gdy użytkownik próbuje zalogować się do domeny reklamowej, próbuje skontaktować się z kontrolerem domeny (DC) w tej samej witrynie reklamowej, Serwer Global Catalog (Gc) odczytuje uniwersalne członkostwo w grupie należące do użytkownika, a następnie uwierzytelnia go.
jeśli w tej samej witrynie nie ma DC, to próbuje się komunikować (poprzez DNS) z innym DC w innych witrynach. Oznacza to, że komunikacja ta odbywa się najprawdopodobniej za pośrednictwem sieci WAN, na przykład w przypadku komunikacji w oddziałach.
jeśli DC nie jest dostępne, logowanie użytkownika nie powiedzie się.
aby uniknąć takich przypadków, możemy zrobić co następuje. Umieść globalny serwer katalogowy w oddziale, aby użytkownicy mogli uwierzytelniać lub włączyć uniwersalne buforowanie członkostwa w grupie (UGMC).
uniwersalne buforowanie członkostwa w grupie zostało po raz pierwszy wprowadzone w systemie Windows Server 2003 i istnieje do dziś. Wcześniej połączenia między różnymi regionami były bardzo powolne i niestabilne. Nawet ruch replikacyjny GC miał negatywny wpływ na komunikację między różnymi regionami. Myślę, że był to jeden z powodów, dla których UGMC weszło do Windows Server.
kiedy włączamy UGMC na stronie, a użytkownik próbuje się zalogować, wówczas żądające DC dba o kontakt z serwerem GC i uzyskanie uniwersalnego członkostwa w grupie użytkownika, buforując je lokalnie. Więc następnym razem, gdy użytkownik będzie musiał się zalogować, połączenie zakończy się sukcesem i będzie szybsze, ponieważ nie będzie musiał kontaktować się z GC, nawet jeśli łącze WAN jest wyłączone.
UGMC można włączyć na poziomie witryny, a nie na poziomie DC. Ponadto, aby móc połączyć użytkownika za pośrednictwem UGMC, każdy użytkownik powinien był wcześniej pomyślnie uwierzytelnić się, gdy zarówno globalny serwer katalogowy był dostępny, jak i UGMC był włączony. W ten sposób DC może buforować uniwersalne członkostwo w grupie użytkowników. Jeśli użytkownik nie zalogował się podczas tego procesu, nie będzie mógł się zalogować, ponieważ jego dane cache nie będą istniały na serwerze.
interwał automatycznej aktualizacji UGMC z serwera DC na serwer GC wynosi 8 godzin. Jeśli są częste zmiany w uniwersalnych Członkostwach, dobrym pomysłem jest umieszczenie serwera GC zamiast buforowania. Ponadto UGMC jest używany, gdy nie ma komunikacji z serwerem GC. W przeciwnym razie DC spróbuje najpierw komunikować się z GC w celu uwierzytelnienia użytkownika.
zobaczmy, jak możesz włączyć UGMC na Windows Server (niezależnie od wersji).
Włącz buforowanie członkostwa w grupach uniwersalnych
Otwórz konsolę usług i witryn usługi Active Directory i wybierz witrynę, którą chcesz włączyć buforowanie członkostwa w grupach uniwersalnych. Kliknij prawym przyciskiem myszy obiekt Ustawienia witryny NTDS, a następnie kliknij Właściwości.
w wyświetlonym oknie na karcie Ustawienia witryny włącz opcję Włącz buforowanie członkostwa grupy uniwersalnej. Ponadto w polu odśwież pamięć podręczną z wybierz witrynę, która ma automatycznie odświeżać pamięć podręczną co 8 godzin. Jeśli wybierzesz opcję domyślna, odświeżanie zostanie wykonane automatycznie z najbliższej witryny w oparciu o Twoją infrastrukturę.
kliknij Zastosuj i OK, aby zapisać zmiany.
na koniec zauważ, że funkcja buforowania uniwersalnego członkostwa w grupie działa tylko w przypadku uwierzytelniania użytkownika. Jeśli na przykład masz serwer Exchange na infrastrukturze, a połączenie z serwerem GC nie jest wykonalne, to będą problemy i UGMC nie pomoże mu poza uwierzytelnianiem użytkowników.