Der Globale Katalog
Der Globale Katalog (oft auch mit GC = Global Catalog abgekürzt) ist ein Mechanismus, um in einem Active Directory Forest auf einfache Art und Weise Informationen über Objekte aus allen Domänen zu erhalten. Normalerweise speichert jeder Domänencontroller in seiner Domänenpartition nur die Objekte der eigenen Domäne. Wenn man nun z.B eine Liste aller Benutzer im Forest zusammenstellen will, oder ein Objekt im gesamten Forest nach bestimmten Kriterien suchen will, so müßte man also dies für jede Domäne einzeln durchführen.
Um diesen Aufwand zu vermeiden, kann man an beliebigen Domänencontrollern die Funktion des Globalen Katalogs hinzufügen (beim erst-installierten Domänencontroller eines Active Directory Forest geschieht dies automatisch). Dadurch verändert sich sein Verhalten:
- Der Domänencontroller speichert Informationen über alle Objekte aller Domänen des gesamten Forests.
- Es wird für diese Objekte allerdings nicht der komplette Satz an Attributen gespeichert, sondern nur die wichtigsten.
- Der Globale Katalog Server repliziert diese Daten mit allen anderen GCs des Forests. Es findet am Globalen Katalog also eine erhöhte Replikationslast statt.
- Man kann den Globalen Katalog über LDAP abfragen, allerdings unter dem speziellen TCP Port 3268 (oder 3269 für LDAP-over-SSL).
- Alle Anfragem an den Globalen Katalog sind Read Only.
- Ansonsten arbeitet ein Globaler Katalog Server wie ein normaler Domänencontroller - er enthält also nach wie vor die kompletten Daten seiner eigenen Domäne, die Configuration Partition und das Schema. Hier kann man über die normalen LDAP Ports gegebenenfalls auch Schreiboperationen durchführen.
- Es darf beliebig viele Globale Katalog Server im Forest geben. In vielen Umgebungen, in denen die Netzbelastung durch AD-Replikation keine große Rolle spielt, wird jeder Domänencontroller zum Globalen Katalog gemacht.
- Für jeden Globalen Katalog wird ein SRV Record im DNS erzeugt, so dass man über DNS-Anfragen ermitteln kann, wo die Globalen Katalog Server einer Active Directory Umgebung sind. Mann kann diese Information aber auch aus der Configuration Partition im AD selbst auslesen.
Folgende Artikel stehen für das Scripting mit Globalen Katalog Servern zur Verfügung: