Verkkotunnuksen ohjain - Domain controller
Käytössä Microsoft Palvelimet , eli toimialueen ohjain ( DC ) on palvelin tietokone , joka vastaa turvallisuuden autentikointipyyntöjä (kirjautumisessa, tarkkailun käyttöoikeudet ja niin edelleen) sisällä Windows-toimialueen . Verkkotunnus on käsite käyttöön Windows NT jossa käyttäjä voidaan myöntää pääsy useisiin tietokoneen resursseja käyttämällä samaa käyttäjätunnusta ja salasanaa yhdistelmä.
Sisällys
Historia
Kanssa Windows NT 4 Server , yksi toimialueen ohjain verkkotunnusta kohden oli määritetty ensisijaiseksi toimialueen ohjain (PDC); kaikki muut verkkotunnuksen ohjaimet olivat varatoimialueohjaimia (BDC).
PDC: n kriittisen luonteen vuoksi parhaat käytännöt sanoivat, että PDC: n tulisi olla omistettu yksinomaan verkkotunnuksen palveluille, eikä sitä pitäisi käyttää tiedosto-, tulostus- tai sovelluspalveluihin, jotka voivat hidastaa tai kaataa järjestelmää. Jotkut verkonvalvojat ottivat lisäaskeleen omistaakseen BDC: n verkossa nimenomaan tarkoituksenaan olla käytettävissä mainostamiseen, jos PDC epäonnistuu.
BDC voisi todentaa verkkotunnuksen käyttäjät, mutta kaikki verkkotunnuksen päivitykset (uudet käyttäjät, muutetut salasanat, ryhmäjäsenyys jne.) Voitiin tehdä vain PDC: n kautta, joka levittää nämä muutokset kaikille verkkotunnuksen BDC: ille. Jos PDC ei ollut käytettävissä (tai hän ei pysty kommunikoimaan muutosta pyytävän käyttäjän kanssa), päivitys epäonnistuu. Jos PDC ei pysyvästi ollut käytettävissä (esim. Jos kone epäonnistui), olemassa olevaa BDC: tä voitaisiin edistää PDC: ksi.
Windows 2000 ja uudemmat versiot esittelivät Active Directory ("AD"), joka eliminoi pitkälti PDC: n ja BDC: n käsitteen monen isäntäreplikaation hyväksi . On kuitenkin edelleen useita rooleja, joita vain yksi toimialueen ohjain voi suorittaa, nimeltään joustava yhden isäntätoiminnon roolit. Jotkut näistä rooleista on täytettävä yhdellä DC: llä verkkotunnusta kohden, kun taas toisilla tarvitaan vain yksi DC: tä AD-metsää kohti . Jos jotakin näistä rooleista suorittava palvelin katoaa, verkkotunnus voi silti toimia, ja jos palvelinta ei ole enää käytettävissä, järjestelmänvalvoja voi nimetä vaihtoehtoisen tasavirtalaitteen ottamaan roolin prosessissa, jota kutsutaan roolin sieppaamiseksi.
Ensisijainen verkkotunnuksen ohjain
Windows NT 4: ssä yksi tasavirta toimii ensisijaisena verkkotunnuksen ohjaimena (PDC). Toiset, jos niitä on, ovat yleensä varmuuskopioalueen ohjain (BDC). PDC on tyypillisesti nimetty "ensimmäiseksi". "Verkkotunnusten käyttäjän hallinta" on apuohjelma käyttäjän / ryhmän tietojen ylläpitämiseen. Se käyttää ensisijaisen ohjaimen verkkotunnuksen suojaustietokantaa. PDC: llä on pääkopio käyttäjätilitietokannasta, jota se voi käyttää ja muokata. BDC-tietokoneilla on kopio tästä tietokannasta, mutta nämä kopiot ovat vain luku -tyyppisiä. PDC toistaa tilitietokannansa BDC: lle säännöllisesti. BDC: t ovat olemassa varmuuskopion tuottamiseksi PDC: lle, ja niitä voidaan käyttää myös todentamaan verkkoon kirjautuvien käyttäjien todentaminen. Jos PDC epäonnistuu, yhtä BDC: stä voidaan sitten ylentaa sen tilalle. PDC on yleensä ensimmäinen luotu verkkotunnuksen ohjain, ellei sitä korvata mainostetulla BDC: llä.
PDC-emulointi (ensisijainen verkkotunnuksen ohjain)
Windowsin nykyaikaisissa julkaisuissa verkkotunnuksia on täydennetty käyttämällä Active Directory -palveluita. Active Directory -alueissa primaarisen ja toissijaisen toimialueen ohjainsuhteiden käsitettä ei enää sovelleta. PDC-emulaattorit pitävät tilitietokantoja ja hallinnollisia työkaluja. Seurauksena suuri työtaakka voi hidastaa järjestelmän toimintaa. DNS-palvelu voidaan asentaa toissijaiseen emulaattoriin PDC-emulaattorin työmäärän vähentämiseksi. Samat säännöt pätevät; vain yksi PDC voi olla verkkotunnuksessa, mutta useita replikointipalvelimia voidaan silti käyttää.
- PDC-emulaattori-isäntä toimii PDC: n sijasta, jos toimialueella on jäljellä Windows NT 4.0 -toimialueohjaimia (BDC), jotka toimivat lähteenä niiden replikointiin.
- PDC-emulaattori-isäntä vastaanottaa ensisijaisesti salasanamuutokset verkkotunnuksessa. Koska salasanamuutokset vievät aikaa replikoitumiseen kaikissa Active Directory -alueen verkkotunnuksen ohjaimissa, PDC-emulaattorin isäntä vastaanottaa ilmoituksen salasanan muutoksista heti, ja jos kirjautumisyritys epäonnistuu toisessa toimialueen ohjaimessa, kyseinen toimialueen ohjain välittää kirjautumispyynnön PDC-emulaattorimestari ennen hylkäämistä.
- PDC-emulaattorimestari toimii myös koneena, johon kaikki toimialueen verkkotunnuksen ohjaimet synkronoivat kellonsa. Se puolestaan olisi konfiguroitava synkronoimaan ulkoiseen NTP- ajan lähteeseen.
Samba
PDC on luotu uskollisesti Microsoftin SMB- asiakas- / palvelinjärjestelmän Samba- emuloinnissa . Samballa on kyky jäljitellä NT 4.0 -toimialuetta sekä nykyaikaisia Active Directory -verkkotunnuspalveluita Linux- koneella.
Verkkotunnuksen varmuuskopio
Windows NT 4 -verkkotunnuksissa varmuuskopioalueen ohjain (BDC) on tietokone, jolla on kopio käyttäjätilitietokannasta. Toisin kuin PDC: n tilitietokanta, BDC-tietokanta on vain luku -kopio. Kun PDC: n päätilitietokantaan tehdään muutoksia, PDC työntää päivitykset alas BDC: iin. Nämä ylimääräiset verkkotunnuksen ohjaimet ovat olemassa vikasietoisuuden aikaansaamiseksi. Jos PDC epäonnistuu, se voidaan korvata BDC: llä. Tällaisissa tilanteissa järjestelmänvalvoja edistää BDC: tä uudeksi PDC: ksi. BDC: t voivat myös todentaa käyttäjän kirjautumispyynnöt ja ottaa osan todennuskuormasta PDC: ltä.
Kun Windows 2000 julkaistiin, NT-verkkotunnus, sellaisena kuin se löytyi NT 4: stä ja aiemmista versioista, korvattiin Active Directorylla . Natiivimuodossa toimivissa Active Directory -domeeneissa PDC: n ja BDC: n käsitettä ei ole. Näissä verkkotunnuksissa kaikkia verkkotunnuksen ohjaimia pidetään tasa-arvoisina. Tämän muutoksen sivuvaikutus on menetys kyvystä luoda "vain luku" -toimialueohjain. Windows Server 2008 otti tämän ominaisuuden uudelleen käyttöön.
nimistö
Windows Server voi olla yksi kolmesta tyypistä: Active Directory "verkkotunnuksen ohjaimet" (identiteettiä ja todennusta tarjoavat), Active Directory "jäsenpalvelimet" (sellaiset, jotka tarjoavat ilmaisia palveluita, kuten tiedostovarastot ja skeemat) ja Windows Workgroup "itsenäinen" palvelimet". Microsoft käyttää joskus termiä "Active Directory Server" synonyyminä "Domain Controller" -yritykseen, mutta termiä ei suositella.
