Cuando un usuario intenta iniciar sesión en un Dominio de AD, intenta comunicarse con un Controlador de Dominio (DC) en el mismo sitio de AD, el servidor de Catálogo Global (GC) lee la Pertenencia a Grupo Universal del usuario y, a continuación, lo autentica.
Si no se encuentra ningún DC en el mismo Sitio, intenta comunicarse (a través de DNS) con otro DC en los otros Sitios. Esto significa que lo más probable es que esta comunicación se realice a través de WAN, por ejemplo, para comunicaciones de sucursales.
Si no hay un DC disponible, el inicio de sesión del usuario fallará.
Para evitar tales casos, lo que podemos hacer es lo siguiente. Coloque un servidor de catálogo Global en la sucursal para que los usuarios puedan autenticarse o habilitar el almacenamiento en Caché de Membresía de Grupo Universal (UGMC).
El almacenamiento en caché de membresía de grupo Universal se introdujo por primera vez en Windows Server 2003 y continúa existiendo hasta hoy. Anteriormente, los vínculos entre las diferentes regiones eran muy lentos e inestables. Incluso el tráfico de replicación de GC ha tenido un efecto negativo en la comunicación entre diferentes regiones. Esa, creo, fue una de las razones por las que UGMC llegó a Windows Server.
Cuando habilitamos UGMC en un Sitio y un usuario intenta iniciar sesión, el DC solicitante se encarga de ponerse en contacto con un servidor GC y obtener la Pertenencia Universal al Grupo del usuario, almacenándolos en caché localmente. Por lo tanto, la próxima vez que el usuario necesite iniciar sesión, la conexión será exitosa y más rápida, ya que no tendrá que ponerse en contacto con un GC incluso si el enlace WAN está inactivo.
UGMC se puede habilitar a nivel de sitio, no a nivel de CC. Además, para poder conectar a un usuario a través de UGMC, cada usuario debe haberse autenticado previamente correctamente cuando haya un servidor de catálogo Global disponible y el UGMC esté habilitado. De esta manera, el DC puede almacenar en caché la Membresía Universal de Grupo de los usuarios. Si un usuario no ha iniciado sesión durante este proceso, no podrá iniciar sesión porque sus datos de caché no existirán en el servidor.
El intervalo de actualización automática de UGMC de un servidor DC a un servidor GC es de 8 horas. Si hay cambios frecuentes en las Membresías Universales, es una buena idea colocar un servidor GC en lugar de almacenar en caché. Además, UGMC se utiliza cuando no hay comunicación con un servidor GC. De lo contrario, DC primero intentará comunicarse con un GC para la autenticación del usuario.
Veamos cómo puede habilitar UGMC en Windows Server (independientemente de la versión).
Habilitar el almacenamiento en Caché de Pertenencia a Grupo Universal
Abra la consola de Sitios y servicios de Active Directory y seleccione el Sitio que desee habilitar el Almacenamiento en Caché de Pertenencia a Grupo Universal. Aquí, haga clic con el botón secundario en el objeto Configuración del sitio NTDS y, a continuación, haga clic en Propiedades.
En la ventana que aparece, en la ficha Configuración del sitio, habilite la opción Habilitar el almacenamiento en caché de pertenencia a grupo Universal. Además, en el campo Actualizar caché desde, elija qué sitio actualizar la caché automáticamente cada 8 horas. Si selecciona Predeterminado, la actualización se realizará automáticamente desde el sitio más cercano en función de su infraestructura.
Haga clic en Aplicar y Aceptar para guardar los cambios.
Por último, tenga en cuenta que la función de almacenamiento en caché de Pertenencia a grupo Universal solo funciona para la autenticación de usuarios. Si, por ejemplo, tiene un servidor Exchange en la infraestructura y el enlace a un servidor GC no es factible, entonces habrá problemas y UGMC no lo ayudará más allá de autenticar usuarios.