Configurando e entendendo o Global Catalog

  • Artigo

Introdução

Com o advento do Windows 2000 / 2003 e a administração baseada em diretório ativo, muitos novos conceitos surgiram, e, algumas vezes, o seu não-entendimento ou planejamento pode causar muitos problemas e situações embaraçosas para os administradores de rede. Um dos novos conceitos introduzidos foi o de “catálogos globais”, ou, “Global Catalog” (a partir de então, chamaremos por GC), uma função vital que um servidor pode desempenhar em uma rede. Este artigo trata a respeito desta função e visa esclarecer alguns “fatos” e “mitos”.

Definição e função do GC

“Global Catalog” é uma função que pode ser desempenhada apenas por um servidor do tipo “controlador de domínio” em uma rede Windows 2000 / 2003. Ele desempenha um papel vital no processo de logon dos usuários de uma rede.

Ao fazer o logon em uma rede, uma das informações necessárias é saber a quais grupos um usuário pertence. Baseado nesta relação de grupos é que os acessos e direitos a objetos são concedidos ou negados.

Mas, por padrão, um controlador de domínio só consegue identificar os grupos a que um usuário pertence de seu próprio domínio. Apenas o GC consegue identificar se o usuário pertence a um grupo de um outro domínio, por exemplo, os grupos do tipo “Universal”.

Portanto, no processo de logon, o controlador de domínio precisa contatar um GC para identificar quais grupos Universais, de outros domínios, este usuário pertence. Podemos considerar o GC como um “atalho” neste processo, pois caso contrário, cada controlador de domínio teria que, ele próprio, contatar cada controlador na floresta independentemente para descobrir tais informações.

Um outro papel do GC é que em ambientes de múltiplos domínios, ele possibilita que um usuário faça um logon em um controlador de domínio o qual não pertença a sua conta. É o GC que possibilita que este controlador “descubra” o domínio do usuário e permita o logon.

Para se ativar um GC, usamos o snap-in “Sites and Services”, navegando até o objeto “NTDS Settings” do servidor desejado, conforme figura abaixo: (por padrão, o primeiro controlador de domínio de uma floresta é configurado como GC)

Cc668524.GlobalCatalog_1(pt-br,TechNet.10).gif

Figura 1

Planejando sua configuração

A função de GC impacta diretamente no desenho e planejamento de sua rede. Hoje em dia, é muito comum o esquema “Matriz->Filial”, ou mesmo o de site principal, e sites secundários. Geralmente, estas localidades diferentes são interligadas através de um link WAN, e os administradores configuram, para cada localidade um ou dois controladores de domínio para que o processo de logon não seja feito através do link, até o site principal. Porém, é importante se lembrar também do GC: caso não haja um GC no site local, a cada logon, o controlador de domínio irá contatar um GC, e, se houver apenas um destes no site principal, este tráfego ocorrerá pelo link. Algumas literaturas sugerem que um GC deve ser configurado em localidades com mais de 100 usuários. Isto porque, assim como existe uma replicação de dados entre os controladores de domínio, existe a necessidade de replicação também para os GC´s. Portanto, em sites pequenos, a princípio, a configuração de um GC não irá minimizar o tráfego do link, e, se você tiver muitas localidades, o tráfego de replicação será maior que o tráfego de logon. Nestes casos, uma boa ferramenta de análise de links / tráfego pode ajudar a determinar o que é mais vantajoso.

É importante lembrar também que no caso de uma estrutura de floresta com um único domínio, o GC não é utilizado durante o processo de logon, pois os controladores de domínio, conhecem, sem a ajuda do GC, todas as informações de grupos do usuário que está no processo de logon (não existe outro domínio para o GC contatar...). Além disso, controladores de domínio Windows 2000 em modo “mixed” não contatam um GC, pois não suportam a característica de “Grupos Universais”.

E se o Global Catalog falhar ?

Talvez você pergunte o que acontece caso um controlador de domínio não consiga contatar um GC. Neste caso, existe um recurso conhecido como “cache de credenciais”. Cada vez que um processo de logon é bem sucedido, estas credenciais são salvas localmente. Assim, estas credenciais são usadas no caso de falha do GC, e a lista de grupos é reconstruída levando-se em conta o último logon. Por padrão, máquinas Windows 2000 e XP irão armazenar os 10 últimos usuários que fizeram o processo de logon.

Esta configuração pode ser alterada através de Group Policy (Computer Configuration\Windows Settings\Security Settings\Security Options\Interactive Logon: Number of previous to cache), e se alterada para o valor 0, o processo de logon só será possível se o controlador de domínio estiver ativo e conseguir contatar um GC.

Muitos consideram isto como uma boa prática de segurança, pois, por exemplo, se você desabilitar uma conta de um usuário e ele descobrir isto, ele pode simplesmente, remover o cabo ou conexão da rede, fazer o logon com as credenciais em cache, e depois, ter acesso aos seus objetos (lembre-se que no caso dos computadores portáteis, é necessário permitir o processo de logon sem a obrigação de se contatar um controlador de domínio / GC)

Global Catalog e Exchange Server

O GC desempenha também um importante papel em ambientes que utilizam o Microsoft Exchange Server 200x. Eles são usados pelos servidores de email na localização de usuários, contatos, GAL (Global Address List), portanto, para uma melhor performance dos clientes é importante que os servidores Exchange e os GC estejam na mesma LAN, ou seja, em redes do tipo “bem conectadas”. Isto evitará também, no caso de um problema ou queda de link entre duas localidades, que ocorram problemas no envio e recebimento de mensagens e localização dos objetos.

Global Catalog e Windows 2003

Uma das melhorias na estrutura dos servidores Windows 2003 em relação ao 2000 foi a introdução do conceito de “cache da lista de membros de gupos universais”. Isto permite, que, caso um controlador de domínio não consiga contatar um GC, ele consulte em cache a lista de grupos universais a que um usuário pertença e o logon possa ocorrer normalmente. Isto permite que se reduza o número de GC´s necessário em um ambiente com várias localidades, interligadas por links WAN, reduzindo o tráfego necessário de replicação. Esta configuração pode ser feita através do snap-in “Sites and Services”. Para isto, selecione no site desejado, o objeto “NTDS Site Settings”, conforme figura abaixo:

Cc668524.GlobalCatalog_2(pt-br,TechNet.10).gif

Figura 2

Conclusão

O bom entendimento das funções e características de um sistema operacional é o que diferencia os bons e maus administradores de rede e, conseqüentemente, valoriza o papel do bom profissional. Cada ambiente deve ser analisado de maneira impar, por isso, é muito importante entender muito bem todas as “variáveis” envolvidas e se ter um bom planejamento de implementação. Portanto, da próxima vez que você for planejar a estruturação de uma rede Microsoft, não deixe de planejar também as configurações do Global Catalog !!