2008년 10월 24일

Global Catalog Server란?

Windows Server에서 Global Catalog(GC)는 어떤 역할을 하는가?
Multiple Domain을 갖는 Forest 환경에서 GC는 다음과 같다.
<GC의 정의>
1) 포리스트를 구성하는 각 도메인의 AD Object(User, Group..)의 부분적인 정보를 저장한다
    예를 들면 이용식이라는 사용자 계정에 대한 정보가 20개로 구성되어 있다면 그 중에 4개 정도의 정보를 GC에 저장한다.
   이때 GC에 저장된 정보는 수정할 수 없는 Read-Only Data이다
  ** 적용 **
  Forest 전체를 대상으로 AD Object를 검색할 때 사용된다. 즉 우리 포리스트에 이용식 이라는 직원이 있는지 알아 보기도 하고,
 그 직원의 전화번로를 알기 위해서 검색할 수 있다.
참고) 검색할 때 각 도메인을 선택하여 도메인 단위로 검색을 주로 하지만 여러 개의 도메인을 한꺼번에 검색할 때 GC를 이용하는 것이다

2) Universal Group이 물리적으로 저장되는 곳이다
 **적용**
 가) 사용자가 로그온을 할 때 인증을 처리하게 되는데 인증은 GC가 아닌 DC에서 한다. 즉 특정한 DC에서 사용자의 Credential 과 Validation을 확인하면 인증이 통과된다. 그러면 로그온 하는 사용자는 DC로부터 로컬 컴퓨터에 액세스할 때 사용할 Access Token을 DC로 부터 받게 되는데, 이 Access Token에는 이 사용자의 SID, Group Membership, User Rights Assignment 내용이 포함된다. DC가 사용자에게 Access Token를 주기 전에 어는 Group에 소속되어 있는지를 확인해야 한다. 이 때 Global, Domain Loca Group은 자신의 DC의 AD에서 확인되지만 Universal Group은 GC에서 확인한다.
그러므로 로그온할 때 DC와 GC가 통신을 시도하는데 이 때 GC가 제대로 동작하지 않으면 로그온이 안되므로 주의한다
나) Exchange Mail Server를 사용할 때 사용자는 Global Address List라는 주소록을 많이 사용한다. 즉, Foreset 전체에 산재한 이메일 주소를 검색하여 수신자로 선택한다. 이 때 한 명의 수신자가 아닌 여러 사람을 그룹으로 메일을 보낼 때 수신자를 Group 계정으로 사용한다. 이 때 사용되는 Group이 바로 Universal Group이다. 왜냐하면 Forest 전체를 대상으로 주소록이 생성되므로 GC에 저장된 Universal Group을 이용하는 것이다. (물론 로컬 도메인의 Global Group도 주소록으로 이용할 수 있는지 Exchange 2007에서는 Universal Group만 되고 Exchange 2000/2003은 Global, Universal, Domain Local 모두 사용된다.)

3) UPN Suffix가 저장된다.
**적용**
가) 사용자 계정을 생성할 때 GC가 없으면 에러가 발생하면서 다음 단계로 넘어간다. 그 이유는 이 사용자 계정이 UPN이 Forest 전체에서 유일한(Unique)지 확인하게 되는데, 이 때 바로 GC에서 확인한다.
나) 사용자가 로그온할 때 UPN을 사용하면  이 UPN을 사용하는 사용자 계정이 어느 도메인의 계정인지 먼저 확인한다. 이 때 GC에 연결하여 해당 사용자의 도메인을 찾는다. 그런 다음 해당 도메인의 DC에 접속하여 인증을 처리하게 된다. 인증은 DC에서 하고 검색은 GC에서 한다는 것을 유념한다.
ex) Child Domain의 사용자인 kor_user1이 중국으로 출장가서 현지에 있는 컴퓨터를 사용하여 Korea Domain의 DC에 인증을 요청 할 때 UPN을 사용한다면 중국의 PC는 자신의 DC에 먼저 인증 요청을 보낸다. 하지만 이 중국 DC는 자신의 도메인에 해당 계정이 없으므로 GC에 물어 몬다. 그러면 GC는 이 사용자가 Korea Domain의 사용자라고 알려주고 이를 다시 PC에 알려주면 중국 PC는 한국의 DC에 인증을 요청하게 된다. 이 때 GC의 역할이 중요하므로 GC가 잘 운영되고 있어야 한다.

4) 기타
   GC는 반드시 DC이어야 한다. Domain Member Server는 GC가 될 수 없다. 그리고 인증 처리는 DC에서만 하고 GC는 검색용으로 사용된다는에 유의한다

by Peacemaker | 2008/10/24 12:50 | Windows | 트랙백 | 덧글(1)

트랙백 주소 : http://BlogLee.egloos.com/tb/4689714
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented by at 2009/02/03 12:37
msce 준비중인데요, 문제 풀다가 GC를 잘 몰라서 찾아보다 들어오게 되었습니다. 많은 도움이 되어 글 남기고 가요~ ^^ 감사합니다.

:         :

:

비공개 덧글

◀ 이전 페이지          다음 페이지 ▶