Wenn ein Benutzer versucht, sich bei einer AD-Domäne anzumelden, versucht er dann, mit einem Domänencontroller (DC) auf derselben AD-Site zu kommunizieren, liest der Global Catalog (GC) -Server die universelle Gruppenmitgliedschaft des Benutzers und authentifiziert ihn dann.
Wenn auf derselben Site kein DC gefunden wird, wird versucht, (über DNS) mit einem anderen DC auf den anderen Sites zu kommunizieren. Dies bedeutet, dass diese Kommunikation höchstwahrscheinlich über WAN erfolgt, beispielsweise für die Zweigstellenkommunikation.
Wenn kein DC verfügbar ist, schlägt die Anmeldung des Benutzers fehl.
Um solche Fälle zu vermeiden, können wir Folgendes tun. Platzieren Sie entweder einen globalen Katalogserver in der Zweigstelle, damit Benutzer sich authentifizieren können, oder aktivieren Sie UGMC (Universal Group Membership Caching).
Universal Group Membership Caching wurde erstmals in Windows Server 2003 eingeführt und existiert bis heute. Zuvor waren die Verbindungen zwischen verschiedenen Regionen sehr langsam und instabil. Selbst der Replikationsverkehr von GC hat sich negativ auf die Kommunikation zwischen verschiedenen Regionen ausgewirkt. Das war meiner Meinung nach einer der Gründe, warum UGMC zu Windows Server kam.
Wenn wir UGMC auf einer Site aktivieren und ein Benutzer versucht, sich anzumelden, kontaktiert der anfordernde DC einen GC-Server und erhält die universelle Gruppenmitgliedschaft des Benutzers, indem er sie lokal zwischenspeichert. Wenn sich der Benutzer das nächste Mal anmelden muss, ist die Verbindung erfolgreich und schneller, da er keinen GC kontaktieren muss, selbst wenn die WAN-Verbindung unterbrochen ist.
UGMC kann auf Site-Ebene aktiviert werden, nicht auf DC-Ebene. Um einen Benutzer über UGMC verbinden zu können, sollte sich jeder Benutzer zuvor erfolgreich authentifiziert haben, wenn sowohl ein globaler Katalogserver verfügbar als auch die UGMC aktiviert war. Auf diese Weise kann der DC die universelle Gruppenmitgliedschaft der Benutzer zwischenspeichern. Wenn sich ein Benutzer während dieses Vorgangs nicht angemeldet hat, kann er sich nicht anmelden, da seine Cache-Daten nicht auf dem Server vorhanden sind.
Das automatische UGMC-Aktualisierungsintervall von einem DC- zu einem GC-Server beträgt 8 Stunden. Wenn es häufige Änderungen an universellen Mitgliedschaften gibt, ist es eine gute Idee, einen GC-Server anstelle von Caching zu platzieren. UGMC wird auch verwendet, wenn keine Kommunikation mit einem GC-Server besteht. Andernfalls versucht DC zunächst, mit einem GC zur Benutzerauthentifizierung zu kommunizieren.
Mal sehen, wie Sie UGMC auf Windows Server aktivieren können (unabhängig von der Version).
Zwischenspeichern der universellen Gruppenmitgliedschaft aktivieren
Öffnen Sie die Active Directory-Konsole für Standorte und Dienste, und wählen Sie die Site aus, für die das Zwischenspeichern der universellen Gruppenmitgliedschaft aktiviert werden soll. Klicken Sie hier mit der rechten Maustaste auf das Objekt NTDS-Websiteeinstellungen, und klicken Sie dann auf Eigenschaften.
Aktivieren Sie im angezeigten Fenster auf der Registerkarte Websiteeinstellungen die Option Caching der universellen Gruppenmitgliedschaft aktivieren. Wählen Sie außerdem im Feld Cache aktualisieren von aus, welche Site den Cache automatisch alle 8 Stunden aktualisieren soll. Wenn Sie Standard auswählen, erfolgt die Aktualisierung automatisch von der nächstgelegenen Site basierend auf Ihrer Infrastruktur.
Klicken Sie auf Übernehmen und OK, um Ihre Änderungen zu speichern.
Beachten Sie abschließend, dass die universelle Gruppenmitgliedschafts-Caching-Funktion nur für die Benutzerauthentifizierung funktioniert. Wenn Sie beispielsweise einen Exchange-Server in der Infrastruktur haben und die Verbindung zu einem GC-Server nicht möglich ist, treten Probleme auf, und UGMC hilft nicht über die Authentifizierung von Benutzern hinaus.