1/10/2010
[AD]全局编录服务器(GC)和属性复制(Attribute Replication)
版权声明:转载请注明出处。
http://delxu.spaces.live.com/blog/cns!D04F87F9ED029F69!2479.entry
【读书笔记要点】
GC (Global Catalog)服务器存有一个对象属性集的只读副本。这里面有几点需要解释清楚的:
首先,这个副本是只读的,不可写,只是为了快速查询用的。
其次,GC存的这些对象是Forest中所有Domain的所有Object
再次,每个Object都有很多Attribute,GC存的只是这些Object中的一部分Attribute
既然GC存的只是部分Attribute,那么哪些Attribute包括在内呢?
(1) isMemberOfPartialAttributeSet这个属性设置为True的Attribute包括在内。
(2) 所有包括在内的Attribute的集合叫做PAS,Partial Attribute Set
(3) 默认的PAS包括那些微软认为最可能被查询的Attribute
(4) 某个属性不在默认的PAS中,如何加进去?(比如我们公司经常查询Employee ID,想把这个属性加进PAS),可以通过AD Schema Snap-in
所以修改PAS要改Schema(还记得么?改Schema必须要有Enterprise Admin权限,或者至少是Schema Admins的组成员)
Schema Snap-in是不会检查你是否有权限的,如果没足够的权限,你照样可以打开,但是在更改属性的时候,会报没有足够的权限的错。
【Windows 2008下添加AD Schema Snap-in的方法】
(1) 默认是没有Schema Snap-in的,首先要注册dll。以管理员身份运行cmd,并且输入以下命令
regsvr32 schmmgmt.dll
![p_w_picpath]( "p_w_picpath")
然后运行mmc,这时候就可以选择添加Schema Snap-in了。
![snap0046]( "snap0046")
【更改GC中包含的Attribute的方法】
然后打开Schema控制台(中文版叫AD架构)
![snap0047]( "snap0047")
选择Attribute (中文版叫“属性”)
在右边窗格中选中你要的某个具体的Attribute,比如本例中的wWWHomePage,双击打开属性。
然后勾选“Replicate this Attribute to the Global Catalog” (中文:将此属性复制到全局编录)
![snap0048]( "snap0048")
点击OK,大功告成。
【相关网络端口】
LDAP默认端口TCP 389
GC客户端用LDAP来查询AD的时候用TCP 3268,或者用TCP 3269(在采用SSL安全连接时)
REPL协议不仅仅用在DC间复制,还用于联系GC以获取Universal Group的Cache(当Universal Group Cache启用的时候)
http://delxu.spaces.live.com/blog/cns!D04F87F9ED029F69!2479.entry
【读书笔记要点】
GC (Global Catalog)服务器存有一个对象属性集的只读副本。这里面有几点需要解释清楚的:
首先,这个副本是只读的,不可写,只是为了快速查询用的。
其次,GC存的这些对象是Forest中所有Domain的所有Object
再次,每个Object都有很多Attribute,GC存的只是这些Object中的一部分Attribute
既然GC存的只是部分Attribute,那么哪些Attribute包括在内呢?
(1) isMemberOfPartialAttributeSet这个属性设置为True的Attribute包括在内。
(2) 所有包括在内的Attribute的集合叫做PAS,Partial Attribute Set
(3) 默认的PAS包括那些微软认为最可能被查询的Attribute
(4) 某个属性不在默认的PAS中,如何加进去?(比如我们公司经常查询Employee ID,想把这个属性加进PAS),可以通过AD Schema Snap-in
所以修改PAS要改Schema(还记得么?改Schema必须要有Enterprise Admin权限,或者至少是Schema Admins的组成员)
Schema Snap-in是不会检查你是否有权限的,如果没足够的权限,你照样可以打开,但是在更改属性的时候,会报没有足够的权限的错。
【Windows 2008下添加AD Schema Snap-in的方法】
(1) 默认是没有Schema Snap-in的,首先要注册dll。以管理员身份运行cmd,并且输入以下命令
regsvr32 schmmgmt.dll
然后运行mmc,这时候就可以选择添加Schema Snap-in了。
【更改GC中包含的Attribute的方法】
然后打开Schema控制台(中文版叫AD架构)
选择Attribute (中文版叫“属性”)
在右边窗格中选中你要的某个具体的Attribute,比如本例中的wWWHomePage,双击打开属性。
然后勾选“Replicate this Attribute to the Global Catalog” (中文:将此属性复制到全局编录)
点击OK,大功告成。
【相关网络端口】
LDAP默认端口TCP 389
GC客户端用LDAP来查询AD的时候用TCP 3268,或者用TCP 3269(在采用SSL安全连接时)
REPL协议不仅仅用在DC间复制,还用于联系GC以获取Universal Group的Cache(当Universal Group Cache启用的时候)