amikor egy felhasználó megpróbál bejelentkezni egy hirdetési tartományba, akkor megpróbál kommunikálni egy tartományvezérlővel (DC) ugyanazon a hirdetési webhelyen, a globális katalógus (GC) kiszolgáló beolvassa a felhasználó tulajdonában lévő univerzális csoporttagságot, majd hitelesíti.
ha nem található DC ugyanazon a webhelyen, akkor megpróbál kommunikálni (DNS-en keresztül) egy másik DC-vel a többi webhelyen. Ez azt jelenti, hogy ez a kommunikáció nagy valószínűséggel WAN-on keresztül történik, például fióktelepi kommunikáció esetén.
ha nincs elérhető DC, a felhasználó bejelentkezése sikertelen lesz.
az ilyen esetek elkerülése érdekében a következőket tehetjük. Vagy helyezzen el egy globális katalógus-kiszolgálót a fióktelepen, hogy a felhasználók hitelesíthessék vagy engedélyezhessék az univerzális csoporttagsági gyorsítótárazást (UGMC).
az univerzális csoporttagsági gyorsítótárazást először a Windows Server 2003-ban vezették be, és a mai napig létezik. Korábban a különböző régiók közötti kapcsolatok nagyon lassúak és instabilak voltak. Még a GC replikációs forgalma is negatív hatással volt a különböző régiók közötti kommunikációra. Azt hiszem, ez volt az egyik oka annak, hogy az UGMC eljutott a Windows szerverre.
amikor engedélyezzük az UGMC-t egy webhelyen, és egy felhasználó megpróbál bejelentkezni, akkor a kérő DC gondoskodik arról, hogy kapcsolatba lépjen egy GC szerverrel, és megszerezze a felhasználó univerzális Csoporttagságát, helyileg Gyorsítótárazva őket. Tehát a következő alkalommal, amikor a felhasználónak be kell jelentkeznie, a kapcsolat sikeres és gyorsabb lesz, mivel nem kell kapcsolatba lépnie egy GC-vel, még akkor sem, ha a WAN kapcsolat nem működik.
UGMC lehet engedélyezni a helyszínen szinten, nem DC szinten. Továbbá, ahhoz, hogy UGMC-n keresztül csatlakozhasson egy felhasználóhoz, minden felhasználónak korábban sikeresen hitelesítenie kellett, amikor mind a globális katalógus szerver elérhető volt, mind az UGMC engedélyezve volt. Így a DC gyorsítótárazhatja a felhasználók univerzális Csoporttagságát. Ha egy felhasználó nem jelentkezett be a folyamat során, akkor nem tud bejelentkezni, mert a gyorsítótár adatai nem léteznek a kiszolgálón.
az UGMC automatikus frissítési időköze DC-ről GC-kiszolgálóra 8 óra. Ha gyakran változnak az univerzális tagságok, célszerű egy GC szervert elhelyezni a gyorsítótár helyett. Az UGMC-t akkor is használják, ha nincs kommunikáció a GC szerverrel. Ellenkező esetben a DC először megpróbál kommunikálni egy GC-vel a felhasználói hitelesítés érdekében.
lássuk, hogyan engedélyezheti az UGMC-t a Windows Server rendszeren (verziótól függetlenül).
univerzális csoporttagsági gyorsítótár engedélyezése
nyissa meg az Active Directory webhelyek és szolgáltatások konzolt, és válassza ki azt a webhelyet, amelyen engedélyezni kívánja az univerzális csoporttagsági gyorsítótárazást. Itt kattintson a jobb gombbal az NTDS Webhelybeállítások objektumra, majd kattintson a Tulajdonságok parancsra.
a megjelenő ablak Webhelybeállítások lapján engedélyezze az univerzális csoporttagsági gyorsítótár engedélyezése lehetőséget. Ezenkívül a gyorsítótár frissítése innen mezőben válassza ki, hogy melyik webhely automatikusan frissítse a gyorsítótárat 8 óránként. Ha az Alapértelmezett lehetőséget választja, akkor a frissítés automatikusan megtörténik a legközelebbi webhelyről az infrastruktúra alapján.
kattintson az Alkalmaz gombra, majd az OK gombra a módosítások mentéséhez.
Végül vegye figyelembe, hogy az univerzális csoporttagsági gyorsítótár funkció csak a felhasználói hitelesítéshez működik. Ha például van egy Exchange-kiszolgáló az infrastruktúrán, és a GC-kiszolgálóra való hivatkozás nem megvalósítható, akkor problémák merülnek fel, és az UGMC nem segít a felhasználók hitelesítésén túl.