Controlor de domeniu - Domain controller
Pe servere Microsoft , un controler de domeniu ( DC ) este un computer server care răspunde la solicitările de autentificare de securitate (logare, verificare a permisiunilor etc.) în cadrul unui domeniu Windows . Un domeniu este un concept introdus în Windows NT prin care unui utilizator i se poate acorda acces la o serie de resurse computerizate cu utilizarea unui singur nume de utilizator și o combinație de parole.
cuprins
Istorie
Cu Windows NT 4 Server , un controler de domeniu per domeniu a fost configurat ca controller principal de domeniu (PDC); toate celelalte controlere de domeniu au fost controlere de domeniu de rezervă (BDC).
Datorită naturii critice a PDC, cele mai bune practici au dictat că PDC ar trebui să fie dedicat exclusiv serviciilor de domeniu și să nu fie utilizat pentru servicii de fișiere, tipărire sau aplicații care ar putea încetini sau bloca sistemul. Unii administratori de rețea au făcut pasul suplimentar de a avea un BDC dedicat online, în scopul expres de a fi disponibili pentru promovare în cazul în care PDC a eșuat.
Un BDC ar putea autentifica utilizatorii dintr-un domeniu, dar toate actualizările aduse domeniului (utilizatori noi, parole modificate, apartenență la grup, etc.) ar putea fi făcute doar prin intermediul PDC, care va propaga aceste modificări la toate BDC-urile din domeniu. Dacă PDC-ul nu era disponibil (sau nu putea comunica cu utilizatorul care solicită modificarea), actualizarea nu va reuși. Dacă PDC-ul nu era permanent disponibil (de exemplu, dacă aparatul a eșuat), un BDC existent ar putea fi promovat ca fiind PDC.
Windows 2000 și versiunile ulterioare au introdus Active Directory („AD”), care a eliminat în mare măsură conceptul de PDC și BDC în favoarea replicării multi-master . Cu toate acestea, există încă mai multe roluri pe care un singur controler de domeniu le poate îndeplini, numite roluri de operare unică comandă flexibile . Unele dintre aceste roluri trebuie să fie ocupate cu un curent continuu pe domeniu, în timp ce altele necesită doar un curent continuu pentru fiecare pădure AD . Dacă serverul care îndeplinește unul dintre aceste roluri este pierdut, domeniul poate funcționa în continuare, iar dacă serverul nu va mai fi disponibil din nou, un administrator poate desemna un DC alternativ pentru a-și asuma rolul într-un proces cunoscut sub numele de „sechestrare” a rolului.
Controler de domeniu primar
În Windows NT 4, un curent continuu servește ca controler de domeniu principal (PDC). Alții, dacă există, sunt de regulă un controler de domeniu de rezervă (BDC). PDC este de obicei desemnat drept „primul”. „Managerul de utilizator pentru domenii” este un utilitar pentru menținerea informațiilor utilizator / grup. Folosește baza de date de securitate a domeniului de pe controlerul primar. PDC are copia principală a bazei de date a conturilor de utilizator pe care o poate accesa și modifica. Calculatoarele BDC au o copie a acestei baze de date, dar aceste copii sunt numai în citire. PDC își va replica baza de date a contului la BDC-uri în mod regulat. BDC-urile există pentru a oferi o copie de rezervă la PDC și pot fi, de asemenea, utilizate pentru autentificarea utilizatorilor care se conectează la rețea. Dacă un PDC ar trebui să eșueze, unul dintre BDC-urile poate fi promovat pentru a-și ocupa locul. PDC va fi de obicei primul controlor de domeniu care a fost creat decât dacă a fost înlocuit cu un BDC promovat.
Emulație PDC (Controller de Domeniu Primar)
În versiunile moderne de Windows, domeniile au fost completate prin utilizarea serviciilor Active Directory . În domeniile Active Directory, conceptul de relații de control al domeniului principal și secundar nu se mai aplică. Emulatorii PDC dețin bazele de date și instrumentele administrative ale conturilor. Drept urmare, o sarcină grea de muncă poate încetini sistemul. Serviciul DNS poate fi instalat pe un aparat emulator secundar pentru a scuti volumul de muncă pe emulatorul PDC. Aceleași reguli se aplică; poate exista un singur PDC pe un domeniu, dar mai pot fi utilizate mai multe servere de replicare.
- Masterul emulatorului PDC acționează în locul PDC dacă există controloare de domeniu (BDC) Windows NT 4.0 care rămân în domeniu, acționând ca o sursă pentru a le reproduce.
- Masterul emulatorului PDC primește replicarea preferențială a modificărilor de parolă din domeniu. Deoarece modificările de parolă au nevoie de timp pentru a reproduce toate controlerele de domeniu dintr-un domeniu Active Directory, masterul emulator PDC primește imediat notificarea modificărilor de parolă, iar dacă o încercare de autentificare eșuează la un alt controler de domeniu, controlorul de domeniu va transmite cererea de conectare către Stăpânul emulatorului PDC înainte de a-l respinge.
- Masterul emulatorului PDC servește, de asemenea, ca mașina la care toți controlorii de domeniu din domeniu își vor sincroniza ceasurile. La rândul său, ar trebui configurat pentru a se sincroniza cu o sursă de timp externă NTP .
Samba
PDC a fost recreat fidel pe emulația Samba a sistemului client / server SMB Microsoft . Samba are capacitatea de a imita un domeniu NT 4.0, precum și serviciile moderne de domeniu Active Directory pe o mașină Linux .
Controler de domeniu de rezervă
În domeniile Windows NT 4, controlerul de domeniu de rezervă (BDC) este un computer care are o copie a bazei de date a conturilor de utilizator. Spre deosebire de baza de date de conturi de pe PDC, baza de date BDC este o copie numai în citire. Când se fac modificări în baza de date a conturilor principale de pe PDC, PDC împinge actualizările către BDC. Aceste controlere de domeniu suplimentare există pentru a oferi toleranță la erori. Dacă PDC eșuează, atunci poate fi înlocuit cu un BDC. În astfel de circumstanțe, un administrator promovează un BDC pentru a fi noul PDC. BDC-urile pot, de asemenea, autentifica cererile de conectare a utilizatorului și preia o parte din încărcarea de autentificare de la PDC.
Când a fost lansat Windows 2000 , domeniul NT, așa cum se găsește în NT 4 și versiunile anterioare, a fost înlocuit cu Active Directory . În domeniile Active Directory care rulează în modul autohton, conceptul de PDC și BDC nu există. În aceste domenii, toți controlorii de domeniu sunt considerați egali. Un efect secundar al acestei modificări este pierderea capacității de a crea un controlor de domeniu „numai în citire”. Windows Server 2008 a reintrodus această capacitate.
Nomenclatură
Windows Server poate fi de trei tipuri: "controlere de domeniu" Active Directory (cele care furnizează identitate și autentificare), "serverele membre" Active Directory (cele care furnizează servicii gratuite, cum ar fi depozite de fișiere și schemă) și Windows Workgroup "independent" servere“. Termenul "Active Directory Server" este uneori folosit de Microsoft ca sinonim pentru "Domain Controller", dar termenul este descurajat.
