Domænecontroller - Domain controller
På Microsoft Servers er en domænecontroller ( DC ) en servercomputer, der reagerer på anmodninger om sikkerhedsgodkendelse (logning, kontrol af tilladelser osv.) Inden for et Windows-domæne . Et domæne er et koncept introduceret i Windows NT, hvorved en bruger kan få adgang til et antal computerressourcer ved hjælp af et enkelt brugernavn og adgangskodekombination.
Indhold
Historie
Med Windows NT 4 Server blev en domænecontroller pr. Domæne konfigureret som den primære domænecontroller (PDC); alle andre domænecontrollere var backup-domænecontrollere (BDC).
På grund af PDC's kritiske karakter dikterede bedste praksis, at PDC'en kun skulle dedikeres til domænetjenester og ikke bruges til fil-, udskrivnings- eller applikationstjenester, der kan bremse eller ødelægge systemet. Nogle netværksadministratorer tog det ekstra skridt at have en dedikeret BDC online med det udtrykkelige formål at være tilgængelig til promovering, hvis PDC mislykkedes.
En BDC kunne autentificere brugerne i et domæne, men alle opdateringer til domænet (nye brugere, ændrede adgangskoder, gruppemedlemskab osv.) Kunne kun foretages via PDC, som derefter udbredte disse ændringer til alle BDC'er i domænet. Hvis PDC'en ikke var tilgængelig (eller ikke kunne kommunikere med brugeren, der anmodede om ændringen), ville opdateringen mislykkes. Hvis PDC'en var permanent utilgængelig (f.eks. Hvis maskinen mislykkedes), kunne en eksisterende BDC fremmes som en PDC.
Windows 2000 og senere versioner introducerede Active Directory ("AD"), der stort set eliminerede konceptet med PDC og BDC til fordel for multimasterreplikation . Der er dog stadig flere roller, som kun en domænecontroller kan udføre, kaldet de fleksible enkelt masteroperationsroller . Nogle af disse roller skal udfyldes af en DC pr. Domæne, mens andre kun kræver en DC pr. AD-skov . Hvis serveren, der udfører en af disse roller, går tabt, kan domænet stadig fungere, og hvis serveren ikke vil være tilgængelig igen, kan en administrator udpege en alternativ DC til at påtage sig rollen i en proces, der kaldes "at gribe" rollen.
Primær domænecontroller
I Windows NT 4 fungerer en DC som den primære domænecontroller (PDC). Andre, hvis de findes, er normalt en backup-domænekontroller (BDC). PDC betegnes typisk som den "første". "Brugerhåndtering til domæner" er et værktøj til vedligeholdelse af bruger / gruppeoplysninger. Det bruger domænesikkerhedsdatabasen på den primære controller. PDC'en har masterkopien af brugerkonti-databasen, som den kan få adgang til og ændre. BDC-computere har en kopi af denne database, men disse kopier er skrivebeskyttet. PDC replikerer sin kontodatabase regelmæssigt til BDC'erne. BDC'erne findes for at give en sikkerhedskopi til PDC'en og kan også bruges til at autentificere brugere, der logger på netværket. Hvis en PDC skulle mislykkes, kan en af BDC'erne derefter fremmes til at indtage sin plads. PDC vil normalt være den første domænecontroller, der blev oprettet, medmindre den blev erstattet af en promoteret BDC.
PDC-emulering (Primary Domain Controller)
I moderne udgivelser af Windows er domæner blevet suppleret med brugen af Active Directory- tjenester. I Active Directory-domæner gælder ikke længere konceptet med primære og sekundære domænecontrollerrelationer. PDC-emulatorer har kontodatabaser og administrative værktøjer. Som et resultat kan en tung arbejdsbelastning nedsætte systemet. DNS-tjenesten kan installeres på en sekundær emulatormaskine for at aflaste arbejdsbyrden på PDC-emulatoren. De samme regler gælder; kun en PDC kan findes på et domæne, men flere replikationsservere kan stadig bruges.
- PDC-emulatormaster fungerer i stedet for PDC, hvis der er Windows NT 4.0- domænestyrere (BDC'er), der er tilbage i domænet, og fungerer som en kilde, som de kan replikeres fra.
- PDC-emulatormasteren modtager præference replikering af adgangskodændringer inden for domænet. Idet adgangskodændringer tager tid at replikere på tværs af alle domænecontrollere i et Active Directory-domæne, modtager PDC-emulatormasteren straks meddelelse om adgangskodændringer, og hvis et logonforsøg mislykkes på en anden domænecontroller, vil den domænecontroller videresende logonanmodningen til PDC-emulator-master, før den afvises.
- PDC-emulatormaster fungerer også som den maskine, til hvilken alle domænestyrere i domænet vil synkronisere deres ure. Det skal igen konfigureres til at synkronisere til en ekstern NTP- tidskilde.
Samba
PDC er trofast genskabt på Samba- emuleringen af Microsofts SMB- klient / serversystem. Samba har evnen til at efterligne et NT 4.0-domæne såvel som moderne Active Directory Domain Services på en Linux- maskine.
Backup domæne controller
I Windows NT 4-domæner er backupdomænekontrolleren (BDC) en computer, der har en kopi af brugerkontiets database. I modsætning til kontodatabasen på PDC er BDC-databasen en skrivebeskyttet kopi. Når der foretages ændringer i masterkontodatabasen på PDC, skubber PDC opdateringerne ned til BDC’erne. Disse ekstra domænecontrollere findes for at give fejltolerance. Hvis PDC mislykkes, kan den erstattes af en BDC. Under sådanne omstændigheder fremmer en administrator en BDC til at være den nye PDC. BDC'er kan også autentificere anmodninger om brugerlogon og tage noget af godkendelsesbelastningen fra PDC.
Da Windows 2000 blev frigivet, blev NT-domænet som findes i NT 4 og tidligere versioner erstattet af Active Directory . I Active Directory-domæner, der kører i native mode, findes konceptet med PDC og BDC ikke. I disse domæner betragtes alle domænecontrollere som lige. En bivirkning af denne ændring er tabet af evnen til at oprette en "read-only" domænecontroller. Windows Server 2008 genindførte denne funktion.
nomenklatur
Windows Server kan være en af tre slags: Active Directory "domænecontrollere" (dem, der giver identitet og autentificering), Active Directory "medlemsservere" (dem, der leverer gratis tjenester såsom filopbevaringssteder og skema) og Windows Workgroup "stand-alone servere". Udtrykket "Active Directory Server" bruges undertiden af Microsoft som synonym til "Domænecontroller", men udtrykket frarådes.
