全局编录(Global Catalog,简称GC)是域林中所有对象的集合,是一台特殊的域控制器。默认情况下,在林中的初始域控制器上,会自动创建全局编录,其他域控制器也可以被指派为全局编录服务器,用于实现网络负载平衡和冗余。全局编录服务器负责响应网络中所有的全局编录查询,一旦出现问题,用户将无法查询和登录。建议网络安全要求较高的用户,配置多台全局编录服务器,以提高系统的可用性和可靠性。但需要注意的是,网络中GC之间的复制可能会增加一定的网络带宽开销。
当林中只有一个域时,则不必在登录时从全局编录获取通用组成员身份。因为Active Directory可以检测到林中没有其他域,并将阻止向全局编录查询此信息。
1.   概述
GC服务器中存储的数据都是用户搜索操作中最常用的部分,可以为用户提供高效的搜索,避免再去调用域控制器中的Active Directory数据库对网络性能带来的影响。全局编录的主要功能如下:
查找对象
全局编录允许用户在林中的所有域中搜索目录信息,无论目标数据存储在什么位置,都将以最快的速度和最低的网络流量在林中执行搜索。
提供用户主体名称身份验证
当验证域控制器无法识别用户账户时,全局编录服务器会解析主体名称(User Principal Name,简称UPN),从而确定其属于林中的哪个域。例如,如果某账户属于hs.coolpen.net,并且使用liuxh@hs.coolpen.net的UPN名称从一台位于heb.coolpen.net的计算机上登录,则此时heb.coolpen.net无法为该用户提供身份验证,必须与全局编录服务器联系,经确认后该用户账户方可顺利登录。
验证林内的对象引用
域控制器使用全局编录验证对林内其他域的对象的引用。当域控制器保留其属性包含对其他域中对象引用的目录对象时,域控制器将通过与全局编录服务器联系来验证引用的合法性。
提供多域环境中的通用组成员身份信息
域控制器可以始终发现其域中任何用户的本地组和全局组成员身份,并且这些组的成员身份信息是不被存储在全局编录服务器上的。在单域林环境中,域控制器可以始终发现通用组成员身份,但通用组可以包含来自不同域的成员,因此将通用组的成员身份信息复制到全局编录服务器,可以提供更广范围的账户身份信息验证。在多域林环境中的用户登录到允许通用组的域时,域控制器必须与全局编录服务器联系,以检索用户可能在其他域中具有的任何通用组成员身份。
如果用户登录到通用组可用的域时,全局编录服务器不可用,则用户的客户端计算机可以使用缓存凭据登录;如果用户在此之前并未登录到过该域,则用户只能登录到本地计算机。
如果在一台已经是全局编录服务器的控制器上,取消其"全局编录"身份之后,系统将立即停止对全局编录服务器服务端口(默认使用3268和3269端口)的监听。同时,开始执行数据库清理工作,清理的时间比较长,大约每个小时从域控制器删除2000个对象,直到清理完成为止。