Global Catalog (GC), birden fazla domain barındıran ya da barındırmayan Active Directory forestlarındaki her bir nesnenin aranabilir bir bölümünü içeren dağıtık bir veri deposudur.
Her Active Directory domaini kendine ait bir Active Directory veritabanı kopyası barındırır. Bu veritabanı NTDS.dit isimli dosyada tutulur ve değişiklikler her bir domain controllera (DC) replikasyon yoluyla iletilir. Bu bölümler hakkında daha detaylı bilgiye sahip olmak için aşağıdaki bağlantıları inceleyebilirsiniz.
Active Directory’de Forest ve Tree Yapısı
Aynı domain içinde yetkili bir kullanıcı domaindeki kaynaklara erişebilir. Peki ya aynı forestın içinde ve forestın farklı bir bölümünde (aynı foresttaki farklı bir domainde) bulunan kaynağa erişilmek istenirse ne olur?
Eğer bağlanmaya çalışılan kaynak aynı forestta ise uzak kaynağa erişim için Windows kullanıcının bu kaynağa erişim izninin olduğunu varsayarak otomatik olarak mevcut kullanıcı adı ve parolayı kullanacaktır. Erişim metodu bu şekilde olunca erişilmek istenilen kaynağın nerede (forestta hangi domainde) olduğu bilinmediğinden sorun meydana gelir. Bunun nedeni bir domainin sadece kendisindeki kaynakları bilmesi ve domainin dışındaki kaynaklar hakkında bilgi sahibi olmamasıdır.
Windows, kullanıcıların bir foresttaki kaynakları bulmasına yardımcı olmak için domain controllerın Global Catalog olarak çalışmasına olanak sağlar. Global Catalog sunucusu forestta tıpkı kütüphanede olduğu gibi kaynakların bulunması için dizin (index) görevi görür.
Active Directory’deki her bir nesne kendine ait özniteliklere (Attributes) sahiptir. Global Catalog, Active Directory forestındaki tüm nesneler hakkında bilgi içerir. Bu bilgi her nesnenin tam bir kaydı değildir. Global Catalog sunucusuna nesnelerin yalnızca belirli öznitelikleri kopyalanır. Bu replike edilen bilgiler forestta ilgili Active Directory nesnesinin bulunması için yeterlidir. Yani Global Catalog sunucusu kütüphane örneğinde ad ve yazar bilgisi bilinen her kitabın kütüphanede rahatlıkla bulunabilmesi gibi Active Directory forestındaki nesnelerin anahtar bilgisini tutar ve nesnelerin kolayca bulunmasını sağlar.
Farklı domaindeki kullanıcılar foresttaki farklı domainlerde bulunan kaynaklara erişebildiğinden forest genelinde çalışan bazı gruplar (Universal Groups) vardır. Global Catalog sunucusu bu farklı domainlerden kullanıcılar içeren bu gruplar hakkında bilgi sahibi olmaktan sorumludur.
Herhangi bir domain controller Global Catalog sunucusu olabilir. Her bir domainde en az bir Global Catalog sunucusu bulunmalıdır. Domaininiz yeterince büyük ise erişilebilirlik nedeniyle birden fazla Global Catalog sunucusu bulunmalıdır. Global Catalog sunucusunu kaybetmeniz sorunlara neden olacaktır. Bir Global Catalog sunucunuz var ise her zaman daha fazla Global Catalog sunucusu yaratabilirsiniz. Bu nedenle işleri mümkün olduğunca kolay hale getirmek için kurduğunuz tüm domain controllerları Global Catalog sunucusu yapabilirsiniz. Ortamınızda fazla Global Catalog sunucusu olmasının dezavantajı sunucuların daha fazla disk ve bant genişliğine ihtiyaç duymasıdır. Günümüzde bant genişliği daha ucuz ve erişilebilir hale gelmiştir. Artık tüm domain controllerların Global Catalog sunucusuna dönüştürülmesi eskiden olduğu kadar büyük bir sorun değildir. Bu nedenle Microsoft domain controllerları varsayılan olarak Global Catalog sunucusu olarak atamıştır. Sunucu promote edilirken ya da daha sonra karar verirseniz sunucunun Global Catalog olmasını/olmamasını aşağıdaki yolu izleyerek kolayca sağlayabilirsiniz.
Active Directory Users and Computers -> Alan adı genişletilir -> Domain Controllers seçilir -> Domain Controller sağ tıklanır ve özellikler seçilir -> Genel bölümünde NTDS Settings seçilir -> Global Catalog eklenir/çıkarılır.
Sorulması gereken bir başka soru ise domain controllerların nerelere konumlandırılması gerektiğidir. Domain controllerlar kullanıcı authenticationunu sağlar fakat kullanıcıların yanında olmaları gerekmez. Örneğin yalnızca birkaç kullanıcısı olan bir ofise domain controller gereksiz maliyet oluşturacaktır ve gerek yoktur. Fakat küçük ofis ve merkez ofis arasındaki bağlantı güvenli değilse küçük ofise de bir domain controller konumlandırılabilir.
Bir sonraki verilmesi gereken karar ise bu domain controllerın bir Global Catalog sunucusu olması gerekir mi?
Bir domain controllerın Global Catalog sunucusu olması için gerekli nedenler aşağıdaki gibidir :
1. Bir kullanıcı ilk kez oturum açtığında Global Catalog kullanılır. Domain controllerlar, forest genelinde bilgi içermezler. Bu konuda sıklıkla unutulan bilgi evrensel gruptur (Universal Groups). Evrensel Gruplar, foresttaki farklı domainlerden kullanıcıları içerebilen gruplardır. Bu nedenle, sıradan bir domain controller bu bilgilere sahip değildir. Tek bir domaininiz ve tek bir forestınız olsa bile bir kullanıcı evrensel bir gruba dahil edilebilir ve bu nedenle her zaman bir Global Catalog sunucusuna ihtiyaç vardır. Bir domaine ilk kez giriş yapıldığında Windows kullanıcı için bir güvenlik belirteci (Security Token) oluşturur. Bu belirteç bu kullanıcının erişimi için gerekli olan her şeyi içerir. Bu belirteci oluşturmak için Windows’un bu kullanıcının erişebildiği her şeyi bilmesi gerekir. Güvenlik belirteci, üretilmesi için sistem tarafından zaman ve performans harcanmasından dolayı ilk kez oturum açıldığında sadece bir kez oluşturulur. Bu nedenle, bir kullanıcı için grup üyeliğini değiştirilirse, bu değişiklik, kullanıcı oturumu kapatıp yeniden oturum açana kadar geçerli olmaz.
Global Catalog sunucusu, kullanıcının hangi evrensel gruplara üye olduğunu belirlemek için gereklidir. Windows kimlik bilgilerini önbelleğe alabilir. Böylece Global Catalog sunucusu ile iletişim kurulamazsa kullanıcı önbelleğe alınmış içeriği kullanarak oturum açmaya devam edebilir. Kullanıcıların oturum açmada herhangi bir sorun yaşamadığından emin olmak için ağda her zaman bir Global Catalog sunucusunun bulunması en iyisidir.
2. Bir kullanıcı Universal Principal Name (UPN) kullanarak oturum açtığında ortamda bir Global Catalog sunucusu olması gerekmektedir. Bir UPN “kullanıcı adı@alan adı” biçiminde basit bir kullanıcı adıdır. UPN, forestın her tarafında benzersizdir. Ancak bu UPN’in domain adıyla aynı olması gerektiği anlamına gelmez. Örneğin, emres ve hasans adlı iki domain adımızın olduğunu düşünelim. Ortamda hasans domainin başarısızlığı nedeniyle çalışanlar “emres” domainine taşınmış olabilir. Fakat bu durumda kullanıcı hesapları hasans domaininde kalmış olur. Bilgi işlem departmanının kullanıcıları hasans domaininden emres domainine taşıması zaman alacaktır. Bunlar iş dünyasında olabilecek olaylardır. Bu sadece bu tip bir olayla da sınırlı değildir. Çalışanlar bölge değiştirebilir, işletmeler yeniden yapılandırılabilir. Bilgi işlem departmanı, iş gereksinim değişikliklerine hızlı bir şekilde cevap verebilmelidir. Hızlı değişiklikler, bir kullanıcının UPN’inin bulundukları alanla eşleşmemesi ile sonuçlanabilir. Bu nedenle, kullanıcının forestın içinde kullanıcı hesabının bulunduğu herhangi bir lokasyonda çalışması için Global Catalog sunucusuna ihtiyaç vardır.
3. Global Catalog sunucusu forestta kullanıcının nerede olduğuna bakılmaksızın dizin bilgilerini bulmak için kullanılırlar. Eğer Global Catalog sunucusu yoksa, forest genişlediğinde bu bilginin hangi domainde bulunduğunun tam olarak bilinmesi gerekir. Örneğin, foresttaki tüm siyah-beyaz yazıcılar aranmak isteniyorsa, Global Catalog sunucusu olmadan bu yapılamaz.
4. Global Catalog sunucusu yerleşiminde bir geniş alan ağı (Wide Area Network) tarafından ayrılmış sitelarınızın her birine Global Catalog sunucusu yerleştirilmesi önerilir. Çoğu kullanıcı ile sunucu arasında yüksek hızlı bir bağlantı vardır. Ancak güvenlik duvarı tarafından iletişim engellenebilir. İstemci ve sunucu arasında bu bağlantı noktaları açılamıyorsa istemcinin bulunduğu lokasyona yerel bir Global Catalog sunucusu yerleştirmeniz gerekir. Bu, istemci ile Global Catalog sunucusu arasındaki bağlantı güvenilmezse uygulanabilir. Bu durumda yerel ağda bir domain controller, Global Catalog sunucusu olarak atanmalıdır.
5. Bazı yazılımların çalışması için bir Global Catalog gerekir. Microsoft Exchange Server bunun en güzel örneklerinden birisidir. Büyük ağlarda kullanıcılar için yerel ağ üzerinde birden fazla Global Catalog sunucusunun bulunması yerinde olacaktır. Aynı ağda birden fazla Global Catalog sunucusu olması gereksiz gibi gelebilir. Fakat büyük ağlarda kurulacak birden fazla Global Catalog sunucusu üzerlerindeki yükü diğer Global Catalog sunucularına dağıtır. Yoğun olarak bu hizmete ihtiyaç duyulan büyük yapılarda Global Catalog sunucuları arasındaki yük dengelemesi yanıt sürelerini düşük tutmaya yardımcı olur.
Peki Global Catalog sunucusuna ne zaman ihtiyaç yoktur?
1. Global Catalog sunucusu foresttaki her nesneyi kısmi olarak çoğaltır ve böylece sunucu yanıtlama sorgularına daha fazla yük getirir.
2. Global Catalog sunucusu kullanıcılarla ilgili kimlik doğrulamanın yanı sıra Global Catalog ile ilgili sorguları da yanıtlamalıdır.
3. Global Catalog sunucusu ayrıca forest büyüklüğündeki değişiklikler için ek ağ trafiği ve sabit disk alanı gerektirir. Kullanıcı sayısı fazla olmayan bir forestta bu durum fark edilmez. Fakat kullanıcı sayısı çok olan ve dolayısıyla yüksek miktarda değişime sahip olan büyük forestlarda bu durum farklı olur.
Global Catalog konumlandırılırken dikkatli planlama önemlidir. Mümkünse ağın desteklediği ölçüde tüm domain controllarları Global Catalog sunucusu yapmak her zaman daha kolay bir yapılandırma olacaktır.
Faydalı olması dileğiyle…
“Global Catalog Nedir?” için bir yorum