Catalogo Global es un rol adicional que pueden tomar los controladores de dominio tanto en Windows 2000 como en Windows Server 2003, a diferencia de los roles FSMO no es imprescindible para el correcto funcionamiento del active directory por lo que y también tenemos la posibilidad tener mas de uno por bosque o dominio. La función del global catalog es guardar una copircial de solo lectura de todos los objetos del bosque, al igual que el resto del directorio activo se trata de una arquitectura LDAP con la única particularidad de que funciona a través del puerto TCP 3268 en lugar de los puertos TCP 389 o 636 habituales, así que para dirigir consultas LDAP (queries) hacia el global catalog solo se requiere usar ese puerto y no ningún tipo de sintaxis especial.
Cuando configuremos el primer domain controller de un bosque este se configurara por defecto como Global Catalog, también podemos habilitar servidores adicionales de forma manual, para ello debemos ir a la consola de Sitios y servicios de Active Directory, buscar el controlador de dominio que queremos habilitar, o bien deshabilitar, e ir a NTDS Settings -> propiedades y marcar la opción de Catalogo Global.
Que sea accesible un controlador con global catalog es imprescindible en ciertos casos: para realizar una búsqueda entre todos los objetos del forest, para el logon de un usuario, búsquedas en libretas de direcciones de Exchange que tengan que acceder al global address list (GAL), para comprobar la pertenencia a grupos universales y en el caso de que tengamos un bosque con mas de un dominio es necesario cuando usamos el UPN (user principal name, por ej. usuario@dominio) y también cuando un usuario realice logon excepto si tenemos habilitada la opción de universal group membership caching que solo esta disponible en Windows Server 2003 o si hacemos una modificación en el registro (cambiar el valor de IgnoreGCFailures a 1).
La caché de pertenencia al grupo universal (universal group membership caching) se configura nivel de sitio (site) de active directory, se trata de una nueva característica de Windows Server 2003 pero estará disponible si tenemos un domain controller de 2003 aunque el nivel funcional del dominio sea Windows 2000. Para configurar esta opción debemos ir a la consola Sitios y servicios de Active Directory y en cada site en NTDS Site Settings -> propiedades se puede modificar esta opción y también seleccionar desde el site el cual se actualizara esta caché.
No debemos configurar el rol FSMO de maestro de infraestructura (infrastructure master) a un controlador de dominio que sea global catalog a menos que todos los controladores del dominio sean global catalog ya que no actualizaría la información de objetos que no tiene, que es la misión de ese rol, debido el catalogo global contiene copias parciales de todos los objetos del bosque. Si disponemos de ancho de banda suficiente, deberíamos tener si es posible un DC como global catalog en cada site, si el ancho de banda es limitado solo deberíamos posicionar global catalogs en sites con mas de 500 objetos en total entre usuarios y equipos ya que si es menor a eso es mas económico usar universal group membership caching.
Exelente esplicación. Muchas Gracias