什么是全局编录服务器？

全局编录是 Active Directory (AD) 的一项功能，允许域控制器 (DC) 提供有关林中任何对象的信息，无论该对象是否是其域的成员。启用了全局编录功能的域控制器称为全局编录服务器。

核心功能

全局编录服务器执行多种功能，这在多域林环境中尤其重要：

• 身份验证。在交互式域登录期间，DC 将处理身份验证请求并提供有关用户帐户所属的所有组的授权信息，这些信息将包含在生成的用户访问令牌中。 DC 必须访问全局编录服务器才能获取以下信息：

  • 用户主体名称解析。使用用户主体名称（例如“[email protected]”）发出的登录请求需要搜索全局目录以识别关联用户对象的可分辨名称。
• 通用团体会员资格。 在多域环境中发出的登录请求需要使用全局编录，该编录可以检查是否存在任何通用组，并确定登录的用户是否是这些组中任何一个的成员。由于全局编录是通用组成员身份信息的唯一来源，因此在多域林中进行身份验证需要访问全局编录服务器。

• 对象搜索。 全局编录使林内的目录结构对执行搜索的用户透明。例如，林中的任何全局编录服务器都能够仅根据对象的 samAccountName 来识别用户对象。如果没有全局编录服务器，仅根据其 samAccountName 来识别用户对象可能需要对林中的每个域进行单独搜索。

全局目录如何运作

活动目录分区

要了解全局编录的工作原理，首先了解一下 Active Directory 数据库的结构非常重要。域控制器将 Active Directory 数据库存储在单个文件 NTDS.dit 中。为了简化管理并促进高效复制，数据库在逻辑上分为多个分区。

每个域控制器至少维护三个分区：

• 域分区包含有关域对象及其属性的信息。每个 DC 都包含其本地域分区的完整可写副本。
• 配置分区包含有关林拓扑的信息，包括域控制器和站点链接。林中的每个 DC 都维护配置分区的完整可写副本。
• 架构分区是配置分区的逻辑扩展；它包含森林中每个对象类的定义以及控制这些对象的创建和操作的规则。林中的每个 DC 都维护架构分区的完整副本。除了拥有林的架构主机操作角色的 DC 之外，架构分区在每个 DC 上都是只读的。

域控制器还可以维护应用程序分区。这些分区包含与 AD 集成应用程序相关的信息，并且可以包含除安全主体之外的任何类型的对象。应用程序分区没有特定的复制要求；它们不需要复制到其他域控制器，但可以配置为复制到林中的任何 DC。

您可以使用以下 PowerShell cmdlet 识别 DC 上存在的分区：

Get-ADDomainController -Server <SERVER> | Select-Object -ExpandProperty Partitions 

全局目录分区

考虑一个由三个域组成的林，每个域都有一个全局编录服务器，如下所示：

如前所述，每个 DC 都维护其本地域分区、配置分区和架构分区的副本。在像这样的多域林中，全局编录服务器还托管一组附加的只读分区，每个分区都包含来自林中其他域之一的域分区的部分只读副本。正是这些部分只读分区中的信息允许全局编录服务器处理多域林中的身份验证和林范围搜索请求。

复制到全局编录服务器的对象属性子集称为部分属性集 (PAS)。可以使用以下 PowerShell cmdlet 列出域中部分属性集的成员：

Get-ADObject -SearchBase (Get-ADRootDSE).SchemaNamingContext -LDAPFilter "(isMemberOfPartialAttributeSet=TRUE)" -Properties lDAPDisplayName | Select lDAPDisplayName 

在单域林中，所有 DC 都托管林中唯一的域分区；因此，每个对象都包含林中所有对象的记录，并且可以处理身份验证和域服务请求。

Active Directory 利用这一点，允许单域林中的任何域控制器充当虚拟全局编录服务器，无论其是否已配置为全局编录服务器。唯一的限制是，只有配置为全局编录服务器的 DC 才能响应专门针对全局编录的查询。

部署全局编录服务器

创建新域时，第一个 DC 将成为全局编录服务器。要将其他 DC 配置为全局编录服务器，请在 Active Directory 站点和服务管理控制台的服务器 NTDS 设置属性中启用全局编录复选框，或使用以下 PowerShell cmdlet：

Set-ADObject -Identity (Get-ADDomainController -Server <SERVER>).NTDSSettingsObjectDN -Replace @{options='1'} 

林中的每个站点应至少包含一台全局编录服务器，以便无需身份验证 DC 通过网络进行通信以检索全局编录信息。在无法在站点（例如小型远程分支机构）部署全局编录服务器的情况下，通用组成员身份缓存可以减少与身份验证相关的网络流量，并允许远程站点的 DC 使用以下方式处理本地站点登录请求：缓存的通用组成员身份信息。此功能要求远程 DC 与全局编录服务器通信以处理初始登录并执行搜索请求。

建议将所有 DC 配置为全局编录服务器，除非有特定原因需要避免这样做。