáló jogosult. A 389-es portra vonatkozó kérelmek egy írható tartományra, valamint a konfigurációs könyvtár, az alkalmazások és a replika sémák olyan szakaszaira irányulnak, amelyek a globális katalógusszerver tartományvezérlőként vannak elhelyezve. Ezenkívül a globális katalógusszerverekkel való kommunikáció során, amikor egy felhasználó bejelentkezik a rendszerhez, az univerzális csoporttagság elérése érdekében a tartományvezérlők a saját replikációs felületet használják.
Ennek megfelelően a globális katalógus fő elemei a következők:
Az alábbi ábra a globális katalógus architektúrát mutatja be:
Ábra. 4. Globális katalógus architektúra
Globális katalógus protokollok
A protokollok és interfészek minden tartományvezérlőre ugyanazok, és nincsenek specifikus protokollok a globális katalógusszerverek számára. Ebben az esetben négy interfész és három protokoll érdekel. Különösen fontos a globális katalógus, hogy a tartományvezérlő használatával saját RPC replikációs protokollok nem csak a replikáció, hanem kommunikálni a globális kiszolgáló beolvasásakor információkat az egyetemes csoport tagság és a tagsági frissíti a cache a csoportban, ha a „Gyorsítás tagság egyetemes csoportokban ". A globális katalógus összes követelményére a következő protokollokat használják:
- Könnyű könyvtár-hozzáférési protokoll (LDAP).
- Egyszerű levélátviteli protokoll (SMTP).
- Távoli eljáráshívás (RPC).
Az alábbi ábrán a globális katalógus protokollok láthatók:
Ábra. 5. A globális katalógus interfészei és protokolljai
A globális katalógus fizikai szerkezete
Domainvezérlő szerepkörként a globális katalógus tárol egy olyan írható tartományi címtárpartíciót, amelyben minden attribútummal rendelkező objektum található. Ezenkívül a globális katalógusszerver tárolja a tulajdonságok részleges készletét (PAS), amely a multidomain erdőben található egyéb domainek objektumainak olvasását jogosítja meg. Az attribútumokat definiáló sémaobjektumok attributeSchema objektumok, amelyek tartalmazzák az isMemberOfPartialAttributeSet attribútumot. Ha az attribútum értéke IGAZ, akkor az attribútum átkerül a globális katalógusba. Globális katalógus replikációs topológia automatikusan generálódik a KCC (Knowledge-ellenőrző, KCC) - a beépített folyamat, amely végrehajtja a replikációs topológia, amely biztosítja a szállítás a könyvtár tartalmát az egyes szekciók minden globális kiszolgáló.
A globális katalógusadatok fizikai megjelenítése nem különbözik a tartományvezérlőtől, azaz a globális katalógusban az NTDS.dit adatbázis az objektum attribútumait egyetlen fájlban tárolja. A tartományvezérlő, amely nem a globális kiszolgáló, a Ntds.dit fájl tartalmazza a teljes írható mása minden tárgy egy domain címtárpartícióban a domain, valamint írható címtárpartíciók, és a konfiguráció az áramkör.
Vegyük például egy meglehetősen tipikus forgatókönyvet. A globális katalógusszerver a domain teljes replikáját, valamint az összes többi erdődomén részleges másolatát tárolja. Ezen a globális katalógusszerveren a globális katalógusszerveren lévő összes címtárpartíció a katalógus adatbázis fájlban (Ntds.dit) tárolódik. Ennek megfelelően ebben az esetben a globális katalógus attribútumainak különálló tárolója nincs.
A globális katalógus fizikai szerkezetének összetevői a következők:
- Az Ntds.dit adatbázisfájl, amely az Active Directory objektumok replikáit tárolja, amelyeket bármely tartományvezérlő, köztük globális katalógusszerverek tárolnak;
- Az Active Directory erdő, vagyis az Active Directory logikai struktúráját alkotó és a globális katalógusban kereshető tartományok halmaza;
- Olyan tartományvezérlők, amelyek az írható tartományi könyvtár és az erdészeti könyvtár konfiguráció és a séma partíciók teljes körét tárolják;
- A globális katalógus kiszolgáló egy tartományvezérlő, amely teljes mása minden írható objektum egy domain címtárpartícióban a domain, valamint olvasható replika más tartományok többtartományos erdőben.
Az alábbi ábra a globális katalógus fizikai felépítését mutatja be:
Ábra. 6. A globális katalógus fizikai szerkezete
következtetés
> Viszont a tartományvezérlő mindig meg tudja állapítani a tagság egy helyi csoport vagy globális tartomány csoport bármelyik felhasználó ugyanazt a domain, de a tagság ezekben a csoportokban nem replikálva a globális katalógus, mivel ezek a csoportok tagjai lehetnek a felhasználók a különböző területeken.
De engedje meg, hogy a különböző domainek felhasználói lehetnek helyi csoportok.