全局编录服务器.pdf

/blog/static/101044893201062991250144/ 深入理解全局编录服务器 Global Catalog 概述： 在 Win2003AD 域环境中，除了 FSMO 操作主机角色外，全局编录服务器 (GC) 也是有着特殊含义的域控制器。通过 GC ，可以提高在 活动目录中搜索对象的速度，可以加快用户登录验证等。 简单的说， GC 是森林中所有对象的只读调整缓冲存储器 ( Read Only Cache), 目录只用于搜索。 GC 服务器存储本域中所有对象的所 有属性，同时会存储林中其它域中所有对象的部分属性。一般来说，属性是否存储在 GC 中， 取决于该属性在搜索中使用的频率 , 由系统 自动进行决定。但 AD 架构管理员也可以定义对象的哪些属性保存的 GC 中，同时决定该属性是否可以进行索引。 本文拟就与 GC 相关的内容一一阐述，希望能起抛砖引玉作用，与有兴趣的朋友一起更好的了解和熟悉全局编录服务器。 GC 出现的原因 GC 的作用 查看当前环境中 GC 服务器 提升 DC 为全局编录服务器 验证全局编录服务器的提升 验证全局编录服务器是否工作正常 删除全局编录服务器 使用 AdsiEdit 工具查看全局编录服务器中的数据 一： GC 出现的原因 在 Win2003 活动目录中有两种目录服务，分别是 DNS 以及 LDAP ，两个目录服务互为补充。 DNS 的目的比较简单，用于简单快速 的定位域控制器，但定 位到具体的域控制器后，对活动目录信息的更细致访问，如活动目录中关于用户，计算机，打印机等对象信息搜 索， DNS 就无能为力。此时就需要通过 LDAP 服 务来访问。 如果用户知道某个对象处于哪个域， 也知道对象的标识名， 那么用 LDAP 搜索对象就非常容易。 但如果用户只知道某个对象的某个属性， 根本不知道对象所处的 域，也不知道该对象的标识名， 那么使用 LDAP 来搜索对象是一件非常困难的事， AD 不得不对当前环境中每一个 域的每个对象都搜索一遍。为了解决这个问题， 活动目录提供了全局编录服务器 (GC ，到 Global Catalog) 。GC 中包含了当前林中每个 域中所有对象的副本，如果在一次 LDAP 搜索中，涉及到搜索中多个域的名称上下文时， AD 会选择搜索 GC 服务 器，从而实现加快搜索 速度，减少网络通信量的目的。 二： GC 的作用 1 ：存储对象信息副本，提高搜索性能 全局编录服务器中除了保存本域中所有对象的所有属性外， 还保存林中其它域所有对象的部分属性， 这样就允许用户通过全局编录信 息搜索林中所有域中对象的信息，而不用考虑数据存储的位置。通过 GC 执行林中搜索时可获得最大的速度并产生最小的网络通信量。 2 ：存储通用组成员身份信息，帮助用户构建访问令牌 全局组成员身份存储在每个域中，但通用组成员身份只存储在全局编录服务器中。 我们知道， 用户在登陆过程中需要由登录的 DC 构建一个安全的访问令牌， 而要构建成功一个安全的访问令牌由三方面信息组成： 用 户 SID ，组 SID ，权力。 其 中用户 SID 和用户权力可以由登录 DC 获得，但对于获取组 SID 信息时，需要确定该用户属不属于通用组， 而通用组信息只保存在 GC 中。所以当 GC 故障，负 责构建安全访问令牌的 DC 就无法联系 GC 来确认该用户组的 SID ，也就无法构建 一个安全的访问令牌。 注：在 Win2003 中，可以通过通用组缓存功能解决 GC 不在线无法登录情况，具体操作本文略过。 3 ：提供用户 UPN 名称登录身份验证。 当执行身份验证的域控制器没有用户 UPN 帐号信息时，将由 GC 解析用户主机名称 (UPN) 进行身份验证，以完成登录过程 4 ：验证林中其他域对象的参考 当域控制器的某个对象的属性包含有另一个域某个对象的参考时，将由全局编录服