全局编录服务器.pdf

深入理解全局编录服务器 Global Catalog 概述：在 Win2003AD 域环境中，除了 FSMO 操作主机角色外，全局编录服务器 (GC) 也是有着特殊含义的域控制器通过 GC ，可以提高在活动目录中搜索对象的速度，可以加快用户登录验证等简单的说， GC 是森林中所有对象的只读调整缓冲存储器 ( Read Only Cache), 目录只用于搜索 GC 服务器存储本域中所有对象的所有属性，同时会存储林中其它域中所有对象的部分属性一般来说，属性是否存储在 GC 中， 取决于该属性在搜索中使用的频率 ,由系统自动进行决定但 AD 架构管理员也可以定义对象的哪些属性保存的 GC 中，同时决定该属性是否可以进行索引本文拟就与 GC 相关的内容一一阐述，希望能起抛砖引玉作用，与有兴趣的朋友一起更好的了解和熟悉全局编录服务器GC 出现的原因GC 的作用查看当前环境中 GC 服务器提升 DC 为全局编录服务器验证全局编录服务器的提升验证全局编录服务器是否工作正常删除全局编录服务器使用 AdsiEdit 工具查看全局编录服务器中的数据一： GC 出现的原因在 Win2003 活动目录中有两种目录服务，分别是 DNS 以及 LDAP ，两个目录服务互为补充。

DNS 的目的比较简单，用于简单快速的定位域控制器，但定 位到具体的域控制器后，对活动目录信息的更细致访问，如活动目录中关于用户，计算机，打印机等对象信息搜索， DNS 就无能为力此时就需要通过 LDAP 服 务来访问如果用户知道某个对象处于哪个域， 也知道对象的标识名， 那么用 LDAP 搜索对象就非常容易 但如果用户只知道某个对象的某个属性，根本不知道对象所处的 域， 也不知道该对象的标识名， 那么使用 LDAP 来搜索对象是一件非常困难的事， AD 不得不对当前环境中每一个域的每个对象都搜索一遍为了解决这个问题， 活动目录提供了全局编录服务器 (GC ，到 Global Catalog) GC 中包含了当前林中每个域中所有对象的副本，如果在一次 LDAP 搜索中，涉及到搜索中多个域的名称上下文时， AD 会选择搜索 GC 服务 器，从而实现加快搜索速度，减少网络通信量的目的二： GC 的作用1 ：存储对象信息副本，提高搜索性能全局编录服务器中除了保存本域中所有对象的所有属性外， 还保存林中其它域所有对象的部分属性， 这样就允许用户通过全局编录信息搜索林中所有域中对象的信息，而不用考虑数据存储的位置。

通过 GC 执行林中搜索时可获得最大的速度并产生最小的网络通信量2 ：存储通用组成员身份信息，帮助用户构建访问令牌全局组成员身份存储在每个域中，但通用组成员身份只存储在全局编录服务器中我们知道， 用户在登陆过程中需要由登录的 DC 构建一个安全的访问令牌， 而要构建成功一个安全的访问令牌由三方面信息组成： 用户 SID ， 组 SID ， 权力 其 中用户 SID 和用户权力可以由登录 DC 获得，但对于获取组 SID 信息时，需要确定该用户属不属于通用组，而通用组信息只保存在 GC 中所以当 GC 故障，负 责构建安全访问令牌的 DC 就无法联系 GC 来确认该用户组的 SID ，也就无法构建一个安全的访问令牌注：在 Win2003 中，可以通过通用组缓存功能解决 GC 不无法登录情况，具体操作本文略过3：提供用户 UPN 名称登录身份验证当执行身份验证的域控制器没有用户 UPN 帐号信息时，将由 GC 解析用户主机名称 (UPN) 进行身份验证，以完成登录过程4：验证林中其他域对象的参考当域控制器的某个对象的属性包含有另一个域某个对象的参考时，将由全局编录服务器来完成验证三：查看当前环境中 GC 服务器1：通过 “ Active Directory 站点和服务 ” 查看步骤：点击 “ 开始 -设置 - 控制面板 -管理工具 -Active Directory 站点和服务 ”:选中具体的 “ NTDS Setting" 。

选中 "NTDS Setting", 右键选择 “ 属性 ”在弹出的 “ NTDS Setting 属性 ” 对话框中，有 “ 全局编录 ” 复选框 , 如果选中，表示是一台全局编录服务器， 如果没有选中，则表示当前的服务器不是全局编录服务器2 ：利用复制监视器 Replmon 查看复制监视器 Replication Monitor(ReplMon) 是针对 Windows Server 的故障查找工具 , 不但是定位活动目录复制故障强有利的工具，同时也可以使用该工具查看和检查操作主机角色状态详细 Replmon 工具使用方法本文不做过多说明，这里只列出如何使用 Replmon 工具 GC 角色步骤：选中当前 DC ，右键单击，选择 “ Show Global Catalog Servers in Enterprise ”在弹出窗口中，清楚列出当前林中所有的全局编录服务器3：通过命令行方式查看全局编录服务器在 Supprot Tools 和 Resource Tools 工具中，有多个命令行工具可以查看全局编录服务器，这里只列出两个最常见的命令行工具使用 dsquery 命令查看当前域中的 GC dsquery server -domain -isgc 使用 nltest 命令查看当前域中的 GC nltest /dsgetdc: 四：提升 DC 为全局编录服务器将一台域控制器提升为全局编录服务器操作很简单，方法见通过 “ Active Directory 站点和服务 ” 管理单元查看全局编录服务器，将 “ 全局编录 ” 复选框选中即可。

注意：设置完成后，并不代表当前的全局编录服务器已经提升完成，因为全局编录服务器中包含有多个域的所有对象，需要时间来进行全局编录数据库同步五：验证全局编录服务器的提升通过提升 DC 为全局编录服务器操作，需要时间同步全局编录服务器，同步完成后，全局编录服务器才开始真正运行下面介绍如何查看全局编录服务器是否已经开始工作1：使用 LDP 工具查看当前 DC 的 IsGlobalCatalogReady 属性LDP(LDAP 浏览器工具 ) 是一个轻量目录访问协议 (LDAP) 客户端实用工具 ,可以用来查询和浏览 LDAP 目录服务，详细用法本文不做具体介绍，可以搜索相关的说明文档或后期的 Blog 文章介绍这里只给出简单的使用说明步骤：与 LDAP 目录绑定“ 运行 ” ，输入 “ LDP”，打开 LDP 窗口后，选择 “ Connection|Bind", 打开 Bind 对话框，输入身份凭证单击 ” OK“按钮， LDP 连接到 ” Superlan.Com" 域控制器，显示检测结果，从下图可以看出 “ IsGlobalCatalogReady" 属性为True 2：查看 DNS 管理工具查看 GC 记录是否已更新到 DNS 中。

从下图可以看出当前哪个域控制器是 GC，且使用的端口是多少，默认的 GC 使用端口是 3268 六：验证全局编录服务器是否工作正常全局编录服务器正确提升后，可以通过查看注册表信息和端口状态来查看全局编录服务器是否工作正常1：查看注册表信息 (HKLM\System\CurrentControlSet\Services\NTDS\Parameters) 健值： Global Catalog Promotion Complete ，值为 1 ，表示 GC 工作正常2：全局服务编录器默认使用 3268/3269 端口，通过查看端口是否处于监听状态可以判断 GC 是否工作正常使用 netstat -an 命令查看当前正在运行的端口 , 可以看到 3268/3269 端口已经处于正常监听状态七：删除全局编录服务器删除全局编录服务器方法请参见 ” 四：提升全局编录服务器 “ ，将 ” 全局编录 “ 复选框取消即可，此处略过八：使用 AdsiEdit 工具查看全局编录服务器中的数据全局编录服务器并不是一个独立的实体，域控制器也没有单独为 GC 准备一个独立的 DIT 文件， GC 服务器与当前的域公用同一个NTDS.DIT 文件，两者的区别只是使用的端口号不同，前者使用 3268 端口，后者使用 389 端口。

理解了这一点，也就理解了如何来查看 GC 数据AdsiEdit 工具是一个超级强大的 AD 查看与编辑工具，我们可以使用这个工具做一些其它工具无法实现的功能比如本文准备阐述的查看全局编录服务器中的数据等为了更好的说明如何使用 AdsiEdit 工具查看 GC 数据，先介绍一下当前的演示环境：两个域，父域为 Superlan.Com, 子域为 Sub.Superlan.Com, 其中 Superlan.Com 域中有一台DC(PriDomDemo.Superlan.Com), 同时担任 GC 角色，子域中有一台 DC(SubDomDemo.Sub.Superlan.Com), 非 GC 域结构如下：因 PriDomDemo.Superlan.Com 为父域 DC ，同时又为 GC ，所以在 PriDomDemo AD 数据库中，应该包含有子域Sub.Superlan.Com 数据那么如何在 PriDomDemo 中查看子域数据，同时验证 GC 相关的概念，比如GC 是森林中所有对象的只读调整缓冲存储器包含有子域所有对象的部分属性自定义对象的哪些属性保存的 GC 中，同时决定该属性是否可以进行索引等等。

本文利用 AdsiEdit 工具， 分别连接 GC 以及 Sub.Superlan.Com 域， 通过比较标准的 Sub 域数据与保存在 GC 中 Sub 域数据，就上述问题做深入阐述 ! 具体操作如下一：使用 AdsiEdit 查看 AD 数据1：连接到 GC 服务器在 AdsiEdit 中 ,连接到 GC 服务器很简单，唯一需要注意的是，需要在 “ 高级 ” 中指定使用 Global Catalog 协议具体如下：在 “ 运行 ” 窗口输入 “ AdsiEdit.msc", 打开 AdsiEdit 编辑器选中 "AdsiEdit", 右键选择 ” Connect to “在 "Connection Setting" 弹出框，输入相应的名称上下文输入名称上下文后，打开 "Advanced " 按钮，选择 ” Global Catalog" 协议选择两次 OK 按钮，确定输入无误后，就可以正确连接到 GC 服务器2：新建一个连接到 Sub.Superlan.Com 域操作与连接到 GC 步骤类似，保留 “ Advanced" 中默认的 LDAP 协议建立好上述两个连接后， AdsiEdit 工具窗口中存在两个连接，分别是 GC 服务器数据和 Sub 子域数据。

从上图我们可以看出，在 GC 服务器数据中，有一个 “ DC=Sub” 容器展开该容器后，我们可以看到该容器中所包含的信息与 Sub 子域数据完全相同从上图我们也可以看出， GC 中确实保存着林中其它域的所有对象二：验证 GC 是林中所有对象的只读存储器任意展开 GC 中容器中任意对象的任意属性，点击 “ Edit"按钮，都可以看到， 所有的属性都是处于 ReadOnly 状态，无法进行修改而在非 GC 连接中，可以直接进行修改编辑，从中我们可以看出不论是对于当前域，还是非本地域， GC 中保存的都只是对象的只读副本三：验证 GC 中只包含林中其它域所有对象的部分属性为验证这个结论，在 Sub 子域新建一个 OU ： User Demo, 其中建立有一个用户： itTrainer. 分别。