1/10/2010
[AD]全局編錄服務器(GC)和屬性複製(Attribute Replication)
版權聲明:轉載請註明出處。
http://delxu.spaces.live.com/blog/cns!D04F87F9ED029F69!2479.entry
【讀書筆記要點】
GC (Global Catalog)服務器存有一個對象屬性集的只讀副本。這裏面有幾點需要解釋清楚的:
首先,這個副本是隻讀的,不可寫,只是爲了快速查詢用的。
其次,GC存的這些對象是Forest中所有Domain的所有Object
再次,每個Object都有很多Attribute,GC存的只是這些Object中的一部分Attribute
既然GC存的只是部分Attribute,那麼哪些Attribute包括在內呢?
(1) isMemberOfPartialAttributeSet這個屬性設置爲True的Attribute包括在內。
(2) 所有包括在內的Attribute的集合叫做PAS,Partial Attribute Set
(3) 默認的PAS包括那些微軟認爲最可能被查詢的Attribute
(4) 某個屬性不在默認的PAS中,如何加進去?(比如我們公司經常查詢Employee ID,想把這個屬性加進PAS),可以通過AD Schema Snap-in
所以修改PAS要改Schema(還記得麼?改Schema必須要有Enterprise Admin權限,或者至少是Schema Admins的組成員)
Schema Snap-in是不會檢查你是否有權限的,如果沒足夠的權限,你照樣可以打開,但是在更改屬性的時候,會報沒有足夠的權限的錯。
【Windows 2008下添加AD Schema Snap-in的方法】
(1) 默認是沒有Schema Snap-in的,首先要註冊dll。以管理員身份運行cmd,並且輸入以下命令
regsvr32 schmmgmt.dll
![p_w_picpath]( "p_w_picpath")
然後運行mmc,這時候就可以選擇添加Schema Snap-in了。
![snap0046]( "snap0046")
【更改GC中包含的Attribute的方法】
然後打開Schema控制檯(中文版叫AD架構)
![snap0047]( "snap0047")
選擇Attribute (中文版叫“屬性”)
在右邊窗格中選中你要的某個具體的Attribute,比如本例中的wWWHomePage,雙擊打開屬性。
然後勾選“Replicate this Attribute to the Global Catalog” (中文:將此屬性複製到全局編錄)
![snap0048]( "snap0048")
點擊OK,大功告成。
【相關網絡端口】
LDAP默認端口TCP 389
GC客戶端用LDAP來查詢AD的時候用TCP 3268,或者用TCP 3269(在採用SSL安全連接時)
REPL協議不僅僅用在DC間複製,還用於聯繫GC以獲取Universal Group的Cache(當Universal Group Cache啓用的時候)
http://delxu.spaces.live.com/blog/cns!D04F87F9ED029F69!2479.entry
【讀書筆記要點】
GC (Global Catalog)服務器存有一個對象屬性集的只讀副本。這裏面有幾點需要解釋清楚的:
首先,這個副本是隻讀的,不可寫,只是爲了快速查詢用的。
其次,GC存的這些對象是Forest中所有Domain的所有Object
再次,每個Object都有很多Attribute,GC存的只是這些Object中的一部分Attribute
既然GC存的只是部分Attribute,那麼哪些Attribute包括在內呢?
(1) isMemberOfPartialAttributeSet這個屬性設置爲True的Attribute包括在內。
(2) 所有包括在內的Attribute的集合叫做PAS,Partial Attribute Set
(3) 默認的PAS包括那些微軟認爲最可能被查詢的Attribute
(4) 某個屬性不在默認的PAS中,如何加進去?(比如我們公司經常查詢Employee ID,想把這個屬性加進PAS),可以通過AD Schema Snap-in
所以修改PAS要改Schema(還記得麼?改Schema必須要有Enterprise Admin權限,或者至少是Schema Admins的組成員)
Schema Snap-in是不會檢查你是否有權限的,如果沒足夠的權限,你照樣可以打開,但是在更改屬性的時候,會報沒有足夠的權限的錯。
【Windows 2008下添加AD Schema Snap-in的方法】
(1) 默認是沒有Schema Snap-in的,首先要註冊dll。以管理員身份運行cmd,並且輸入以下命令
regsvr32 schmmgmt.dll
然後運行mmc,這時候就可以選擇添加Schema Snap-in了。
【更改GC中包含的Attribute的方法】
然後打開Schema控制檯(中文版叫AD架構)
選擇Attribute (中文版叫“屬性”)
在右邊窗格中選中你要的某個具體的Attribute,比如本例中的wWWHomePage,雙擊打開屬性。
然後勾選“Replicate this Attribute to the Global Catalog” (中文:將此屬性複製到全局編錄)
點擊OK,大功告成。
【相關網絡端口】
LDAP默認端口TCP 389
GC客戶端用LDAP來查詢AD的時候用TCP 3268,或者用TCP 3269(在採用SSL安全連接時)
REPL協議不僅僅用在DC間複製,還用於聯繫GC以獲取Universal Group的Cache(當Universal Group Cache啓用的時候)