Глобальный каталог active directory

В этой cтатье рассмотрим такое понятие, как "Глобальный Каталог" и его роль.

Итак, давайте разберем, что такое глобальный каталог. Пусть у нас естькомпания, которая имеет лес доменов. И вот нам нужно найти какой-то объект из нашей компании, пусть это будет какой-то принтер. Но как мы уже знаем объекты хранятся в службе каталога ActiveDirectory, а каждая ActiveDirectory ответственна только за свой домен. Тогда получается нам нужно лазить по всем доменам в их службе каталогов ActiveDirectory и в каждом домене искать данный объект в нашем случае принтер. Довольно утомительная согласитесь операция. И вот было решено в Майкроосфт что надо облегчить такой поиск, снизить нагрузку на сеть и прочее, прочее. В результате родился «Глобальный каталог» (globalcatalog).

То есть глобальный каталог возвышается над всеми местными службами каталогов ActiveDirectory и хранит информацию об о всех объектах леса или дерева предприятия или компании.

Глобальный каталог представляет из себя базу данных об объектах дерева или леса. Но данная база данных главного каталога только частичная, то есть не полная база данных как в случае с ActiveDirectory домена и предназначена она только для чтения. Она содержит только фрагменты всех контекстных доменных имен дерева или леса. То есть эта база данных скажем так – «ограниченная» слегка, так как она не содержит весь перечень атрибутов объектов хранящихся в доменах а именно в ActiveDirectory конкретного домена. Скажу еще одну умную фразу, которая нам понадобится в дальнейшем, а вы пока привыкните к ней – глобальный каталог содержит частичную реплику каждого контекста имен каталога ActiveDirectory, а по простому что данная база не содержит полный набор атрибутов который хранится в ActiveDirectory домена, что уже было сказано выше.

По умолчанию глобальный каталог автоматически создается на исходном контроллере домена первого леса.

Контролер домена, на котором хранится копия главного каталога, называется сервером глобального каталога (globalcatalogserver). Сервером глобального каталога можно назначить любой контроллер домена в рамках леса нашего предприятия.

Хочу теперь добавить, так как выше что бы вас не запутать совсем, не сказал то что – вообще глобальный каталог хранит все информацию об объектах в том домене, в котором он был создан и частичную информацию об объектах остальных доменах дерева или леса. Смотрите рисунок

Информация из глобального каталога в ActiveDirectory распространяется между серверами глобального каталога в других доменах путем репликации.

Повторяюсь – на сервере главного каталога хранится полная реплика всех атрибутов объектах каталога, принадлежащих домену в котором в котором "живет, создан" данный сервер каталога и частичная реплика атрибутов объектов каталога, относящимся ко всем остальным доменам леса или дерева. Частичная реплика включает в себя как правило наиболее часто используемые при поиске атрибуты ( например имена и фамилии пользователей, их логины и так далее), а это позволяет пользователям находить объекты даже не зная в каком домене находится этот объект.

Забегая чуть вперед хочу сказать что в первый контроллер домена установленный, автоматически становится и сервером глобального каталога или еще можно сказать контроллером глобального каталога. Дополнительные контроллеры домена можно назначить как GC, выбирая опцию Global Catalog Server (Сервер глобального каталога) в инструменте администрирования Active Directory Sites And Services (Сайты и службы Active Directory). Это делается с целью оптимизации входа в систему. Как используется каталог GC в процессе входа в систему, рассмотрим ниже.

Функции глобального каталога

У глобального каталога две основные функции :

он позволяет осуществлять поиск в независимости от того из какого домена мы осуществляем поиск и в каком домене находится искомый объект в рамках нашего леса или домена.
Без каталога GC поиск по запросам, полученным контроллером домена, который не обладает запрошенным объектом, приведет к тому, что он переправит запрос на контроллер домена другого домена, увеличивая и нагрузку на сеть и на обработку данного запроса непосредственно другим контроллером. Поскольку GC-каталог содержит полный список всех объектов леса или дерева (но не содержит полный набор атрибутов объекта), GC-сервер может ответить на любой запрос, используя атрибут, который копировался в GC-каталог, без необходимости передавать его другому контроллеру домена. Запрос, который послан GC-серверу, является LDAP-запросом (Lightweght Directory Access Protocol — облегченный протокол службы каталогов), использующим порт 3268 (заданный по умолчанию порт GC-каталога). Не пугайтесь и это со временем разберем, теперь просто надо запомнить что запросы к ГК осуществляются по протоколу LDAP.

с помощью глобального каталога GC регистрация пользователей в сети сводится к предоставлению контроллеру домена, на котором происходит процесс регистрации, информации о членстве в универсальных группах (содержит пользователей и группы т.е. включенные в нее, ну как в контейнер) из любого домена нашего леса).

GC-серверы необходимы для обработки пользовательских входов в систему. Обычно каждый раз, когда пользователь входит в домен, выполняется обращение к GC-каталогу. Это происходит потому, что контроллеры домена, не являющиеся глобальными, не содержат никакой информации об универсальном членстве группы. (Универсальные группы имеются только в доменах, обладающих функциональным уровнем Microsoft Windows 2000 или Windows Server 2003.) Так как универсальное групповое членство распространяется на лес, то групповое членство может быть разрешено только тем контроллером домена, который имеет информацию каталога на уровне леса, т.е. информацию глобального каталога (GC).

Или еще можно так сказать – при регистрации пользователя в сети, GC передает контроллеру домена (который занимается переработкой (перевариванием) информации о пользователе т.е его регистрационных данных) информацию о том – является данная учетная запись членом универсальной группы или нет.

Если у нас в домене единственный контроллер домена то именно на нем и размещен сервер глобального каталога (по умолчанию). Если же несколько контроллеров то сервер глобального каталога размещается на один из них. Но в любом случае если сервер GC недоступен регистрация пользователя возможна только локально на компьютере. Исключением есть те случаи когда сайт так сконфигурирован что позволяет при попытке регистрации пользователя кэшировать (временно запоминать) результаты поиска соответствия предоставленной регистрационной записи какой то группе. Но есть и исключения. Если пользователь состоит в группе "Администраторы домена" (Domain Admins) то он может регистрироваться в сети невзирая на неготовность по тем или иным причинам сервера глобального каталога.
Поскольку каждый GC содержит обо всех объектах во всех доменах леса, запросы об отсутствующих в локальном домене объектах обрабатываются на сервере глобального каталога в домене, в котором этот запрос был подан, и это поиск информации в каталоге не связан с генерацией дополнительного трафика вне границы данного домена, а как мы уже помним GC обмениваются между собой информацией посредством репликации.

Как включить «глобальный каталог»

Откройте консоль Active Directory Sites and Services, раскройте узел Sites->Default-First-Site-Name->имя_сервера->NTDS Settings.
Откройте свойства узла NTDS Settings и установите флаг Global Catalog.

Да еще одно.
Глобальная адресная книга для Exchange запрашивается именно из глобального каталога (GC)

Есть еще Важный вывод из определения:

Мастер инфраструктуры не работает на глобальном каталоге, потому что в его базе есть ВСЕ объекты леса. Там нет фантомов по определению, т.к. они не нужны.

Если у вас все контроллеры в домене глобальные каталоги, то где находится и работает ли мастер инфраструктуры для вас совершенно не важно. Т.к. он просто не нужен.

Глобальный каталог – самая важная с практической точки зрения роль контроллера домена

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Размещение глобального каталога требует планирования, за исключением случаев, когда у вас есть лес с одним доменом. Global catalog placement requires planning except if you have a single-domain forest. В лесу с одним доменом настройте все контроллеры домена в качестве серверов глобального каталога. In a single-domain forest, configure all domain controllers as global catalog servers. Поскольку каждый контроллер домена хранит только один раздел каталога домена в лесу, настройка каждого контроллера домена в качестве сервера глобального каталога не требует дополнительного использования дискового пространства, загрузки ЦП или трафика репликации. Because every domain controller stores the only domain directory partition in the forest, configuring each domain controller as a global catalog server does not require any additional disk space usage, CPU usage, or replication traffic. В лесу с одним доменом все контроллеры домена функционируют как виртуальные серверы глобального каталога. то есть они могут отвечать на любые запросы на проверку подлинности или обслуживание. In a single-domain forest, all domain controllers act as virtual global catalog servers; that is, they can all respond to any authentication or service request. Это особое условие для лесов с одним доменом — проектирование. This special condition for single-domain forests is by design. Запросам проверки подлинности не требуется обращаться к серверу глобального каталога, как это делается при наличии нескольких доменов, и пользователь может быть членом универсальной группы, которая существует в другом домене. Authentication requests do not require contacting a global catalog server as they do when there are multiple domains, and a user can be a member of a universal group that exists in a different domain. Однако только контроллеры домена, назначенные как серверы глобального каталога, могут отвечать на запросы глобального каталога через порт 3268 глобального каталога. However, only domain controllers that are designated as global catalog servers can respond to global catalog queries on the global catalog port 3268. Чтобы упростить администрирование в этом сценарии и обеспечить единообразие ответов, назначение всех контроллеров домена в качестве серверов глобального каталога устраняет проблему, с которой контроллеры домена могут отвечать на запросы к глобальному каталогу. To simplify administration in this scenario and to ensure consistent responses, designating all domain controllers as global catalog servers eliminates the concern about which domain controllers can respond to global catalog queries. В частности, каждый раз, когда пользователь использует Стартсеарчфор люди или находит принтеры или расширяет универсальные группы, эти запросы поступают только в глобальный каталог. Specifically, any time a user uses StartSearchFor People or Find Printers or expands Universal Groups, these requests go only to the global catalog.

В лесах с несколькими доменами серверы глобального каталога упрощают запросы входа пользователей и поиск в масштабах леса. In multiple-domain forests, global catalog servers facilitate user logon requests and forest-wide searches. На следующем рисунке показано, как определить, какие расположения требуются для серверов глобального каталога. The following illustration shows how to determine which locations require global catalog servers.

В большинстве случаев рекомендуется включать глобальный каталог при установке новых контроллеров домена. In most cases, it is recommended that you include the global catalog when you install new domain controllers. Применяются следующие исключения. The following exceptions apply:

• Ограниченная пропускная способность: На удаленных сайтах, если ссылка на глобальную сеть между удаленным сайтом и узлом концентратора ограничена, можно использовать кэширование членства в универсальных группах на удаленном сайте, чтобы удовлетворить потребности входа пользователей на сайте. Limited bandwidth: In remote sites, if the wide area network (WAN) link between the remote site and the hub site is limited, you can use universal group membership caching in the remote site to accommodate the logon needs of users in the site.
• Несовместимость роли хозяина операций инфраструктуры: Не размещайте глобальный каталог на контроллере домена, на котором размещается роль хозяина операций инфраструктуры, в домене, если только все контроллеры домена в домене не являются серверами глобального каталога или у леса только один домен. Infrastructure operations master role incompatibility: Do not place the global catalog on a domain controller that hosts the infrastructure operations master role in the domain unless all domain controllers in the domain are global catalog servers or the forest has only one domain.

Добавление серверов глобального каталога на основе требований приложения Adding global catalog servers based on application requirements

Некоторые приложения, такие как Microsoft Exchange, очередь сообщений (также известное как MSMQ), и приложения, использующие DCOM, не доставляют достаточного ответа по скрытых каналам WAN и поэтому требуют высокодоступной инфраструктуры глобального каталога для обеспечения низкого уровня запросов. явно. Certain applications, such as Microsoft Exchange, Message Queuing (also known as MSMQ), and applications using DCOM do not deliver adequate response over latent WAN links and therefore need a highly available global catalog infrastructure to provide low query latency. Определите, работают ли какие-либо приложения, которые плохо работают по медленному каналу WAN, в расположениях или если для расположения требуется Microsoft Exchange Server. Determine whether any applications that perform poorly over a slow WAN link are running in locations or whether the locations require Microsoft Exchange Server. Если расположения включают приложения, которые не доставляют достаточного ответа по каналу глобальной сети, необходимо поместить сервер глобального каталога в расположение, чтобы снизить задержку запросов. If your locations include applications that do not deliver adequate response over a WAN link, you must place a global catalog server at the location to reduce query latency.

Контроллеры домена только для чтения (RODC) можно успешно повысить до состояния сервера глобального каталога. Read-only domain controllers (RODCs) can be promoted successfully to global catalog server status. Однако некоторые приложения с поддержкой каталогов не поддерживают RODC в качестве сервера глобального каталога. However, certain directory-enabled applications cannot support an RODC as a global catalog server. Например, ни одна из версий Microsoft Exchange Server не использует RODC. For example, no version of Microsoft Exchange Server uses RODCs. Однако сервер Microsoft Exchange Server работает в средах, включающих RODC, при условии, что доступны доступные для записи контроллеры домена. However, Microsoft Exchange Server works in environments that include RODCs, as long as there are writable domain controllers available. Exchange Server 2007 фактически игнорирует RODC. Exchange Server 2007 effectively ignores RODCs. Exchange Server 2003 также игнорирует Контроллеры RODC в условиях по умолчанию, когда компоненты Exchange автоматически обнаруживают доступные контроллеры домена. Exchange Server 2003 also ignores RODCs in default conditions where Exchange components automatically detect available domain controllers. В Exchange Server 2003 не было внесено изменений, чтобы оно было осведомлено о серверах каталогов только для чтения. No changes were made to Exchange Server 2003 to make it aware of read-only directory servers. Таким образом, попытка принудительного использования RODC для служб Exchange Server 2003 и средств управления может привести к непредсказуемому поведению. Therefore, trying to force Exchange Server 2003 services and management tools to use RODCs may result in unpredictable behavior.

Добавление серверов глобального каталога для большого числа пользователей Adding global catalog servers for a large number of users

Размещайте серверы глобального каталога во всех расположениях, содержащих более 100 пользователей, чтобы снизить нагрузку сетевых подключений WAN и избежать потери производительности в случае сбоя связи WAN. Place global catalog servers at all locations that contain more than 100 users to reduce congestion of network WAN links and to prevent productivity loss in case of WAN link failure.

Использование пропускной способности высокой доступности Using highly available bandwidth

Не нужно размещать глобальный каталог в расположении, которое не включает приложения, требующие наличия сервера глобального каталога, включает менее 100 пользователей и подключен к другому расположению, которое включает сервер глобального каталога по каналу глобальной сети, который равен 100% a доступные для домен Active Directory служб (AD DS). You do not need to place a global catalog at a location that does not include applications that require a global catalog server, includes less than 100 users, and is also connected to another location that includes a global catalog server by a WAN link that is 100 percent available for Active Directory Domain Services (AD DS). В этом случае пользователи могут получить доступ к серверу глобального каталога по каналу WAN. In this case, the users can access the global catalog server over the WAN link.

Перемещающимся пользователям необходимо обращаться к серверам глобального каталога каждый раз, когда они впервые входят в любое место. Roaming users need to contact the global catalog servers whenever they log on for the first time at any location. Если время входа по каналу глобальной сети недопустимо, поместите глобальный каталог в расположение, которое будет посещено большим числом перемещаемых пользователей. If the logon time over the WAN link is unacceptable, place a global catalog at a location that is visited by a large number of roaming users.

Включение кэширования членства в универсальных группах Enabling universal group membership caching

Для расположений, содержащих менее 100 пользователей и не включающих большое количество перемещаемых пользователей или приложений, которым требуется сервер глобального каталога, можно развернуть контроллеры домена под Windows Server 2008 и включить членство в универсальных группах. кэширующий. For locations that include less than 100 users and that do not include a large number of roaming users or applications that require a global catalog server, you can deploy domain controllers that are running Windows Server 2008 and enable universal group membership caching. Убедитесь, что серверы глобального каталога являются не более чем одним прыжком репликации от контроллера домена, на котором включено кэширование членства в универсальных группах, чтобы можно было обновить сведения о универсальной группе в кэше. Ensure that the global catalog servers are not more than one replication hop from the domain controller on which universal group membership caching is enabled so that universal group information in the cache can be refreshed. Сведения о работе кэширования универсальных групп см. в статье как работает Глобальный каталог. For information about how universal group caching works, see the article How the Global Catalog Works.

Глобальный каталог Active Directory (Global catalog) очень часто называют шестой ролью FSMO и это имеет под собой некоторый смысл. Дело в том, что фактически глобальный каталог ролью FSMO являться не может хотя бы по причине того, что эту роль может в конкретный момент времени держать как один контроллер домена, так и все контроллеры домена леса враз. В то время как роли Flexible single-master operations может размещать на себе только один DC и если вдруг в лесу каким-то образом окажутся например два хозяина схемы, это непременно приведет к катастрофе.

Но почему же все-таки «шестая роль fsmo»? Подобное определение, на мой взгляд, могли дать только по одной причине — чтобы подчеркнуть важность этой роли для работы всего леса AD. Задача размещения на сервере глобального каталога действительно является очень важной для нормального функционирования не только служб AD DS, но и ряда других доменнозависимых сервисов, например Exchange Server.

В этой статье я постараюсь пролить свет на задачи и принцип работы серверов глобального каталога, ведь о них периодически совершенно не заслуженно забывают.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике Windows Server на моем блоге.

Global catalog — Теория

Начнем с теории.

Назначение

Как и было сказано выше, глобальным каталогом могут быть одновременно несколько (или даже все враз) контроллеров домена в лесу. В средах со сложной иерархией доменов и множеством DC необходимо обеспечить приемлемое быстродействие повседневного функционала, например поиска объектов леса. Обычный рядовой контроллер домена хранит у себя полную реплику объектов своего домена, но не других доменов леса. То есть, чтобы найти, например, пользователя из домена А, контроллер домена В должен обратиться к одному из DC домена А для выполнения операции поиска, но такая операция однозначно займет сравнительно продолжительное время, тем более если все контроллеры домена А территориально располагаются совсем в другом месте и к тому же с не самым хорошим каналом связи.

Чтобы иметь возможность быстро выполнить поиск объектов из других доменов, к вам на помощь приходит глобальный каталог, который хранит у себя частичные реплики данных всего леса , помимо БД с объектами собственного домена.

Сказанное выше лучше всего иллюстрирует изображение из официальной документации 1 :

Как видно из рисунка, контроллер домена А, он же и глобальный каталог (сервер справа), содержит частичные реплики доменов B, C, D. Таким образом, для выполнения операции поиска пользователей домена D (или любого другого) сотрудником из домена A, даже не придется обращаться к контроллерам домена D, ведь вся информация уже доступна на сервере глобального каталога его родного домена A. Это также справедливо по отношению к поиску 2 любых объектов, которые опубликованы в AD 3 (пользователи, компьютеры, файлы, принтеры, службы).

Поиск объектов, пожалуй, одна из самых важных и частых задач, но есть и другие, в которых главную роль выполняет именно глобальный каталог. Например он участвует в процессе проверки подлинности с помощью основного имени пользователя (User principal name — UPN — имя, которое выглядит как e-mail пользователя).

Насколько известно, в доменах могут быть заданы альтернативные — дополнительные — «имена доменов». Это может потребоваться для упрощения входа пользователей или для повышения безопасности. Если у вас уже несколько UPN-суффиксов, для каждой конкретной учетной записи вы можете определить суффикс при создании учетки или в свойствах уже созданной:

Чтобы пользователь bissquit@corp.bissquit.com мог залогиниться на рабочей станции домена dev.corp.bissquit.com, контроллеры домена dev.corp.bissquit.com должны иметь доступ к глобальному каталогу, чтобы проверить подлинность пользователя и предоставленные ему разрешения (разумеется этот пользователь должен иметь права для локального входа на данную рабочую станцию).

Универсальные группы

Global catalog предоставляет сведения о членстве пользователя в универсальных группах в мультидоменной среде. При попытке пользователя залогиниться, контроллер домена, через который проходит процесс авторизации, формирует токен, содержащий идентификаторы (SID’ы) всех групп, в которые включена учетная запись пользователя. В свою очередь, получить сведения о членстве учетной записи в универсальных группах, контроллер домена может только у глобального каталога 4 . Иначе процесс аутентификации в домене с универсальными группами не пройдет (при этом о членстве в других типах групп известно и обычным контроллерам домена).

Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен.

Дополнительные сведения об универсальных группах см. в разделе Область действия группы. Дополнительные сведения об универсальных группах и о репликации см. в разделах Репликация глобального каталога и Глобальные каталоги и сайты.

Как было сказано выше, некоторые приложения очень сильно зависят от доступности глобального каталога. Например Exchange Server извлекает информацию о получателях именно через GC.

Краткие выводы

Сделаем вывод из сказанного выше, а также дополним информацию некоторыми другими фактами:

1. При установке AD DS на первом контроллере домена в лесу, этот же контроллер становится и глобальным каталогом;
2. Данные глобального каталога (частичные реплики других доменов леса) распространяются через механизм репликации;
3. Доступность глобального каталога сильно зависит от сервисов DNS, поскольку при запуске контроллера или при окончании начальной репликации, netlogon публикует SRV-записи, указывающие, что этот сервер является сервером глобального каталога. Впоследствии клиенты узнают о существовании этого сервера GC именно из сведений DNS;
4. Глобальный каталог осуществляет «связь» одного домена леса с другими — выполняет поиск объектов в других доменах, участвует в процессе аутентификации пользователей других доменов на своих рабочих станциях, определяет членство в универсальных группах, разрешает UPN-имена.

Из всего этого следует вывод, что глобальный каталог особенно важен, если речь идет о многодоменной инфраструктуре.

Далее перейдем к лучшим практикам администрирования.

Лучшие практики

Для целей отказоустойчивости крайне важно держать глобальным каталогом как минимум несколько контроллеров домена. Будет лучше, если в каждом домене будет минимум по одному GC. Тем не менее, если у вас есть возможность, лучше сделать серверами Global catalog все DC в лесу. Это положительно скажется ещё и на балансировке нагрузки, не говоря уже о том, что с этого момента можно будет практически не заботиться о FSMO-роли хозяин инфраструктуры (подробнее см. в статье ).

Если все же не получается сделать все DC серверами глобального каталога, то позаботьтесь о том, чтобы сервер-владелец роли хозяин инфраструктуры не располагался на сервере глобального каталога, иначе это приведет к остановке его функционирования (фантомные записи не будут создаваться/изменяться) и как следствие — появлению неактуальных данных.

Администрирование

Некоторые базовые задачи администрирования, связанные с GC, рассмотрены ниже.

Добавить роль GC для КД

Сделать 5 сервер глобальным каталогом вы можете из оснастки Active Directory — сайты и службы 6 . Для этого откройте оснастку, найдите контроллер домена (1), который хотите сделать сервером GC и нажмите правой кнопкой на NTDS Settings (2) нужного вам сервера, открыв свойства:

Откроется окно свойств и на вкладке Общие вам необходимо поставить галочку рядом с Глобальный каталог. Как только репликация данных глобального каталога завершится, через SRV-запись он объявит себя сервером GC.

Добавление UPN-суффикса

Выше я упоминал об UPN-суффиксах. Чтобы добавить дополнительные суффиксы 7 , нужно зайти в оснастку Active Directory — домены и доверие. Далее — нажать правой кнопкой на имя оснастки и зайти в свойства:

Тут вы сможете добавить дополнительные UPN-суффиксы и уже при создании/изменении учетных записей пользователей выбирать нужные.

Создание дополнительного атрибута

Также есть возможность создания собственных 8 9 атрибутов AD. Сделать это можно через оснастку Схема Active Directory (подробнее см. в статье Schema master — Хозяин схемы Active Directory):

Разумеется при любых изменениях схемы необходимо проявлять осторожность и четко понимать к чему могут привести те или иные действия, в противном случае лучше не лезьте

SRV-запись GC в DNS

Проверить регистрацию 10 серверов глобального каталога в DNS вы можете в соответствующей оснастке в контейнере _tcp зоны прямого просмотра вашего домена:

Проверка готовности GC

Ну а проверить готовность сервера GC можно по инструкции 11 :

1) Откройте оснастку Ldp. Чтобы открыть Ldp, нажмите кнопку Пуск, выберите команду Выполнить, введите ldp, а затем нажмите кнопку ОК.
Чтобы открыть Ldp в , ldp.
2) В меню Подключение выберите команду Подключить.
3) В поле Подключиться введите имя сервера, на котором имеется глобальный каталог, чью готовность необходимо проверить.
4) В поле Порт введите 389, если значение 389 не появилось.
5) Снимите флажок Без подключения и нажмите кнопку ОК.
6) В области сведений проверьте, что значение атрибута isGlobalCatalogReady равно TRUE.
7) В меню Подключение выберите команду Отключиться, затем закройте оснастку Ldp.

На этом обзор одной из важнейших ролей контроллеров домена — глобального каталога — завершен. Оставляйте в комментариях свои мнения и замечания.