How to disable the requirement for a global catalog server to be reachable when a user logs into a Windows 2000, Windows Server 2003, or Windows Server 2008 domain
Diawali sejak Windows 2000 server pada native mode, terdapat kewajiban bahwa global catalog harus dihubungi untuk setiap login yang dilakukan, kalau tidak maka login tersebut akan gagal (pengecualian untuk kondisi tidak terdapatnya konektivitas jaringan, yang akan menghasilkan suksesnya proses login suatu user karena cached credentials). Hal ini penting untuk memproses semua universal security groups yang bisa jadi si user tersebut merupakan salah satu membernya. Saat suatu client memproses tahapan autentikasi ke suatu domain controller, domain controller menghubungi global catalog server untuk memeriksa satu persatu user dari universal groups. Jika kita memiliki domain controllers pada remote site dan tidak difungsikan menjadi global catalog server, bisa jadi kita mengalami situasi dimana user tidak dapat login jika koneksi jaringan yang menuju ke jaringan yang memiliki global catalog terdekat ternyata bermasalah.
Pilihan satu-satunya dalam mengatasi masalah ini adalah melakukan seting konfigurasi untuk membuat domain controller mengacuhkan GC lookup failures.
Kita dapat melakukan hal ini dengan menambahkan suatu IgnoreGCFailures registry key pada HKLM\SYSTEM\CurrentControlSet\Control\LSA pada domain controller yang ingin kita terapkan. Jika kita menggunakan universal groups dan domain controller kita set untuk ignore GC failures menyebabkan terdapatnya semacam security hole yang signifikan karena token dari user tidak akan diupdate dengan universal group memberships yang tepat.
Cara men-disable-nya sebagai berikut.
Cara pertama: Menggunakan GUI.
- Buka Registry Editor (regedit).
- Buka HKEY_LOCAL_MACHINE –> System->Current ControlSet –> Control
- Klik-kanan Lsa dan pilih New ->Key.
- Masukkan IgnoreGCFailures untuk key name dan tekan Enter.
- Restart server.
Atau seperti pada gambar berikut:
Cara kedua, menggunakan command-line interface:
reg add HKLM\SYSTEM\CurrentControlSet\Control\LSA\IgnoreGCFailures /ve
shutdown /r
|
Atau Seperti pada gambar berikut:
Pada result dari command line di gambar, munculnya statement: Value exists, overwrite(Yes/No)? Jawab saja dengan Yes, hal ini karena value-nya telah ada karena pada komputer saya, telah dimasukkan value-nya secara GUI.Dan kemudian restart.
Cara lainnya, hanya tidak disertakan dalam bahasan adalah kita dapat menggunakan VBScript.
Untuk tambahan informasi tentang universal group caching, bisa mereferensi ke KB 216970 (Global Catalog Server Requirement for User and Computer Logon), dan juga KB 241789 (How to Disable the Requirement that a Global Catalog Server Be Available to Validate User Logons).
Semoga dapat bermanfaat….