Compartir a través de


Catálogo Global (Global Catalog): Conceptos y Funciones (es-ES)

El Catálogo Global no es considerado un rol FSMO (Flexible Single Master Operation), pero tiene funciones muy importantes dentro de nuestra infraestructura de Active Directory. A diferencia de los roles FSMO, la función de Catálogo Global puede estar en más de un controlador de dominio.

Su función es importante en los procesos de búsqueda, inicios de sesión e interacción con aplicaciones que tienen íntima relación con nuestro servicio de directorio.

En este artículo, vamos a recorrer el concepto de Global Catalog, sus principales funciones y su interacción con los roles FSMO y otras aplicaciones que utilizan el servicio de directorio, además de explicar la forma de obtener rápidamente un listado con los servidores que cumplen esta función.

Introduccion al Catalogo Global (Global Catalog)

El Catálogo Global es un repositorio de datos distribuido que contiene una representación parcial de cada objeto de cada dominio en una infraestructura de Active Directory. Cuando hablamos de una representación parcial, estamos diciendo que tiene algunas propiedades de los objetos, no todas, dado que tener todas las propiedades de todos los objetos de AD tendría un costo (de transferencia y espacio) muy grande. Esta representación parcial es de solo lectura, y tiene funciones bien identificadas.

Esta función puede ser llevada a cabo por los controladores de dominio que están distinguidos con dicha función. Está presente desde los servicio de Active Directory en Windows 2000, e incluso en Active Directory Domain Services de Windows Server 2012.

Funciones Generales del Global Catalog

Las principales funciones del Global Catalog son:

  • Funciones de Búsquedas
  • Soporte para Inicios de Sesión
  • Búsquedas de Exchange Address Book

Funciones de Búsquedas

Los controladores de dominio que actúan como Catálogo Global, tienen información parcial de los objetos de todos los dominios del bosque. Los usuarios y/o aplicaciones que interactúan con Active Directory pueden realizar búsquedas multidominio a través del Catálogo Global para ubicar un objeto en particular sin hacer referencia a todos los servidores intervinientes.

Imaginemos un entorno como el siguiente: un forest con 10 dominios. Ubicar un objeto en particular en este entorno, podría ser un poco complicado. El Catálogo Global nos permite fácilmente realizar una búsqueda y ubicar el objeto (cuenta de usuario, grupo, impresora) fácilmente. Ahora bien, la información que tendremos, por supuesto, no será total, sino parcial (recordemos que el GC no guarda toda la información de un objeto, sino solo una parte).

Soporte para Inicios de Sesión

El Global Catalog tiene una función clave en la definición de identidades origen durante los procesos de inicios de sesión en un entorno multi-dominio y pertenencia a grupos universales.

Si contamos con un nombre de objeto (por ejemplo usuarios) que no identifican inequívocamente al dominio del usuario, el catálogo global tiene la posibilidad de resolución sobre qué dominio tiene el usuario su cuenta, dado que podría pertenecer a un sub-dominio del dominio raíz o viceversa, e iniciar sesión usando su UPN de usuario.

Por otro lado, en las credenciales del usuario debería figurar la membresía a los grupos universales a los que pertenece, de modo de dar acceso y evitar escaladas de seguridad de dichos usuarios.

Membresia a Grupos Universales

Durante el inicio de sesión, el usuario debe ser autenticado. Durante el proceso de autenticación, el usuario es validado y recibe los datos de autorización para el acceso a recursos.

Para proporcionar los datos de autorización, el controlador de dominio que autentica a dicho usuario recupera los identificadores de seguridad (SID) para todos los grupos de seguridad a los que el usuario pertenece y agrega estos SID al Token de acceso (Access Token). En un bosque con más de un dominio, el Catálogo Global es el único lugar donde se pueden comprobarn las pertenencias de todos los grupos universales. Si el catálogo global no está disponible, la autenticación falla.

UPN

El User Principal Name (UPN) es un nombre de inicio de sesión que toma el formato de una dirección de correo electrónico. Normalmente se utiliza para hacer coincidir los nombres de usuario con el correo institucional y dar una mejor experiencia de usuario.

Cuando una estación de trabajo o un usuario inicia sesión a través de su UPN, se debe contactar al Catálogo Global para resolver el nombre de dominio al que el usuario pertenece, dado que no necesariamente el controlador de dominio que atiende la solicitud pertenece al dominio en que el usuario está intentando iniciar sesión. Es entonces que se realiza una consulta al Global Catalog para que éste devuelva el nombre de dominio de Active Directory correcto, para que el inicio de sesión siga el curso hacia un controlador de dominio de dicho dominio.

Funciones de Búsqueda de Address Book

Exchange Server utiliza el catálogo global para funciones de búsqueda de receptores de correo en un forest. En este sentido, es importante que el controlador de dominio primario de los servidores Exchange sean Catálogo Global.

Interacciones y Dependencias del Global Catalog

Puntos a tener en cuenta de los Global Catalog:

  • Instalación de Active Directory: durante la instalación del primer controlador de dominio en un forest, éste es automáticamente marcado como catálogo global.
  • Replicación de Active Directory: el catálogo global es mantenido por la replicación de Active Directory.
  • DNS: existen registros SRV para ubicar los controladores de dominio con funciones GC en Active Directory.
  • Interacción con roles FSMO: en un entorno “Multidomain Forest”, es importante que tener en cuenta que si no todos los DC del dominio son Global Catalog, el rol Infraestructure Master debería ubicarse en un DC que no sea Global Catalog.

Busqueda de los Catalogos Globales en Active Directory

Si rápidamente quisiéramos obtener un listado de la ubicación de los Catálogos Globales para un bosque, podemos correr el siguiente comando desde algún controlador de dominio:

dsquery server -forest –isgc

El mismo arrojará el siguiente resultado, listando línea por línea los controladores de dominio con dicha función:

En dicho caso, se han encontrado dos Catálogos Globales (Global Catalog) en los equipos PDC01 y PDC02.

Conclusiones

El Catálogo Global tiene funciones importantes dentro de nuestro servicio de directorio. La no-disponibilidad del mismo puede traernos muchos dolores de cabeza, razón por la cual su estado de salud debe ser parte de los controles diarios que tenemos sobre la infraestructura de Active Directory.

Referencias y links oficiales de Microsoft:

Artículo original: