Auf dem ersten Domaincontroller einer Gesamtstruktur wird automatisch
der globale Katalog der Gesamtstruktur eingerichtet. Dies kann in der
Folge manuell beeinflusst werden, sollte aber nach Aussagen von
[KT04] und [Tie03] wohl bedacht geschehen. Der globale
Katalog ist ein wesentliches Werkzeug im Rahmen der Authentifizierung
von Nutzern an der Domain. Jedes Mal wird ein Katalogserver
durch den Domaincontroller, der die Objektauthentifizierung
durchführt, kontaktiert. Daher ist es gegebenenfalls sinnvoll, auf mehr
als einem Domaincontroller einen Katalog einzurichten. Vor allem bei
Strukturierung mittels Standorten und damit verbundenen WAN-Leitungen,
die hohe Kosten verursachen oder langsame Verbindungen bereitstellen,
ist es sinnvoll, einen Katalogserver pro Standort anzubieten. Nur bei
sehr kleinen Standorten rät [KT04], den Einsatz eines eigenen
Katalogservers genau zu überdenken. Der Grund ist die daraus
resultierende Datenmenge, die durch die Replikation entstehen kann.
Aber auch standortintern bedeuten mehrere GC-Server einen starken
Replikationsaufwand und damit verbundenen Netzverkehr. Auf der anderen
Seite kann die Bereitstellung mehrerer GC-Server die Performance bei
der Suche oder Authentifizierung deutlich erhöhen.
Ist der GC durch den authentifizierenden Domaincontroller nicht
erreichbar, kann keinerlei Authentifizierung mehr über diesen
Domaincontroller stattfinden, die Gesamtstruktur ist über diesen DC
sozusagen nicht mehr erreichbar. Dies passiert nur ab der
Funktionsebene Windows 2000 pur aufwärts, der Mischbetrieb mit Windows
NT wird hier jedoch sowieso außen vorgelassen. Der Grund für das
Scheitern liegt in der notwendigen Abfrage der Zugehörigkeit des zu
authentifizierenden Objekts zu universellen Gruppen. Diese Gruppen
stehen nicht nur innerhalb einer Domäne oder Domänenstruktur (Tree)
zur Verfügung, sondern durch ihre Speicherung im GC
gesamtstrukturweit. Der Umstand des Scheitern unter bestimmten
Voraussetzungen hat in Windows 2003 zu einer Erweiterung des
Funktionsumfangs geführt, der darin besteht, dass auf jedem DC ein
Caching von Zugehörigkeiten zu universellen Gruppen erfolgen kann. Dies
kann in den NTDS Site Settings des Active Directory
Standorte-SnapIns eingestellt werden, wie es Abbildung 4.6
zeigt, und es reicht, einen DC pro Standort mit Windows 2003
auszustatten, um dieses Feature am Standort zu nutzen.
Neben all diesen Grundstrukturen des Active Directorys an sich, ist zu erwähnen, dass Active Directory einerseits nur durch die Bereitstellung anderer Dienste funktioniert, im Gegenzug aber auch als Datenablage vieler Dienste dient. Darauf soll im Folgenden detaillierter eingegangen werden.