Windows Server 2003 Active Directory-Betriebshandbuch
Kapitel 4: Administration des globalen Katalogs
In diesem Kapitel finden Sie Informationen zur "Administration des globalen Katalogs" von Active Directory unter Microsoft Windows Server 2003.
Das Kapitel umfasst die folgenden Abschnitte:
| • | "Einführung in die Administration des globalen Katalogs" |
| • | "Verwaltung des globalen Katalogs" |
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003 SP1
Erstellt von: Microsoft Windows Server User Assistance Team
Autor: Mary Hillman
Redaktion: Jim Becker
Auf dieser Seite
 | Einführung in die Kapitel Administration des globalen Katalogs |
| Verwaltung des globalen Katalogs |
Einführung in die Kapitel Administration des globalen Katalogs
Globale Katalog Server dienen zur gesamtstrukturweiten Suche im Verzeichnis und zur Durchführung von Clientanmeldungen, wenn universelle Gruppen verwendet werden (dies ist der Fall, wenn eine Domäne in der Funktionsebene Windows Server 2003 oder Windows 2000 pur arbeitet). Wenn universelle Gruppen zur Verfügung stehen, muss ein Domänencontroller in der Lage sein, einen globalen Katalogserver abzufragen, um eine Anmeldeanforderung bearbeiten zu können.
Platzierung des globalen Katalogs
Die Platzierung von globalen Katalog Servern innerhalb der Standorte geschieht bei der Bereitstellung der Gesamtstruktur. Wenn die Gesamtstruktur wächst, kann es notwendig sein, weitere globale Katalog Server bereitzustellen. Um die Anmelde- und Suchgeschwindigkeit zu verbessern, sollte sich mindestens ein globaler Katalog an jedem Standort befinden, und mindestens zwei, wenn der Standort über mehrere Domänencontroller verfügt. Als Best Practice sollte die Hälfte der Domänencontroller in einem Standort als globaler Katalog konfiguriert sein, wenn es mehr als drei Domänencontroller gibt. Wenn es nur eine Domäne gibt, konfigurieren Sie alle Domänencontroller als globalen Katalog.
Bei der Platzierung von globalen Katalog Servern sollten Sie die folgenden Überlegungen anstellen:
| • | Hat ein Standort keinen globalen Katalog? |
| • | Welche Domänencontroller sind in einem Standort als globaler Katalog vorgesehen? |
Initiale Replikation des globalen Katalogs
Wenn Sie einen globalen Katalog zu einem Standort hinzufügen, aktualisiert der KCC (Knowledge Consistency Checker) die Replikationstopologie.
Beim Hinzufügen weiterer globaler Kataloge ist nur eine Replikation innerhalb des Standortes notwendig. Die Netzwerkleistung wird somit nicht beeinträchtigt. Dies passiert nur, wenn der erste globale Katalog zu einem Standort hinzugefügt wird. Hierbei hängen die Auswirkungen auf die Leistung von den folgenden Faktoren ab:
| • | Der Geschwindigkeit und Zuverlässigkeit der WAN-Verbindungen des Standortes. |
| • | Der Größe der Gesamtstruktur. |
Verfügbarkeit des globalen Katalogs
Der globale Katalog steht den Clients zur Verfügung, wenn er über das DNS als globaler Katalog Server identifizierbar ist. Bevor dies der Fall ist, müssen jedoch mehrere Bedingungen erfüllt sein. Diese Bedingungen werden in sieben Stufen unterteilt (0 bis 6) und werden Betriebslevel genannt. Auf jedem Level muss ein bestimmtes Maß an Synchronisation erreicht sein, bevor zum nächsten Level gewechselt wird. Standardmäßig müssen bei Domänencontrollern unter Windows Server 2003 alle Level abgeschlossen sein, bevor der globale Katalog zur Verwendung bereit ist. Auf Level 6 sind alle teilweisen nur lesbaren Verzeichnispartitionen erfolgreich an den globalen Katalog repliziert worden. Wenn die Anforderungen aller Level erfüllt sind, registriert der NetLogon-Dienst auf dem globalen Katalog Server einen DNS-Diensteintrag (SRV), der den Domänencontroller innerhalb des Standortes und der Gesamtstruktur als globalen Katalog identifiziert.
Zusammenfassend bedeutet das also, dass ein globaler Katalog für die Clients bereit ist, wenn die folgenden Ereignisse in dieser Reihenfolge aufgetreten sind:
| • | Alle Betriebslevel sind abgeschlossen. |
| • | Das rootDSE-Attribut isGlobalCatalogReady ist auf TRUE gesetzt. |
| • | Der NetLogon-Dienst auf dem Domänencontroller hat den DNS mit einem SRV-Eintrag aktualisiert. |
Zu diesem Zeitpunkt kann der globale Katalog über Port 3268 und 3269 abgefragt werden.
Entfernen des globalen Katalogs
Wenn Sie den globalen Katalog entfernen, hört der Domänencontroller sofort damit auf, sich im DNS als globaler Katalog Server einzutragen. Der KCC entfernt die nur lesbaren Repliken vom Domänencontroller. Bei Domänencontrollern unter Windows Server 2003 passiert dies im Hintergrund - so wird der normale Betrieb nicht beeinflusst.
Ein Grund, aus dem Sie möglicherweise einen globalen Katalog entfernen möchten, ist die Verfügbarkeit des Cachings für universelle Gruppemitgliedschaften unter Windows Server 2003. An bestimmten Standorten kann es sein, dass somit kein globaler Katalog mehr erforderlich ist.
Die minimalen Hardwareanforderungen für globale Katalog Server hängen von der Anzahl der Benutzer in einem Standort ab. Informationen zu dem benötigten Festplattenplatz und zur Datenbankspeicherung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=45434 (engl.).
Siehe auch
http://go.microsoft.com/fwlink/?LinkId=44139
Verwaltung des globalen Katalogs
Mit den folgenden Verfahren veralten Sie den globalen Katalog:
| • | "Konfiguration eines globalen Katalog Servers" |
| • | Überprüfen der Bereitschafft des globalen Katalogs |
| • | "Entfernen des globalen Katalogs" |
Konfiguration eines globalen Katalog Servers
Wenn das Hinzufügen eines globalen Katalog Servers an einem Standort erforderlich ist, können Sie einen Domänencontroller zum globalen Katalog machen. Der KCC aktualisiert dann sofort die Topologie, und nachdem dies geschehen ist, werden die nur lesbaren Domänenpartitionen auf den entsprechenden Domänencontroller repliziert. Wenn die Replikation zwischen Standorten durchgeführt wird, legt der Zeitplan für die Standortverknüpfungen fest, wann dies geschieht.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig:
| • | Active Directory-Standorte und -Dienste |
| • | Repadmin.exe |
| • | Dcdiag.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
Anmerkung
Einige Schritte sind nur dann erforderlich, wenn Sie den ersten globalen Katalog an einem Standort bereitstellen.
1. | "Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist" |
2. | "Konfigurieren eines Domänencontrollers als globaler Katalog Server" |
3. | "Überwachen des Replikationsprozesses des globalen Katalogs" |
4. | "Überprüfen der erfolgreichen Replikation mit einem anderen Domänencontroller" |
Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist
Mit dem NTDS-Settings-Objekt können Sie festlegen, ob ein Domänencontroller ein globaler Katalog ist oder nicht.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein.
"Feststellen, ob ein Domänencontroller ein globaler Katalogserver ist"
1. | Öffnen Sie Active Directory-Standorte und -Dienste. |
2. | Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. |
3. | Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. |
4. | Wenn auf der Registerkarte Allgemein das Feld Globaler Katalog ausgewählt ist, arbeitet der Domänencontroller als globaler Katalog Server. |
Konfigurieren eines Domänencontrollers als globaler Katalog Server
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich der der als globaler Katalog vorgesehene Domänencontroller befindet.
"Konfigurieren eines Domänencontrollers als globaler Katalog Server"
1. | Öffnen Sie Active Directory-Standorte und -Dienste. |
2. | Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. |
3. | Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. |
4. | Aktivieren Sie die Option Globaler Katalog, und klicken Sie dann auf OK. |
Überwachen des Replikationsprozesses des globalen Katalogs
Mit dem folgenden Verfahren können Sie feststellen, wie viel Prozent der nur lesbaren Verzeichnispartition bereits auf den neuen globalen Katalog Server repliziert wurden.
Anmerkung
Exchange 2003 Server nutzen den globalen Katalog zur Suche nach Adressen. Daher kann es beim Bekannt geben eines globalen Katalog Servers, bevor dieser alle Repliken erhalten hat, zu Problemen mit Adressbüchern und der Mailzustellung kommen.
Damit ein MAPI-Zugriff auf Active Directory möglich ist, muss der Name Service Provider Interface (NSPI) auf einem globalen Katalog Server ausgeführt werden. Um den NSPI zu aktivieren, müssen Sie den globalen Katalog nach dem Erhalt aller Repliken neu starten.
Administrative Berechtigungen
Um das unten aufgeführte Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein.
"Überwachen des Replikationsprozesses des globalen Katalogs"
1. | Öffnen Sie eine Eingabeaufforderung. |
2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: dcdiag /v /s:servername| find “%” |
3. | Wiederholen Sie den Befehl regelmäßig, und prüfen Sie so den Fortschritt der Replikation. Wenn keine Ausgaben angezeigt werden, ist die Replikation vollständig. |
Überprüfen der Bereitschaft des globalen Katalogs
Nach der Replikation der Verzeichnispartition gibt der Domänencontroller bekannt, dass er globaler Katalog ist und nimmt Anfragen entgegen. Wenn dies geschieht, bevor die Replikation vollständig ist, kann es sein, dass er fehlerhafte Informationen zurückgibt. Mit den folgenden Schritten können Sie feststellen, ob der globale Katalog Server bereit ist.
Anforderungen
Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig:
| • | Ldp.exe |
| • | Nltest.exe |
| • | DNS snap-in |
Anmerkung
Der globale Katalog Server muss nach der Replikation erst einmal neu gestartet werden.
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. | "Prüfen der Bereitschaft des globalen Katalogs" |
2. | "Prüfen der DNS-Einträge des globalen Katalogs" |
Prüfen der Bereitschaft des globalen Katalogs
Wenn die Replikation abgeschlossen ist, wird das rootDSE-Attribut isGlobalCatalogReady rootDSE auf TRUE gesetzt.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein.
Prüfen der Bereitschaft des globalen Katalogs
| • | Mithilfe der Windows-Oberfläche |
| • | Mithilfe der Eingabeaufforderung |
Mithilfe der Windows-Oberfläche
1. | Klicken Sie auf Start, klicken Sie auf Run, geben Sie Ldp ein, und klicken Sie dann auf OK. |
2. | Klicken Sie im Menü Verbindung auf Verbinden. |
3. | Geben Sie den Namen des Servers ein, den Sie überprüfen möchten. |
4. | Geben Sie unter Port 389 ein. |
5. | Deaktivieren Sie die Option Verbindungslos, und klicken Sie dann auf OK. |
6. | Prüfen Sie, ob das Attribut isGlobalCatalogReady den Wert TRUE hat. |
7. | Klicken Sie im Menü Verbindung auf Trennen. |
Mithilfe der Eingabeaufforderung
1. | Öffnen Sie eine Eingabeaufforderung. |
2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: nltest /server:servername /dsgetdc:domänenname |
3. | Wenn in der Ausgabe unter Flags: GC angezeigt wird, ist der globale Katalog mit der Replikation fertig. |
Prüfen der DNS-Einträge des globalen Katalogs
Über die DNS-SRV-Einträge des globalen Katalogs können Sie feststellen, ob der globale Katalog in der Domäne bekannt ist. Starten Sie den globalen Katalog Server neu, bevor Sie die Einträge überprüfen.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein.
"Prüfen der DNS-Einträge des globalen Katalogs"
1. | Öffnen Sie das DNS-Snap-In, und verbinden Sie sich mit einem Domänencontroller in der Stammdomäne. |
2. | Erweitern Sie Forward Lookup Zones und dann die Stammdomäne. |
3. | Klicken Sie auf den Container _tcp. |
4. | Suchen Sie in der Spalte Name nach _gc und in der Spalte Daten nach dem Namen des Servers. |
Entfernen des globalen Katalogs
Um einen globalen Katalog zu entfernen, reicht es, die Option in den NTDS-Settings zu deaktivieren. Der Domänencontroller hört dann sofort auf, sich selbst über den DNS als globaler Katalog Server bekannt zu machen und beantwortet keine LDAP-Anfragen über die Ports 3268 und 3269 mehr.
Anforderungen
Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich:
| • | Active Directory-Standorte und -Dienste |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
1. | "Deaktivieren der globaler Katalog-Einstellung" |
2. | "Überwachen der Ereignisanzeige" |
Deaktivieren der globaler Katalog-Einstellung
Administrative Berechtigungen
Um diese Aufgabe ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins in der Domäne sein, in der sich der globale Katalog Server befindet.
Deaktivieren der Einstellung
1. | Öffnen Sie Active Directory-Standorte und -Dienste. |
2. | Erweitern Sie den Container Standorte und den Standort, in dem sich der betreffende Domänencontroller befindet. Erweitern Sie den Container Servers und das Server-Objekt. |
3. | Klicken Sie mit rechts auf das NTDS-Settings-Objekt und dann auf Eigenschaften. |
4. | Deaktivieren Sie die Option Globaler Katalog, und klicken Sie dann auf OK. |
Überwachen der Ereignisanzeige
Um das erfolgreiche Entfernen des globalen Katalogs zu überprüfen, müssen Sie die Ereignisanzeige überwachen. Der KCC trägt Ereignis 1268 ein, wenn der globale Katalog entfernt wurde.
Administrative Berechtigungen
Um dieses Verfahren durchführen zu können, müssen Sie Mitglied der Gruppe Domänenbenutzer sein.
"Überwachen der Ereignisanzeige"
1. | Öffnen Sie die Ereignisanzeige. |
2. | Klicken Sie mit rechts auf Ereignisanzeige (Lokal) und dann auf Mit einem anderen Computer verbinden. |
3. | Klicken Sie auf Anderer Computer, und geben Sie den Namen des Servers ein, von dem Sie den globalen Katalog entfernt haben. Klicken Sie dann auf OK. |
4. | Klicken Sie unter Ereignisanzeige auf Verzeichnisdienstprotokoll. |
5. | Suchen Sie nach Ereignis-ID 1268. |