Quando un utente tenta di accedere a un dominio AD, tenta quindi di comunicare con un controller di dominio (DC) sullo stesso sito di annunci, il server Global Catalog (GC) legge l’Universal Group Membership di proprietà dell’utente e quindi lo autentica.
Se non viene trovato alcun DC sullo stesso sito, tenta di comunicare (tramite DNS) con un altro DC sugli altri Siti. Ciò significa che questa comunicazione è molto probabilmente tramite WAN, ad esempio, per le comunicazioni della filiale.
Se non è disponibile alcun DC, il login dell’utente fallirà.
Per evitare tali casi, ciò che possiamo fare è quanto segue. Posizionare un server di catalogo globale nella filiale in modo che gli utenti possano autenticarsi o abilitare il caching universale di appartenenza al gruppo (UGMC).
Universal Group Membership Caching è stato introdotto per la prima volta in Windows Server 2003 e continua ad esistere fino ad oggi. In precedenza, i collegamenti tra diverse regioni erano molto lenti e instabili. Anche il traffico di replica di GC ha avuto un effetto negativo sulla comunicazione tra diverse regioni. Questo, credo, è stato uno dei motivi per cui UGMC è venuto a Windows Server.
Quando abilitiamo UGMC su un Sito e un utente tenta di accedere, il CC richiedente si prende cura di contattare un server GC e ottenere l’appartenenza al gruppo universale dell’utente, memorizzandoli nella cache locale. Quindi la prossima volta che l’utente deve accedere, la connessione avrà successo e più velocemente in quanto non sarà necessario contattare un GC anche se il collegamento WAN è inattivo.
UGMC può essere abilitato a livello di sito, non a livello DC. Inoltre, per poter connettere un utente tramite UGMC, ogni utente deve essere stato autenticato correttamente quando era disponibile un server di catalogo globale e UGMC era abilitato. In questo modo, il DC può memorizzare nella cache l’appartenenza al gruppo universale degli utenti. Se un utente non ha effettuato l’accesso durante questo processo, non sarà in grado di accedere perché i suoi dati della cache non esisteranno sul server.
L’intervallo di aggiornamento automatico UGMC da un DC a un server GC è di 8 ore. Se ci sono frequenti modifiche alle appartenenze universali, è una buona idea posizionare un server GC invece di memorizzare nella cache. Inoltre, UGMC viene utilizzato quando non vi è alcuna comunicazione con un server GC. In caso contrario, DC proverà prima a comunicare con un GC per l’autenticazione dell’utente.
Vediamo come è possibile abilitare UGMC su Windows Server (indipendentemente dalla versione).
Abilita la cache di appartenenza a gruppi universali
Aprire la console Siti e servizi di Active Directory e selezionare il sito che si desidera abilitare la cache di appartenenza a gruppi universali. Qui, fare clic con il pulsante destro del mouse sull’oggetto Impostazioni sito NTDS, quindi fare clic su Proprietà.
Nella finestra visualizzata, nella scheda Impostazioni sito, abilitare l’opzione Abilita Universal Group Membership Caching. Inoltre, nel campo Aggiorna cache da, scegliere quale sito aggiornare automaticamente la cache ogni 8 ore. Se si seleziona Predefinito, l’aggiornamento verrà eseguito automaticamente dal sito più vicino in base alla propria infrastruttura.
Fare clic su Applica e OK per salvare le modifiche.
Infine, si noti che la funzione Universal Group Membership Caching funziona solo per l’autenticazione dell’utente. Se, ad esempio, si dispone di un server Exchange sull’infrastruttura e il collegamento a un server GC non è fattibile, ci saranno problemi e UGMC non lo aiuterà oltre l’autenticazione degli utenti.