Jump to content

Vorteile von Cachen von universellen Gruppenrichtlinen vs. Globaler Katalog

genab.de

Von genab.de
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

genab.de Experienced

genab.de   10

Geschrieben
Geschrieben

wir haben am 2. Standort keinen GlobalenKatalog aktiviert, weil ich beim MCSE gelernt habe, das hier bei 2003 das cachen von Universellen Gruppenrichtlinien besser sei

 

 

ich hab das damals so gelernt,

 

bei nur 2 Standorten, die über eine sehr schmalbandig Leitubg verbunden

und nur eine Domäne vorhanden ist

würde der GC nur viele Replizierungsverkehr veruhrsacht

 

hat aber eigentlich kein praktischer Nutzen,

Natürlich nur, wenn keine Anwendung läuft, die auf den GC zugreift

 

Anmelden kann man sich an der Domäne auch ohne den GC zu erreichen (bei nur einer Domäne)

 

Liege ich da nun falsch?

 

 

Da nun Excchange 2007 kommt werde ich beides Aktivieren

 

mich würde das aber trotzdem Interresieren.....

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
wir haben am 2. Standort keinen GlobalenKatalog aktiviert, weil ich beim MCSE gelernt habe, das hier bei 2003 das cachen von Universellen Gruppenrichtlinien besser sei

 

 

ich hab das damals so gelernt,

 

bei nur 2 Standorten, die über eine sehr schmalbandig Leitubg verbunden

und nur eine Domäne vorhanden ist

würde der GC nur viele Replizierungsverkehr veruhrsacht

Da hast du was falsches gelernt (oder vielleicht nur falsch verstanden?!)

Den GC zur Überprüfung universaler Gruppenmitgliedschaften benötigt der Domänencontroller bei der Anmeldung - und nun Achtung - nur wenn:

- man ein Mehrdomänenmodell hat

- die Domäne des Benutzers mindestens im 2000 pur Modus läuft.

 

Läuft die Domäne in diesem Mehrdomänen-Forest in einem der niedrigeren Function Levels, kann der Benutzer nicht Mitglied einer UG sein.

 

Hat man ein Eindomänenmodell, auch in den höheren Functional Levels, hat sowieso jeder DC die vollen Informationen durch die Replikation und es wird kein GC für die Anmeldeüberprüfung benötigt.

Und außerdem: Da jeder DC in einem Eindomänenmodell komplett ALLES repliziert, was im AD vorhanden ist, wie soll da ein mehr an Replikationsverkehr entstehen, wenn man verteilte GCs hat?! Da hat jemand Nonsens erzählt.

 

 

hat aber eigentlich kein praktischer Nutzen,

In einem Eindomänenmodell bezgl. der Anmeldung (!!) ==> absolut korrekt

 

Natürlich nur, wenn keine Anwendung läuft, die auf den GC zugreift

Yep. Bei Anwendungen, die auf einen GC zugreifen, wie z.B. Exchange, und der tut das sehr häufig, sieht das anders aus, denn der tut das auch in einem Eindomänenmodell. Hat ja auch nichts mit der Anmeldung zu tun.

 

Anmelden kann man sich an der Domäne auch ohne den GC zu erreichen (bei nur einer Domäne)

Völlig richtig, siehe oben.

 

 

Bei der Anmeldebestätigung an einer Domäne im mind. Windows 2000 pur Functional Level in einem Mehrdomänenmodell wird durchaus ein GC benötigt, bei dem der DC, der die Anmeldung entgegennimmt, überprüfen kann, in welchen UGs der Benutzer ist. Dazu sucht er einen GC über den DNS und verbindet sich mit diesem. Ist ein GC am Standort vorhanden, wird dieser als oberster in der Liste vom DNS geliefert. Ansonsten gibt es einen von einem anderen Standort. Das erzeugt natürlich WAN-Verkehr.

 

Will man diesen WAN-Verkehr ein wenig reduzieren, kann man für den Standort ohne GC das UG-Caching einschalten. Dann muss der DC immer noch einen GC connecten, speichert sich dann aber die UGs des abgefragten Benutzers zwischen, standardmäßig für 8h. Bei der nächsten Ameldung des Users muss der DC dann nicht mehr den GC connecten (für diesen speziellen User, für andere User womöglich schon). Das reduziert den WAN Verkehr ein wenig und dieser User bekommt auch eine Anmeldung, falls die Leitung down sein sollte.

 

Alternativ zum UG-Caching gibt es zwei Möglichkeiten:

1.) Einen GC an den Standort stellen. MAcht dann zusätzlichen GC Replikationsverkehr. Dazu ist folgendes zu sagen: Das ist zwar richtig, aber man sollte sich auch gewahr sein, dass der Replikationsverkehr über Sites hinweg im allgemeinen mächtig überschätzt wird. Wenn man nicht eine Domäne a' la Daimler oder HP hat, wieviele Änderungen finden dann im GC am Tag wirlich statt, und wieviel wird dann repliziert. Ich schätze, das wird bei Euch wie bei vielen anderen im KB-Bereich sein :suspect:

Und der Replikationsverkehr wird um ca. 70-80% komprimiert(!!). Von daher sprich in den allermeisten Domänen wenig gegen einen GC an der Site.

 

2.) Man kann die Notwendigkeit eines GCs bei der Anmeldung per Registry deaktivieren, allerdings gibt es dann evtl. nicht die korrekten Gruppenmitgliedschaften in das Access Token der User. How to disable the requirement that a global catalog server be available to validate user logons

 

 

Alles klar, wenn noch Fragen sind, her damit :)

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...