Jump to content
Sign in to follow this  
marzli2

globaler katalog (zusammenfassung)

Recommended Posts

hallo,

 

hab die letzte zeit viel über den globalen katalog gelesen und damit geübt. da die puzzleteile noch etwas lose sind, möchte ich einfach mal den ganzen krams hier posten und gucken, ob noch etwas falsch oder fehlend ist. bitte um korrekturen und ergänzungen.

 

 

- globaler katalog beinhaltet ALLE daten und attribute seiner eigenen domäne und ALLE Objekte anderer domänen im forest, aber nicht alle attribute

 

- ohne globalen katalog keine anmeldung (nur administratoren). deswegen, weil bei der anmeldung auch universelle gruppen abgefragt werden, und diese ohne GC nicht eingesehen werden können???!

 

 

- vor allem anwendungen wie exchange setzen einen globalen katalog voraus (kommunikation über speziellen port - das ist u.a. auch ein punkt, der den GC von Universal Group Caching unterscheidet)

 

- der GC ist keine separate datenbank sondern teil der AD replizierung. ??! dh. die daten befinden sich in der AD datenbank.

 

- in einer einzeldomäne darf derGC auch auf dem infrastrukturmaster sein, da dies keine auswirkungen hat(nur bei mehrdomänen im forest)

 

- bei kleineren oder schlecht angebundenen standorten/sites ist zu überlegen, ob man nicht UGC verwendet statt GC, da der replikationsaufwand erhöht ist (prinzipiell ab 100 usern oder anwendungen, die den GC voraussetzen bzw. vielen notebooks in der site ist GC vorzuziehen) - war standardaussage von CBTNUGGETS

 

- der GC dient dazu, die anfrage von anderen computern zu zentralisieren, denn ohne GC müssten jeder DC nach objekten abgefragt werden. der dc bestimmt den zuständigen DC und leitet die Anfrage dann weiter ??! so korrekt?

 

- prinzipiell können alle DC in der DOMÄNE GC sein bzw sollten sein?!

 

-gc ist nicht anderes als ein zentrales adressbuch in einer domäne, welches die infos über die domäne und weitere domänen im forest (siehe den ersten punkt) kennt und daher quasi die auskunft ist. die auskunft leitet dann an entspr. zielserver weiter bei anfragen. so muss nicht kreuz und quer gefragt werden.

 

 

offene fragen:

-wann soll der GC unbedingt nicht gleichzeitig Infrastrukturmaster sein (momentan würd ich sagen bei mehr als einer einzelnen domäne, weil in einer einzeldomäne sowieso jeder DC alles weiss und keine globalen gruppen nötig sind)????

 

- alternative dazu wäre noch die UGC funktion (caching universelle gruppen), dann würde das anmelden noch funktionieren? nein, oder? es könnte nur in einer site ohne GC und lahmer verbindung die anmeldung schneller ermöglichen

 

Danke für Eure Mühe

Share this post


Link to post
Share on other sites

- globaler katalog beinhaltet ALLE daten und attribute seiner eigenen domäne und ALLE Objekte anderer domänen im forest, aber nicht alle attribute

Welche Attribute sollten im GC fehlen ?

 

- ohne globalen katalog keine anmeldung (nur administratoren). ...

Ohne GC kann nur lokal auf den DCs im DRM Mode angemeldet werden.

 

- vor allem anwendungen wie exchange setzen einen globalen katalog voraus

SQL und Exchange benötigen zwingend einen GC da dort die Mailadressen hinterlegt sind. Beide Applikationen sind ohne GC nicht lauffähig.

 

- der GC ist keine separate datenbank sondern teil der AD replizierung. ....

Der GC ist Teil der AD als Ganzes jedoch befindet er sich nicht innerhalb der AD DB. Die Replikation erfolgt über NTFRS.

 

- in einer einzeldomäne darf derGC auch auf dem infrastrukturmaster sein ...

Kleine Domains sollten mindestens 2 DCs haben mit je einem GC.

 

 

- bei kleineren oder schlecht angebundenen standorten/sites ist zu überlegen, ob man nicht UGC verwendet statt GC, da der replikationsaufwand erhöht ist... CBTNUGGETS

Es ist sinnvoller eine schlecht angebeunde Site einen DC/GC zuzugestehen, anstatt, dass die Clients mit Round-Robin sich "irgendwo" anmelden. UCG funktionieren in vielen Applikationen nur unbefriedigend. In eine schlecht angebundene Site gehören auch keine FSMOS.

 

- der GC dient dazu, die anfrage von anderen computern zu zentralisieren, denn ohne GC müssten jeder DC nach objekten abgefragt werden. der dc.....

Ja

 

- prinzipiell können alle DC in der DOMÄNE GC sein bzw sollten sein?!

Kommt drauf an.

 

-gc ist nicht anderes als ein zentrales adressbuch in einer domäne, welches die infos über die domäne und weitere domänen im forest (siehe den ersten punkt) kennt und daher quasi die auskunft ist. die auskunft leitet dann an entspr. zielserver weiter bei anfragen. so muss nicht kreuz und quer gefragt werden.

Prinzipiell richtig. GCs kennen jedoch keine Weiterleitung.

 

-wann soll der GC unbedingt nicht gleichzeitig Infrastrukturmaster sein (momentan würd ich sagen bei mehr als einer einzelnen domäne, weil in einer einzeldomäne sowieso jeder DC alles weiss und keine globalen gruppen nötig sind)????

Kommt sehr drauf an. Microsoft hat da verschiedene Empfehlungen. Sobald eine grosse Anzahl von Objekten zwischen root und child oder verschiedenen child domains synchronisert werden müssen und die Netzbrandbreite grosse Replikatinsaufkommen nicht zulässt.

 

- alternative dazu wäre noch die UGC funktion (caching universelle gruppen), dann würde das anmelden noch funktionieren?

 

Würde ich so nicht unterschreiben. Viele Funktionen sind mit UCG nicht möglich respektive die UCG's ersparen Dir in einer Site den DC als ganzes und nicht den GC. Der Anmeldeprozess geht jedoch immer über einen DC, weil die Objekte sonst nicht validiert sind d.h. eine echte Alternative ist es auch nicht. Stell Dir vor die Leitung in das Headquarter ist Mause. Dann kann sich in dem Seitenableger jeder nur noch über den Cache einloggen. Passwortängerungen sind keine Möglich und wenn mein Passwortabgelaufen ist steh ich draussen da die Änderungen zwingend repliziert werden müssen.

 

 

Um es kurz zu machen:

Der GC ist eines der strittigsten Themen bei der Architektur. Vieles gilt zu berücksichtigen und nullachtfünzehn ist in grossen Domains nicht möglich, denn viel muss von Fall zu Fall beurteilt werden Hand in Hand mit der Architektur der Domain wozu v.a. auch DNS gehört.

 

Gruss

Matthias

Share this post


Link to post
Share on other sites

Moin,

 

Der GC ist Teil der AD als Ganzes jedoch befindet er sich nicht innerhalb der AD DB. Die Replikation erfolgt über NTFRS.

 

wie kommst du denn darauf?

Share this post


Link to post
Share on other sites

Servus,

 

- globaler katalog beinhaltet ALLE daten und attribute seiner eigenen domäne und ALLE Objekte anderer domänen im forest, aber nicht alle attribute

 

richtig!

 

- ohne globalen katalog keine anmeldung (nur administratoren). deswegen, weil bei der anmeldung auch universelle gruppen abgefragt werden, und diese ohne GC nicht eingesehen werden können???!

 

Das stimmt nur zum Teil und wird auch auf vielen Webseiten bzw. Büchern nicht richtig dargestellt (die Aussage an sich stimmt), es kommt auf die Umgebung an. Denn z.B. in einem Single-Domänen Forest kann sich der Benutzer auch ohne GC anmelden. Wenn in einem Single-Domänen Forest kein GC verfügbar ist, bekommt lediglich der Administrator beim einrichten des Benutzers zwar eine Warnmeldung die er bestätigen muss, aber trotzdem kann der Benutzer eingerichtet werden.

 

 

- vor allem anwendungen wie exchange setzen einen globalen katalog voraus (kommunikation über speziellen port - das ist u.a. auch ein punkt, der den GC von Universal Group Caching unterscheidet)

 

Korrekt!

 

- der GC ist keine separate datenbank sondern teil der AD replizierung. ??! dh. die daten befinden sich in der AD datenbank.

 

Genau so sieht es nämlich aus ;) .

Der Hinweis von "gysinma1" bezgl. NTFRS ist nicht korrekt.

Denn der NTFRS ist einzig und allein für die Replikation des SYSVOL-Verzeichnisses zuständig und hat mit der AD-Replikation nicht das geringste zu tun. Das wird von vielen immer wieder verwechselt. Das AD wird eben über die AD-Replikation durchgeführt (RPC over IP) und das SYSVOL durch die NTFRS-Replikation.

 

- in einer einzeldomäne darf derGC auch auf dem infrastrukturmaster sein, da dies keine auswirkungen hat(nur bei mehrdomänen im forest)

 

Stimmt!

 

- bei kleineren oder schlecht angebundenen standorten/sites ist zu überlegen, ob man nicht UGC verwendet statt GC, da der replikationsaufwand erhöht ist (prinzipiell ab 100 usern oder anwendungen, die den GC voraussetzen bzw. vielen notebooks in der site ist GC vorzuziehen) - war standardaussage von CBTNUGGETS

 

Das stimmt. Man muss nur unterscheiden um welche Größe sich es um die Umgebung handelt. Wird AD-lastig gearbeitet (viele Änderungen im AD)? Denn ansonsten entsteht lediglich bei der Initial-Replikation der Informationen die in den GC repliziert werden Last und Aufwand. Das ist aber auch nicht das Problem bei den heutigen Leitungen... Die Replikation kann nämlich auch über eine 56KB Leitung stattfinden. Sie braucht dann eben nur mehr Zeit...

 

- der GC dient dazu, die anfrage von anderen computern zu zentralisieren, denn ohne GC müssten jeder DC nach objekten abgefragt werden. der dc bestimmt den zuständigen DC und leitet die Anfrage dann weiter ??! so korrekt?

 

Jein. Der GC ist wie ein Inhaltsverzeichnis zu sehen. An welchen Server soll denn der Benutzer seine Anfrage nach einer Gesamtstrukturweiten Suche stellen? Nur der GC kennt eben ALLE Objekte in der Gesamtstruktur, wobei eben nur die wichtigsten Attribute, nämlich die bei einer Suche interessant sind (wie z.B. Distinguished Name etc.), in den GC von den anderen Domänen repliziert werden.

 

... to be continued

Share this post


Link to post
Share on other sites
- prinzipiell können alle DC in der DOMÄNE GC sein bzw sollten sein?!

 

Right! Ich zitiere von meiner Webseite:

 

Wenn mehrere Domänen in einer Gesamtstruktur existieren, darf der Infrastrukturmaster einer Domäne, nicht auf einem DC liegen, der auch die Funktion des globalen Katalogs (GC=Global Catalog) trägt, es sei denn, man deklariert jeden DC dieser Domäne zum GC.

 

Genauer gesagt, es muß jeder DC einer Domäne auch GC sein, wenn der Infrastrukturmaster dieser Domäne auf einem GC liegt.

Unabhängig davon, wieviele DCs in anderen Domänen der Gesamtstruktur existieren.

 

Wenn allerdings jeder Domänencontroller einer Domäne, der Bestandteil einer Gesamtstruktur mit mehreren Domänen ist, auch den globalen Katalog enthält, gibt es keine Arbeit für den Infrastrukturmaster. Der Infrastrukturmaster kann auf einen beliebigen Domänencontroller in dieser Domäne gestellt werden.

 

Oder wenn die Umgebung aus einem Single-Domänen Forest besteht, dann spielt es auch keine Rolle, ob der DC auf dem der Infrastrukturmaster liegt ebenfalls auch globaler Katalog ist oder nicht.

 

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

faq-o-matic.net » Globaler Katalog vs. Infrastruktur-Master

 

 

-gc ist nicht anderes als ein zentrales adressbuch in einer domäne, welches die infos über die domäne und weitere domänen im forest (siehe den ersten punkt) kennt und daher quasi die auskunft ist.

 

Korrekt. Der GC liefert dann die Informationen die ihm bekannt sind.

Aber einen "Verweis" auf andere DCs erfolgt an dieser Stelle nicht, sprich, der Benutzer stellt dann nicht eine eigene/neue Anfrage an den DC, der z.B. auf einer Child-Domäne stammt.

 

-wann soll der GC unbedingt nicht gleichzeitig Infrastrukturmaster sein (momentan würd ich sagen bei mehr als einer einzelnen domäne, weil in einer einzeldomäne sowieso jeder DC alles weiss und keine globalen gruppen nötig sind)????

 

Die Antwort darauf erhälst du von meinem Zitat aus meiner Webseite, das ich zu Beginn DIESES Posts geschrieben habe.

 

- alternative dazu wäre noch die UGC funktion (caching universelle gruppen), dann würde das anmelden noch funktionieren?

 

Richtig.

Share this post


Link to post
Share on other sites

kannst ja mal in einer Multidomänenumgebung "repadmin -showreps" mit aktiviertem GC und einmal ohne aktiviertem GC durchführen. Dann sieht man genau, welche Partitionen beim GC dabei sind

 

cu

blub

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...