Microsoft Active Directory Global Catalog
Global Catalog 是一个 Global Catalog Server。Global Catalog 用于存放它所在域的一组完整属性以及 Microsoft Active Directory 林中所有对象的属性子集。Microsoft Active Directory 中的 Global Catalog 的两项主要功能是登录功能和 Microsoft Active Directory 查询。
随该产品一起安装的 Microsoft Active Directory 中的 Global Catalog 是单个轻量级目录访问协议 (LDAP) 存储库,此存储库包含该林中的所有域中的用户信息子集。此信息包括用户标识、认证信息和组,但是并非包括所有组信息。
可以在林中的任何域控制器中(甚至在子域中)使用 Global Catalog。Global Catalog 是 WebSphere® Application Server 只有“单个注册表”这一局限性的解决方案。Global Catalog 也存在局限性。本地域控制器中的用户包含组“memberOf”信息。外部域控制器中的用户包含有限的“memberOf”信息,因为全局组信息未复制到每个域控制器。
嵌套在通用组中的全局组
这是组成员资格的典型结构,具有下列特征:
- 用户分布在一个包含多个域控制器的林中的域控制器中。
- 用户是在全局组中它们自己的本地域控制器中定义的。
- 通用组中包含全局组,它反映一个 Java™ Platform Enterprise Edition (Java EE) 角色,该角色映射至分布在多个域控制器中的一组用户。
下图说明了嵌套在通用组中的全局组。
图 1. 嵌套在通用组中的全局组. 此图说明了嵌套在通用组中的全局组。

当信息分布在多个域控制器中时,开发一些方法来配置 WebSphere Application Server 以便能够查找用户及其组成员资格将面临挑战。一种方法要求 WebSphere Application Server 遵循 LDAP 引荐以查找每个用户的主域控制器,并且要求 WebSphere Application Server 执行嵌套组查询。
避免故障: 此方法将不使用 Global Catalog。gotcha

另一种方法(也就是最简单的方法)具有包含用户的通用组,并且使用 Global Catalog(它要求使用引荐)。下图说明了此方法。
图 2. 查找组成员资格. 此图说明了查找组成员资格的过程。

此方法的一种变化形式是不使用通用组。当通用组不可用时,可以使用此方法。
避免故障: 此方法将不使用 Global Catalog。gotcha

您可以考虑使用 Microsoft Active Directory Global Catalog 作为 WebSphere Application Server 注册表。有三种方案;但是,前两种方案说明了如何发生故障。
避免故障: 当您选择任何这些方案时,请参阅相应的 Microsoft Active Directory 信息,以彻底了解这些方案可能对于配置规划具有的任何含义。gotcha
- 如果您配置 WebSphere Application Server 以使用 Global Catalog 作为其 LDAP 注册表,并且遵循引荐,那么各个用户在每个域控制器中都可视。因为一个用户在注册表中只能存在一次,所以所有登录都将失败。
- 如果您配置 WebSphere Application Server 以使用 Global Catalog 作为其 LDAP 注册表,不遵循引荐,并且各个用户在全局组中,那么组成员资格不完整。请参阅下图,它说明了此局限性。图 3. Global Catalog(未使用引荐). 这是未使用引荐的 Global Catalog 的一副插图
- 当您配置 WebSphere Application Server 以使用 Global Catalog 作为其 LDAP 注册表,不遵循引荐,并且用户直接包含在通用全局组中,那么组成员资格完整。
