Der globale Katalog

Neu im Active Directory ist ein Suchindex, der die wichtigsten Suchattribute des Verzeichnisses indiziert und damit einen schnelleren Zugriff oder eine unscharfe Suche auf Objekte gestattet. Dieser Index enthält unter anderem die Informationen, die eine zügige, ab der Funktionsebene "`Windows 2000 pur"' überhaupt eine Authentifizierung und Anmeldung an der Domäne ermöglichen. Im gemischten Betriebsmodus ist diese auch noch über die NTLM-Authentifizierung mittels des PDC-Emulators möglich. Außerdem wird der Netzverkehr innerhalb der Domäne dank der Suchfunktion deutlich verringert, was bis dahin durch NetBIOS-Broadcasts erfolgte.
Begrifflich wurde der Index unter dem Namen "`Globaler Katalog"' eingeführt und auf dem ersten Domaincontroller der Stammdomäne eines Domänenbaums bereitgestellt sowie durch Teilreplikation des Verzeichnisses aktualisiert wird.
Sämtliche Suchen über Daten im AD werden über den globalen Katalog durchgeführt, welcher sämtliche Objekte des Active Directorys enthält. Zur Datenminderung und damit Beschleunigung der Suche werden aber nur die wichtigsten Attribute aus dem Verzeichnis in den GC repliziert. Festgelegt wird die Auswahl durch das Gesamtstruktur-Schema. Der globale Katalog enthält Informationen über alle Domänen einer Gesamtstruktur, was zu einer entsprechenden Größe des Katalogs führen kann. Als Richtgröße nennt [Tie03], dass etwa 40 bis 50 % der Daten im AD einer Domäne in den globalen Katalog der Gesamtstruktur repliziert werden. Dies ist bei der Planung der Speicherkapazität der Domaincontroller zu bedenken, die als GC-Server dienen.
Da konzeptionell jede Form der Suche auf dem globalen Katalog ausgeführt wird, ist auch der Einsatz eines Active Directorys als LDAP-Ersatz nur via des GC-Servers vorgesehen. Anonyme Zugriffe auf Daten des Verzeichnisses werden ausschließlich auf den GC zugelassen. Authentifizierte Nutzer können sich natürlich auch direkt an einen Domaincontroller binden, werden aber dort nur die Daten der jeweiligen Domäne vorfinden und können sich nur mittels domainlokaler Nutzer anmelden.

Auf dem ersten Domaincontroller einer Gesamtstruktur wird automatisch der globale Katalog der Gesamtstruktur eingerichtet. Dies kann in der Folge manuell beeinflusst werden, sollte aber nach Aussagen von [KT04] und [Tie03] wohl bedacht geschehen. Der globale Katalog ist ein wesentliches Werkzeug im Rahmen der Authentifizierung von Nutzern an der Domain. Jedes Mal wird ein Katalogserver durch den Domaincontroller, der die Objektauthentifizierung durchführt, kontaktiert. Daher ist es gegebenenfalls sinnvoll, auf mehr als einem Domaincontroller einen Katalog einzurichten. Vor allem bei Strukturierung mittels Standorten und damit verbundenen WAN-Leitungen, die hohe Kosten verursachen oder langsame Verbindungen bereitstellen, ist es sinnvoll, einen Katalogserver pro Standort anzubieten. Nur bei sehr kleinen Standorten rät [KT04], den Einsatz eines eigenen Katalogservers genau zu überdenken. Der Grund ist die daraus resultierende Datenmenge, die durch die Replikation entstehen kann. Aber auch standortintern bedeuten mehrere GC-Server einen starken Replikationsaufwand und damit verbundenen Netzverkehr. Auf der anderen Seite kann die Bereitstellung mehrerer GC-Server die Performance bei der Suche oder Authentifizierung deutlich erhöhen.
Ist der GC durch den authentifizierenden Domaincontroller nicht erreichbar, kann keinerlei Authentifizierung mehr über diesen Domaincontroller stattfinden, die Gesamtstruktur ist über diesen DC sozusagen nicht mehr erreichbar. Dies passiert nur ab der Funktionsebene Windows 2000 pur aufwärts, der Mischbetrieb mit Windows NT wird hier jedoch sowieso außen vorgelassen. Der Grund für das Scheitern liegt in der notwendigen Abfrage der Zugehörigkeit des zu authentifizierenden Objekts zu universellen Gruppen. Diese Gruppen stehen nicht nur innerhalb einer Domäne oder Domänenstruktur (Tree) zur Verfügung, sondern durch ihre Speicherung im GC gesamtstrukturweit. Der Umstand des Scheitern unter bestimmten Voraussetzungen hat in Windows 2003 zu einer Erweiterung des Funktionsumfangs geführt, der darin besteht, dass auf jedem DC ein Caching von Zugehörigkeiten zu universellen Gruppen erfolgen kann. Dies kann in den NTDS Site Settings des Active Directory Standorte-SnapIns eingestellt werden, wie es Abbildung 4.6 zeigt, und es reicht, einen DC pro Standort mit Windows 2003 auszustatten, um dieses Feature am Standort zu nutzen.

Figure 4.6: Zwischenspeichern der universellen Gruppen aktivieren

Neben all diesen Grundstrukturen des Active Directorys an sich, ist zu erwähnen, dass Active Directory einerseits nur durch die Bereitstellung anderer Dienste funktioniert, im Gegenzug aber auch als Datenablage vieler Dienste dient. Darauf soll im Folgenden detaillierter eingegangen werden.