Pré-Requisitos: Conhecer os conceitos de diretório, domínio, relação de confiança, usuários e grupos.
Metodologia: Apresentar o conceito de Servidor de Catálogo Global.

Pelo que foi visto até aqui, é possível perceber que o Active Directory no Windows Server 2003 é bastante flexível, permitindo que usuários de um domínio acessem recursos em servidores de outro domínio ou até mesmo outra floresta, sem ter que entrar novamente com o seu login e senha. Para que isso seja possível, o Active Directory mantém uma base com algumas informações sobre objetos de todos os domínios. Esta base de informações é mantidas em Controladores de Domínio (DCs), configurados para atuar como Servidores de Catálogo Global (Global Catalog Servers). Nem todo DC é um Global Catalog, mas para ser Global Catalog tem que ser um DC, não pode ser um Member Server. Neste item vou apresentar informações detalhadas sobre os Servidores de Catálogo Global.

Um Servidor de Catálogo Global armazena uma cópia de todos os objetos do Active Directory, de todos os domínios em uma ou mais árvores de domínios de uma floresta. No Servidor de Catálogo Global fica uma cópia completa de todos os objetos do próprio domínio do servidor e uma cópia parcial de todos os objetos dos demais domínios. Esta estrutura é indicada na Figura 5.14:

Figura 5.14 Informações armazenadas em um Servidor de Catálogo Global.

Observe que um servidor que é DC mas não está configurado como Servidor de Catálogo Global, contém uma cópia completa de todos os objetos do seu domínio, mas não tem cópia de objetos de outros domínios. Já um DC habilitado como Servidor de Catálogo Global, tem, além da cópia completa dos objetos do seu próprio domínio, cópias parciais de todos os objetos dos demais domínios. Quando se fala em cópias parciais, significa que o Servidor de Catálogo Global não mantém cópia de todos os objetos, mas não de todos os atributos de um objeto de outro domínio. Por exemplo, o Servidor de Catálogo Global tem cópia de todos os usuários de outros domínios, mas para cada usuário apena algunas atributos (nome, senha, etc) são armazenados no Catálogo Global e não todos os atributos.

Os atributos de cada objeto que são copiados para o Catálogo Global são aqueles atributos mais utilizados para a realização de pesquisas no Active Directory. Por exemplo nome do usuário, nome de compartilhamento e tipo da impressora e assim por diante. A definição de quais atributos são armazenados no Catálogo Global e quais não são é feita no Schema. Conforme mostrarei mais adiante o Schema é como se fosse (na prática eu considero que é) a definição da estrutura do banco de dados do Active Directory. Falarei mais sobre Shcema no próximo item.

Ao armazenar os atributos mais utilizados no Catálogo Global, o Windows Server 2003 aumenta o desempenho das pesquisa no Active Directory. Se não houvesse um Catálogo Global, as pesquisas teriam que percorer todo o caminho da rede, da origem, até encontrar um servidor (um DC) no domínio de destino e os resultados percorrer o caminho inverso. Em redes maiores, com mais domínios, isso representaria um sério problema de desempenho, alémd e gerar um excessivo tráfego de rede. Evidentemente que a manutenção do Catálogo Global autalizado em todos os Servidor de Catálogo Global, gera tráfego de replicação, mas o resultado final é um ganho de performance e redução do tráfego de rede, em comparação se não existisse o Catálogo Global.

Quando um domíno é criado, com a instalação do primeiro DC do domínio, este DC é automaticamente configurado com Servidor de Catálogo Global. Os próximos DCs do domínio não serão automaticamente configurados como Servidor de Catálogo Global, mas você poderá configurá-los posteriormente. No Capítulo 8 mostrarei como configurar um DC para que passe a ser também um Servidor de Catálogo Global.

Principais funções desempenhadas por um Servidor de Catálogo Global:

Um Servidor de Catálogo Global desempenha importantes funções, dentre as quais podemos destacar as indicadas a seguir:

• Pesquisa de objetos no Active Directory: Com o uso de Servidor de Catálogo Global, o usuário é capaz de pesquisar objetos em todos os domínios de uma floresta. A velocidade das pesquisas melhora bastante, uma vez que a pesquisa é feita no Servidor de Catálogo Global mais próximo do usuário, no seu próprio domínio e não no servidor de destino ou no caso de uma pesquisa genérica (por exemplo, pesquisar silva no campo Sobrenome dos objetos usuários) em todos os servidores de todos os domínios.
• Fornece autenticação para nomes de usuários de outro domínio:O Catálogo Global é utilizado para a resolução de nomes de usuários (ou de outros objetos do Active Directory), quendo o DC que autenticou o usuário não tem informações sobre a referida conta. Por exemplo, se o usuário jsilva do domínio vendas.abc.com precisa fazor o logon como jsilva@vendas.abc.com em um computador pertencente ao domínio prod.abc.com, o DC do domínio prod.abc.com não será capaz de localizar o usuário jsilva@vendas.abc.com (pois o DC do domínio prod.abc.com tem informações somente sobre os usuários do seu próprio domínio e não dos demais domínios. Estas informações estão nos Servidores de Catálogo Global). O DC no domínio prod.abc.com irá contatar um Servidor de Catálogo Global para poder completar o processo de logon do usuário jsilva@abc.com, com sucesso.
• Disponibiliza informações sobre os membros dos grupos universais, em um abmiente com múltiplos domínios: As informações sobre os membros dos grupos locais são armazenadas apenas no domínio onde o grupo é criado. Por isso que um grupo local somente pode receber permissões de acesso aos recursos do domínio onde o grupo foi criado. Já as informações sobre os membros dos grupos Universais são armazenadas somente nos Servidor de Catálogo Global. Por isso que recomenda-se que sejam inseridos como membros dos grupos Universais, apenas outros grupos e não usuários individualmente. Se forem inseridos usuários individualmente, cada vez que um usuário for adicionado ou excluído de um grupo universal, todas as informações do grupo Universal serão replicadas entre todos os Servidor de Catálogo Global da floresta. Por exemplo, quando um usuário que pertence a um grupo universal faz o logon em um domínio configurado para o modo Windows 2000 Nativo ou Windows Server 2003, o Catálogo Global fornece informações sobre a quais grupos universais a conta do usuário pertence.

Se não estiver disponível um Servidor de Catálogo Global, o computador no qual o usuároi faz o logon irá utilizar as informações armazenadas no cache do computador, caso o usuáro já tenha feito um logon anterior neste computador. Se for o primeiro logon do usuário neste computador e não estiver disponível um Servidor de Catálogo Global, o usuário não conseguirá fazer o logon no domínio. Ele conseguirá fazer o logon apenas localmente no computador, usando uma das contas locais ao invés de uma conta do domínio.

Existe uma exceção à esta regra, que é quando a conta do usuário pertence ao grupo Administradores do Domínio (Domain Admins). Neste caso, o usuário conseguirá fazer o logon, mesmo que um Servidor de Catálogo Global não esteja disponível e mesmo que seja o seu primeiro logon no computador.

Nota: Quando a rede é formada por um único domínio, não é necessário que os usuário obtenham informações sobre os grupos Universais durante o logon, a partir de um Servidor de Catálogo Global. Isso acontece porque quando existe um único domínio, o Active Directory é capaz de detectar que não existem outros domínios e que não é necessária uma pesquisa no Catálogo Global (uma vez que a pesquisa pode ser feita no próprio DC que está autenticando o usuário)

• Validação de referências a objetos em uma floresta: O Catálogo Global é utilizado pelos DCs para validar referências a objetos de outros domínios de uma floresta. Quando um DC trata com um objeto onde um dos seus atributos contém referências a um objeto em outro domínio, esta referência é validada pelo Catálogo Global. Mais uma vez é importante salientar o papel dos Servidores de Catálogo Global em melhorar o desempenho do Active Directory. Nesta situação, se não existisse o Catálogo Global, a vaidação da referência ao objteto teria que ser feito por um DC do domínio do objeto referenciado. Só nestas situações (muito comuns na utilização diária da rede), imagine quanto tráfego de validação seria gerado através dos links de WAN da rede. Sem contar também a demora adicional até que a validação fosse feita através da rede, no domínio de destino e a resposta retornasse.

Replicação de informações entre os Servidor de Catálogo Global:

Conforme descrito anteriormente, o Catálago Global contém informações completas sobre todos os objetos do seu domínio e informações parciais sobre todos os objetos dos demais domínios. Alterações são efetuadas diariamente em diversos objetos da rede. Por exemplo, usuários são renomeados, novos grupos criados, usuários são adicionados ou retirados de grupos e assim por diante. Todas estas alterações tem que ser replicadas entro os vários Servidorer=s de Catálogo Global de todos os domínios, para que estes estejam sempre atualizados. A estrutura de replicação do Catálogo Global é criada e gerenciada automaticamente por um processo do Active Directory, conhecido como Knowledge Consistency Checker (KCC). O KCC é repsonsável por determinar a melhor “topologia” de replicação do Global Catalog, de tal maneira que a rede não seja sobrecarregada com tráfego exessivo devido à replicação.

Algumas considerações devem ser feitas em relação a replicação dos grupos Universais. Os grupso Universais e informações sobre os seus mebros estão contidas somente no Catálogo Global, conforme descrito anteriormente. Grupos Globais e Locais são também listados no Catálogo Global, porém no Catálogo Global não são armazenadas informações sobre os membros dos grupos Globais e Locais. Com isso o tamanho do Catálogo Global é reduzido, bem como o tráfego de replicação associado com a atualização do Catálogo Global. Para recursos e objetos que sofrerão alterações constantes, é aconselhável que você utilize grupos Globais e Locais para a definição de permissões, pois com isso você reduzirá o tráfego de replicação, comparativamente se você utilizasse grupos Universais. Como as informações sobre os membros dos grupos Universais são armazenadas no Catálogo Global, sempre que houver uma alteração na lista de membros de um grupo Universal, será necessário replicar esta informação para todos os Servidores de Catálogo Global de todos os domínios. Isso justifica a recomendação feita anteriormente, de somente adicionar grupos como membros de grupos Universais e não usuários.