wanneer een gebruiker probeert in te loggen op een AD-domein, probeert hij vervolgens te communiceren met een domeincontroller (DC) op dezelfde AD-Site, leest de Global Catalog (GC) Server het Universal Group Membership dat eigendom is van de gebruiker en verifieert hem.
als er geen DC wordt gevonden op dezelfde Site, dan probeert het te communiceren (via DNS) met een andere DC op de andere Sites. Dit betekent dat deze communicatie het meest waarschijnlijk is via WAN, bijvoorbeeld voor kantoorcommunicatie.
als er geen DC beschikbaar is, zal de login van de gebruiker mislukken.
om dergelijke gevallen te voorkomen, kunnen we het volgende doen. Plaats een globale-catalogusserver op het filiaal, zodat gebruikers kunnen verifiëren of UGMC (Universal Group Membership Caching) kunnen inschakelen.
Universal Group Membership Caching werd voor het eerst geà ntroduceerd in Windows Server 2003 en bestaat nog steeds tot op de dag van vandaag. Voorheen waren de verbindingen tussen de verschillende regio ‘ s zeer traag en instabiel. Zelfs het replicatieverkeer van GC heeft een negatief effect gehad op de communicatie tussen verschillende regio ‘ s. Dat, denk ik, was een van de redenen dat UGMC kwam naar Windows Server.
wanneer we UGMC inschakelen op een Site en een gebruiker probeert in te loggen, dan zorgt de vragende DC ervoor om contact op te nemen met een GC Server en het universele groepslidmaatschap van de gebruiker te verkrijgen, door deze lokaal in de cache te plaatsen. Dus de volgende keer dat de gebruiker moet inloggen, zal de verbinding succesvol en sneller zijn omdat het niet nodig zal zijn om contact op te nemen met een GC, zelfs als de WAN-link down is.
UGMC kan worden ingeschakeld op siteniveau, niet op DC-niveau. Om een gebruiker via UGMC te kunnen verbinden, zou elke gebruiker eerder met succes moeten hebben geverifieerd wanneer zowel een globale-catalogusserver beschikbaar was als de UGMC was ingeschakeld. Op deze manier kan de DC het universele groepslidmaatschap van de gebruikers cachen. Als een gebruiker niet heeft ingelogd tijdens dit proces, dan zullen ze niet in staat zijn om in te loggen omdat hun cache gegevens niet zullen bestaan op de server.
het UGMC-interval voor automatische update van een DC naar een GC-Server is 8 uur. Als er frequente wijzigingen zijn in universele lidmaatschappen, is het een goed idee om een GC Server te plaatsen in plaats van caching. UGMC wordt ook gebruikt wanneer er geen communicatie is met een GC Server. Anders zal DC eerst proberen te communiceren met een GC voor gebruikersauthenticatie.
laten we eens kijken hoe u UGMC kunt inschakelen op Windows Server (ongeacht de versie).
Universal Group Membership Caching inschakelen
Open de Active Directory-Sites en Services-console en selecteer de Site waarvoor u Universal Group Membership Caching wilt inschakelen. Klik hier met de rechtermuisknop op het object NTDS-Siteinstellingen en klik vervolgens op Eigenschappen.
in het venster dat verschijnt, op het tabblad Site-instellingen, schakelt u de optie Universal Group Membership Caching inschakelen in. Kies ook in het veld cache vernieuwen van welke Site u de cache automatisch elke 8 uur wilt vernieuwen. Als u Standaard selecteert, wordt de verversing automatisch uitgevoerd vanaf de dichtstbijzijnde site op basis van uw infrastructuur.
klik op Toepassen en OK om uw wijzigingen op te slaan.
ten slotte, merk op dat de Universele groepslidmaatschap Caching functie alleen werkt voor gebruikersauthenticatie. Als u bijvoorbeeld een Exchange-Server op de infrastructuur hebt en de koppeling naar een GC-Server niet haalbaar is, zullen er problemen zijn en UGMC zal het alleen helpen bij het authenticeren van gebruikers.