[ARTÍCULO] Active Directory Domain Services | Catálogo Global (Global Catalog): Conceptos y Funciones

En otros artículos hemos recorrido los roles FSMO de Active Directory. El Catálogo Global no es un rol FSMO, pero tiene funciones muy importantes dentro de nuestra infraestructura de AD. A diferencia de los roles FSMO, la función de Catálogo Global puede estar en más de un controlador de dominio.

Su función es importante en los procesos de búsqueda, inicios de sesión e interacción con aplicaciones que tienen íntima relación con nuestro servicio de directorio.

En este artículo, vamos a recorrer el concepto de Global Catalog, sus principales funciones y su interacción con los roles FSMO y otras aplicaciones que utilizan el servicio de directorio, además de explicar la forma de obtener rápidamente un listado con los servidores que cumplen esta función.

 

[toc]

Introducción

Objetivo

Esta publicación tiene como objetivo presentar el concepto y funciones del Catálogo Global (Global Catalog) de Active Directory Domain Services y por qué es tan importante en nuestra infraestructura.

Alcance

El alcance de esta publicación es:

  • Presentar en alto nivel qué es el Catálogo Global.
  • Presentar en alto nivel que funciones cumple en una infraestructura de Active Directory Domain Services a partir de Windows Server 2000.

Desarrollo del Artículo sobre Global Catalog

Introducción al Catálogo Global (Global Catalog)

El Catálogo Global es un repositorio de datos distribuido que contiene una representación parcial de cada objeto de cada dominio en una infraestructura de Active Directory. Cuando hablamos de una representación parcial, estamos diciendo que tiene algunas propiedades de los objetos, no todas, dado que tener todas las propiedades de todos los objetos de AD tendría un costo (de transferencia y espacio) muy grande. Esta representación parcial es de solo lectura, y tiene funciones bien identificadas.

Esta función puede ser llevada a cabo por los controladores de dominio que están distinguidos con dicha función. Está presente desde los servicio de Active Directory en Windows 2000, e incluso en Active Directory Domain Services de Windows Server 2012.

Funciones Generales del Global Catalog

Las principales funciones del Global Catalog son:

  • Funciones de Búsquedas.
  • Soporte para Inicios de Sesión.
  • Búsquedas de Exchange Address Book.

Funciones de Búsquedas

Los controladores de dominio que actúan como Catálogo Global, tienen información parcial de los objetos de todos los dominios del bosque. Los usuarios y/o aplicaciones que interactúan con Active Directory pueden realizar búsquedas multidominio a través del Catálogo Global para ubicar un objeto en particular sin hacer referencia a todos los servidores intervinientes.

Imaginemos un entorno como el siguiente: un forest con 10 dominios. Ubicar un objeto en particular en este entorno, podría ser un poco complicado. El Catálogo Global nos permite fácilmente realizar una búsqueda y ubicar el objeto (cuenta de usuario, grupo, impresora) fácilmente. Ahora bien, la información que tendremos, por supuesto, no será total, sino parcial (recordemos que el GC no guarda toda la información de un objeto, sino solo una parte).

Soporte para Inicios de Sesión

El Global Catalog tiene una función clave en la definición de identidades origen durante los procesos de inicios de sesión en un entorno multi-dominio y pertenencia a grupos universales.

Si contamos con un nombre de objeto (por ejemplo usuarios) que no identifican inequívocamente al dominio del usuario, el catálogo global tiene la posibilidad de resolución sobre qué dominio tiene el usuario su cuenta, dado que podría pertenecer a un sub-dominio del dominio raíz o viceversa, e iniciar sesión usando su UPN de usuario.

Por otro lado, en las credenciales del usuario debería figurar la membresía a los grupos universales a los que pertenece, de modo de dar acceso y evitar escaladas de seguridad de dichos usuarios.

Membresía a Grupos Universales

Durante el inicio de sesión, el usuario debe ser autenticado. Durante el proceso de autenticación, el usuario es validado y recibe los datos de autorización para el acceso a recursos.

Para proporcionar los datos de autorización, el controlador de dominio que autentica a dicho usuario recupera los identificadores de seguridad (SID) para todos los grupos de seguridad a los que el usuario pertenece y agrega estos SID al Token de acceso (Access Token). En un bosque con más de un dominio, el Catálogo Global es el único lugar donde se pueden comprobarn las pertenencias de todos los grupos universales. Si el catálogo global no está disponible, la autenticación falla.

UPN

El User Principal Name (UPN) es un nombre de inicio de sesión que toma el formato de una dirección de correo electrónico. Normalmente se utiliza para hacer coincidir los nombres de usuario con el correo institucional y dar una mejor experiencia de usuario.

Cuando una estación de trabajo o un usuario inicia sesión a través de su UPN, se debe contactar al Catálogo Global para resolver el nombre de dominio al que el usuario pertenece, dado que no necesariamente el controlador de dominio que atiende la solicitud pertenece al dominio en que el usuario está intentando iniciar sesión. Es entonces que se realiza una consulta al Global Catalog para que éste devuelva el nombre de dominio de Active Directory correcto, para que el inicio de sesión siga el curso hacia un controlador de dominio de dicho dominio.

Funciones de Búsqueda de Address Book

Exchange Server utiliza el catálogo global para funciones de búsqueda de receptores de correo en un forest. En este sentido, es importante que el controlador de dominio primario de los servidores Exchange sean Catálogo Global.

Interacciones y Dependencias del Global Catalog

Puntos a tener en cuenta de los Global Catalog:

  • Instalación de Active Directory: durante la instalación del primer controlador de dominio en un forest, éste es automáticamente marcado como catálogo global.
  • Replicación de Active Directory: el catálogo global es mantenido por la replicación de Active Directory.
  • DNS: existen registros SRV para ubicar los controladores de dominio con funciones GC en Active Directory.
  • Interacción con roles FSMO: en un entorno “Multidomain Forest”, es importante que tener en cuenta que si no todos los DC del dominio son Global Catalog, el rol Infraestructure Master debería ubicarse en un DC que no sea Global Catalog.

Busqueda de los Global Catálog

Si rápidamente quisiéramos obtener un listado de la ubicación de los Catálogos Globales para un bosque, podemos correr el siguiente comando desde algún controlador de dominio:

dsquery server -forest –isgc

El mismo arrojará el siguiente resultado, listando línea por línea los controladores de dominio con dicha función:

Catálogo Global: listado de DCs que cumplen esta función.

Conclusiones

El Catálogo Global tiene funciones importantes dentro de nuestro servicio de directorio. La no-disponibilidad del mismo puede traernos muchos dolores de cabeza, razón por la cual su estado de salud debe ser parte de los controles diarios que tenemos sobre la infraestructura de Active Directory.

Referencias y Links

Para este artículo se han tenido en cuenta los siguientes links y referencias:

 

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

Acerca del Autor

0 0 votes
Article Rating

Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.

Subscribe
Notify of
guest

2 Comments
Most Voted
Newest Oldest
Inline Feedbacks
View all comments
Jorge Cavallin
Jorge Cavallin
February 2, 2013 5:02 PM

Hola , muy bueno su sitio . Me gustaría sabre , fisscamnete donde se aloja el CG , como se replica entre varios controladores de dominio que están configurado como GC .
Muchas gracias