active directory globaler Katalog

[porki 11]

Hallo,

ich wollte gerne wissen wozu man den globalen Katalog braucht.

Die Objekte sind doch alle in der Verzeichnisdatenbank, warum braucht man dann den globalen Katalog?

Was für ein Zweck hat der globalee Katalog und kann man ihn irgendwo finden?

Kann man eigentlich die Verzeichnisdatenbank irgendwo sehen oder aufmachen?

[XP-Fan 216]

Hi,

 

schau mal hier vorbei:

Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)

[porki 11]

Wie ist es wenn man auf ein zusätzlichen DC auch ein globalen Katalog einrichtet.

Dann müssen sich doch die Kataloge doch auch abgleichen, sprich replizieren.

Ist das eher ein Nachteil wenn zwischen den DCs eine langsame Verbindung ist?

[porki 11]

Hat sich erledig, da sehr wenig repliziert wird.

[Squire 260]

Achtung bei mehreren DCs sollte der GC nicht auf dem Infrastructure Master liegen. Ausnahme alle DCs halten GCs

[porki 11]

Ich habe noch eine Frage zum Schema-Master.

Nehmen wir an ich installiere Exchange Server 2003, dann ändert sich ja auch das Schema. Was passiert wenn der DC mit der Rolle eines Schema-Masters ausfällt und ich die Rolle einen anderen DC gebe? Muss das Schema wegen Exchange Server 2003 neu angpasst werden und wenn ja wie?

[djmaker 95]

Nein, du transferierst per ntdsutil die Rolle Schema-master zu einem anderen Server. Der originale Schema-Master darf aber nie wieder in das Netz.

[Squire 260]

Das Schema wird im Active Directory angepasst - der Schema Master ist nur quasi der Chef für die Ausführung/Anpassung. Wenn Du den Schemamaster einer anderen Maschine zuweist ist eine neuerliche Schemaaktualisierung nicht mehr notwendig.

 

Nachtrag zu Djmakers post - nicht transferierst sondern erzwingst die Rolle - Nebenbei - einzige Möglichkeit die "alte" Maschine wieder ins Netz zubringen ist eine komplette Neuinstallation mit HD löschen (keine Rep-Inst! - das wäre tödlich!) - Gleiches gilt auch für den RID Master

[gysinma1 13]

Hallo Zusammen

 

Microsoft best practice ist den Global Catalog entweder auf allen DCs zu aktivieren. Wegen haeufiger Probleme damit (auch von dem Verstaednis her hat MS da eine Strategieaenderung vorgenommen) hatten wir nach dem adrapport von Microsoft Muenchen den Global Catalog auf allen Domaincontrollern (von Forest und Child) aktiviert. War relevant in der MS qualitiaetsbewertung.

 

Gruss

Matthias

 

Gruss

Matthias

[Daim 12]

Buenos dias,

 

@Squire

 

Achtung bei mehreren DCs sollte der GC nicht auf dem Infrastructure Master liegen. Ausnahme alle DCs halten GCs

 

das muss aber genauer spezifiziert werden.

 

Wenn die Gesamtstruktur lediglich aus einer Domäne besteht, quasi ein Single-Domänen Forest, dann gibt es für den Infrastrukturmaster keine Arbeit und es spielt keine Rolle, ob der DC auch GC ist oder nicht. Denn es existieren ja keine weiteren Domänen von denen Objekte repliziert werden, die der Infrastrukturmaster vergleichen müsste.

 

Existieren in einer Gesamtstruktur mehrere Domänen (Multi-Domänen-Forest), darf der Infrastrukturmaster einer Domäne, nicht auf einem DC liegen, der auch die Funktion des globalen Katalogs trägt, es sei denn, man deklariert jeden DC dieser Domäne zum GC.

 

Siehe:

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

 

@Porki

 

Nehmen wir an ich installiere Exchange Server 2003, dann ändert sich ja auch das Schema. Was passiert wenn der DC mit der Rolle eines Schema-Masters ausfällt und ich die Rolle einen anderen DC gebe? Muss das Schema wegen Exchange Server 2003 neu angpasst werden und wenn ja wie?

 

Seit Windows 2000 existieren die FSMO-Rollen. Ausgeschrieben steht das FSMO für "Flexible Single Master Operations". Diese sind also flexibel und können auf andere DCs übertragen werden. Aber auch dabei gibt es einiges zu beachten, denn manchen Rollen sollten zusammenbleiben. Wobei in den meisten Umgebungen die FSMO-Rollen ohnehin auf einem DC liegen sollten. Näheres erfährst du aus dem o.g. Link.

 

Weiterhin sind ab Windows 2000 alle DCs gleichberechtigt. Wenn das aber bis ins kleinste Detail so wäre, dann gäbe es fatale Probleme in einer Gesamtstruktur. Denn manche kritische Operationen darf dann eben doch nicht jeder DC ausführen, sondern lediglich ein DC der die entsprechende FSMO-Rolle trägt. Denn unter NT konnte lediglich der PDC Änderungen durchführen und der BDC hatte lediglich Lese-Zugriff. Ab Windows 2000 ist das eben anders geregelt.

 

Das Schema kann nur von dem DC geändert werden, der die Rolle des Schema-Masters innehat. Die Änderungen finden dabei in erster Linie in der Schemapartition, die sich auf jedem DC befindet, statt. Fällt nun der Träger der Rolle des Schema-Masters aus, so ist lediglich der DC der die Änderungen am Schema durchführen darf, nicht verfügbar. Das Schema aber schon. Denn das befindet sich wie bereits erwähnt in der Schemapartition das in der Gesamtstruktur auf alle DCs repliziert wird.

Fällt nun der DC auf dem der Schema-Master liegt aus, verschiebst du die Rolle "mit Gewalt" (seizen) auf einen anderen DC.

 

Den gecrashten DC musst du dann noch händisch mit NTDSUTIL oder ADSIEdit aus dem AD entfernen.

 

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

[Daim 12]

Servus,

 

Microsoft best practice ist den Global Catalog entweder auf allen DCs zu aktivieren.

 

na na na... so pauschal ist das aber auch nicht ganz korrekt.

Es kommt auf die Größe des Netzwerks an und wie viele Änderungen im AD durchgeführt werden. Existiert ein weltweiter Forest (wie z.B. bei großen Konzernen) in dem des öfteren Änderungen im AD durchgeführt werden oder zusätzliche Attribute in den GC repliziert werrden etc., dann ist das mit dem Replkationsaufkommen schon genauer zu prüfen.

[gysinma1 13]

Lieber Daim

 

Es handelt sich dabei um einen weltweiten Konzern mit Rootdomain und vier Childs. Innerhalb des ADSchemas wurde einiges ergaenzt (Selbstentwickelte ERP und Verwaltungstools, sehr viele Aenderungen, SQL Oracle Exchangeclustered mit einem Backoffice von > 1200 Servern). Im offiziellen Adrap (Microsoft Muenchen, Active Directory Team) wurde festgestellt, dass es notwendig ist, die Kataloge ueberall zu aktivieren (okey die duennste Leitung ist auch >1 Gbit) - diese waren auf den InfraMaster deaktiviert.

 

Ich musste mich da effektiv auch belehren lassen, denn ich war auch der Ansicht, dass auf dem Inframaster kein GC aktiviert wird. Wenn ich wieder in der Schweiz bin poste ich den entsprechenden Artikel.

 

Ich bin der Ansicht man muss das in Relation sehen. Sicher ist deshalb meiner Meinung nach Aussage kein GC auf dem Inframaster nicht abschliessend korrekt.

 

Gruss,

Matthias

[Daim 12]

Lieber Daim

 

Ich hoffe das das nicht ironisch gemeint war ;) .

 

 

Im offiziellen Adrap (Microsoft Muenchen, Active Directory Team) wurde festgestellt,

 

OK, dann wurde das also genauer untersucht.

 

 

dass es notwendig ist, die Kataloge ueberall zu aktivieren (okey die duennste Leitung ist auch >1 Gbit)

 

Ich zitiere mich mal selbst:

 

"...dann ist das mit dem Replkationsaufkommen schon genauer zu prüfen."

 

Wenn Leitungen die > 1 GBit bestehen, dann ist das AD-Replikationsaufkommen völlig egal. Da bei dieser Bandbreite die AD-Replikation kaum auffallen wird. Wenn das WAN eine Geschwindigkeit wie ein LAN zur Verfügung stellt (100 M/Bit), braucht man die AD-Replikation schon nicht mehr zu berücksichtigen.

 

 

Ich musste mich da effektiv auch belehren lassen, denn ich war auch der Ansicht, dass auf dem Inframaster kein GC aktiviert wird.

 

Die Möglichkeiten wann der Infrastrukturmaster zusammen mit einem GC auf einem DC liegen darf, habe ich bereits in meiner ersten Antwort erläutert.

 

 

Wenn ich wieder in der Schweiz bin poste ich den entsprechenden Artikel.

 

Brauchst du nicht für mich.

 

 

Sicher ist deshalb meiner Meinung nach Aussage kein GC auf dem Inframaster nicht abschliessend korrekt.

 

Und um nichts anderes ging es mir ;) . Wie gesagt, die Möglichkeiten hatte ich bereits erläutert.

[gysinma1 13]

@Daim

Antwort folgt per PN

 

Gruss

Matthias