Контроллер домена (Windows)

На серверах Microsoft контроллер домена ( DC ) — это серверный компьютер. ^[1]^[2] который отвечает на запросы аутентификации безопасности (вход в систему и т. д.) в домене Windows . ^[3]^[4] Домен Windows — это концепция, представленная в NT , согласно которой пользователю может быть предоставлен доступ к ряду ресурсов компьютера с использованием одной комбинации имени пользователя и пароля.

История

Поскольку один контроллер домена на домен был настроен в качестве основного контроллера домена, все остальные контроллеры домена были резервными контроллерами домена.

Из-за критического характера PDC лучшие практики предписывали, чтобы PDC был предназначен исключительно для служб домена и не использовался для файловых служб, служб печати или приложений, которые могли замедлить работу или привести к сбою системы. Некоторые сетевые администраторы предприняли дополнительный шаг, разместив выделенный BDC в сети специально для того, чтобы быть доступным для повышения в случае сбоя PDC.

BDC может аутентифицировать пользователей в домене, но все обновления домена могут выполняться только через PDC, который затем распространяет эти изменения на все BDC в домене. Если PDC был недоступен, обновление завершится неудачей. Если PDC был постоянно недоступен, существующий BDC можно было повысить до уровня, а в более поздних версиях появилась Active Directory («AD»), что в значительной степени устранило концепцию PDC и BDC в пользу репликации с несколькими хозяевами . Однако все еще существует несколько ролей, которые может выполнять только один контроллер домена, которые называются ролью гибкой операции с одним главным хозяином . Некоторые из этих ролей должны выполняться одним контроллером домена на каждый домен, в то время как для других требуется только один контроллер домена на каждый лес AD . Если сервер, выполняющий одну из этих ролей, потерян, домен все равно может функционировать, а если сервер снова не будет доступен, администратор может назначить альтернативный контроллер домена, который возьмет на себя эту роль в процессе, известном как «захват» роли.

Основной контроллер домена

В Windows NT 4 один контроллер домена служит основным контроллером домена (PDC). Другие, если они существуют, обычно представляют собой резервный контроллер домена (BDC). PDC обычно обозначается как «первый». ^[5] «Менеджер пользователей для доменов» — это утилита для хранения информации о пользователях/группах. Он использует базу данных безопасности домена на основном контроллере. У основного контроллера домена есть основная копия базы данных учетных записей пользователей, к которой он может обращаться и изменять. На компьютерах BDC есть копия этой базы данных, но эти копии доступны только для чтения. PDC будет регулярно реплицировать свою базу данных учетных записей на BDC. ^[6] BDC существуют для обеспечения резервного копирования PDC, а также могут использоваться для аутентификации пользователей, входящих в сеть. В случае сбоя PDC его место можно повысить на один из BDC. PDC обычно будет первым созданным контроллером домена, если только он не будет заменен повышенным BDC.

Эмуляция PDC (основной контроллер домена)

В современных версиях Windows домены дополнены использованием служб Active Directory . В доменах Active Directory концепция взаимоотношений основного и дополнительного контроллеров домена больше не применяется. Эмуляторы PDC содержат базы данных учетных записей и инструменты администрирования. В результате большая рабочая нагрузка может замедлить работу системы. Службу DNS можно установить на дополнительном компьютере с эмулятором, чтобы разгрузить эмулятор основного контроллера домена. Применяются те же правила; В домене может существовать только один PDC, но по-прежнему можно использовать несколько серверов репликации. ^[7]

Хозяин эмулятора PDC действует вместо PDC, если в домене остаются контроллеры домена Windows NT 4.0 (BDC), выступая в качестве источника для их репликации.
Хозяин эмулятора PDC получает преимущественную репликацию изменений пароля внутри домена. Поскольку для репликации изменений пароля на все контроллеры домена в домене Active Directory требуется время, хозяин эмулятора PDC немедленно получает уведомление об изменении пароля, и если попытка входа в систему на другом контроллере домена не удалась, этот контроллер домена перенаправит запрос на вход в систему Мастер эмулятора PDC, прежде чем отклонить его.
Главный эмулятор PDC также служит машиной, с которой все контроллеры домена в домене будут синхронизировать свои часы. Его, в свою очередь, следует настроить на синхронизацию с внешним источником времени NTP . ^[8]

Самба

Первичные контроллеры домена (PDC) были точно воссозданы на основе эмуляции Samba клиент-серверной системы Microsoft SMB . Samba имеет возможность эмулировать домен NT 4.0, а также современные доменные службы Active Directory. ^[9] на машине с Linux . ^[10]

Резервный контроллер домена

В доменах Windows NT 4 резервный контроллер домена (BDC) — это компьютер, на котором имеется копия базы данных учетных записей пользователей. В отличие от базы данных учетных записей на PDC, база данных BDC представляет собой копию, доступную только для чтения. Когда в базу данных основных учетных записей на PDC вносятся изменения, PDC передает обновления на BDC. Эти дополнительные контроллеры домена существуют для обеспечения отказоустойчивости. Если PDC выходит из строя, его можно заменить BDC. В таких обстоятельствах администратор назначает BDC новым PDC. BDC также могут аутентифицировать запросы на вход пользователей и брать на себя часть нагрузки по аутентификации от PDC.

Когда была выпущена Windows 2000 , домен NT, который использовался в NT 4 и предыдущих версиях, был заменен Active Directory . В доменах Active Directory, работающих в основном режиме, понятия PDC и BDC не существуют. В этих доменах все контроллеры домена считаются равными. Побочным эффектом этого изменения является потеря возможности создавать контроллер домена «только для чтения». Windows Server 2008 вновь представила эту возможность.

Номенклатура

Windows Server может быть одного из трех типов: «контроллеры домена» Active Directory (которые обеспечивают идентификацию и аутентификацию), «членские серверы» Active Directory (которые предоставляют дополнительные службы, такие как репозитории файлов и схемы) и рабочие группы Windows «автономные» . серверы». ^[11] Термин «Сервер Active Directory» иногда используется Microsoft как синоним «Контроллера домена». ^[12]^[13]^[14]^[15]^[16] но этот термин не рекомендуется. ^[17]

Ссылки

^ «Роли контроллера домена» . Microsoft TechNet или контроллер домена (DC) — это сервер, который отвечает на запросы проверки подлинности безопасности в домене Windows Server. Это сервер в сети Microsoft Windows или Windows NT, который отвечает за предоставление хосту доступа к ресурсам домена Windows. Контроллер домена является центральным элементом службы Windows Active Directory. Он аутентифицирует пользователей, сохраняет информацию об учетных записях пользователей и обеспечивает соблюдение политики безопасности для домена Windows . Проверено 4 декабря 2009 г.
^ «Роли контроллера домена» . Технический справочник по Windows Server 2003 . Microsoft TechNet. 3 июня 2010 г. Проверено 21 ноября 2012 г. Контроллер домена — это сервер, на котором установлена версия операционной системы Windows Server® и на котором установлены доменные службы Active Directory®.
^ «Что такое контроллер домена? — Определение из Techopedia» . Techopedia.com . Проверено 16 ноября 2016 г.
^ «Ответ: что такое контроллер домена и что он делает?» . сайт Scientificera.com . Проверено 16 ноября 2016 г.
^ «Роли контроллера домена» . Microsoft Tech Net, 3 июня 2010 г. Проверено 13 февраля 2011 г.
^ «Репликация одноранговых транзакций» . Microsoft Technet — дата не разглашается . Проверено 13 февраля 2011 г.
^ «Снижение рабочей нагрузки на мастер-эмулятор PDC» . Microsoft Technet, 9 января 2009 г. Проверено 13 февраля 2011 г.
^ «Настройка источника времени для леса» . Microsoft Technet, 9 января 2009 г. Проверено 13 февраля 2011 г.
^ «Настройка Samba в качестве контроллера домена Active Directory — SambaWiki» . wiki.samba.org . Проверено 20 апреля 2018 г.
^ «Диспетчер серверов показывает PDC и BDC как рабочие станции с сервером Samba Linux в сети» . Microsoft Technet, 1 ноября 2006 г. Проверено 13 февраля 2011 г.
^ «Планирование контроллеров домена и рядовых серверов» . Справка по продукту Windows Server 2003 . Microsoft TechNet. 21 января 2005 г. Проверено 21 ноября 2012 г. [...] серверы в домене могут иметь одну из двух ролей: контроллеры домена, которые содержат соответствующие копии учетных записей пользователей и других данных Active Directory в данном домене, и рядовые серверы, которые принадлежат домену, но не содержат копия данных Active Directory. (Сервер, принадлежащий рабочей группе, а не домену, называется автономным сервером.)
^ «Планирование мощности доменных служб Active Directory» . Microsoft TechNet. 12 октября 2012 г. Архивировано из оригинала 29 ноября 2012 г. Проверено 21 ноября 2012 г. Оценка оперативной памяти сервера Active Directory [...] Оценка объема оперативной памяти, необходимой контроллеру домена (DC), на самом деле является довольно сложным занятием.
^ «Q324753: Как создать сервер Active Directory в Windows Server 2003» . Поддержка Майкрософт. 11 сентября 2011 г. Проверено 21 ноября 2012 г. Как создать сервер Active Directory в Windows Server 2003 [...] Чтобы преобразовать компьютер с Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия [...]
^ «Q302914: Как Outlook 2000 получает доступ к Active Directory» . Поддержка Майкрософт. 27 февраля 2007 г. Проверено 21 ноября 2012 г. [...] вам необходимо перезапустить Outlook, если этот конкретный сервер Active Directory перестает отвечать.
^ «Q253841: XADM: Устранение проблем репликации соединителя Active Directory» . Поддержка Майкрософт. 27 февраля 2007 г. Проверено 21 ноября 2012 г. Настроено ли соглашение о подключении компьютера Exchange Server к серверу Active Directory?
^ «Q825916: Коннектор Active Directory Exchange 2000 не успешно реплицирует изменения членства в группах в Windows Server 2003 Active Directory в функциональных уровнях леса 1 или 2» . Поддержка Майкрософт. 27 октября 2006 г. Проверено 21 ноября 2012 г. [...] изменения не реплицируются между сервером Windows Server 2003 Active Directory (в лесу с функциональным уровнем 1 или в лесу с функциональным уровнем 2) и компьютером Microsoft Exchange Server 5.5 [...]
^ Комментарий официально помечен как «ответ» модератором форума «Arthur_Li», работающим в Microsoft. Хорхе Медерос (11 октября 2010 г.). «Сервер AD против контроллера домена против рядового сервера и др.» . Форумы Microsoft TechNet . Архивировано из оригинала 3 января 2013 г. Проверено 21 ноября 2012 г. [...] термин «Серверы AD» не встречается ни в одной технической книге, и я сам не слышал, чтобы этот термин использовался в отрасли.

Внешние ссылки

[DomainControllerRoles-1] «Роли контроллера домена» . Microsoft TechNet или контроллер домена (DC) — это сервер, который отвечает на запросы проверки подлинности безопасности в домене Windows Server. Это сервер в сети Microsoft Windows или Windows NT, который отвечает за предоставление хосту доступа к ресурсам домена Windows. Контроллер домена является центральным элементом службы Windows Active Directory. Он аутентифицирует пользователей, сохраняет информацию об учетных записях пользователей и обеспечивает соблюдение политики безопасности для домена Windows . Проверено 4 декабря 2009 г.

[2] «Роли контроллера домена» . Технический справочник по Windows Server 2003 . Microsoft TechNet. 3 июня 2010 г. Проверено 21 ноября 2012 г. Контроллер домена — это сервер, на котором установлена версия операционной системы Windows Server® и на котором установлены доменные службы Active Directory®.

[3] «Что такое контроллер домена? — Определение из Techopedia» . Techopedia.com . Проверено 16 ноября 2016 г.

[4] «Ответ: что такое контроллер домена и что он делает?» . сайт Scientificera.com . Проверено 16 ноября 2016 г.

[5] «Роли контроллера домена» . Microsoft Tech Net, 3 июня 2010 г. Проверено 13 февраля 2011 г.

[6] «Репликация одноранговых транзакций» . Microsoft Technet — дата не разглашается . Проверено 13 февраля 2011 г.

[7] «Снижение рабочей нагрузки на мастер-эмулятор PDC» . Microsoft Technet, 9 января 2009 г. Проверено 13 февраля 2011 г.

[8] «Настройка источника времени для леса» . Microsoft Technet, 9 января 2009 г. Проверено 13 февраля 2011 г.

[9] «Настройка Samba в качестве контроллера домена Active Directory — SambaWiki» . wiki.samba.org . Проверено 20 апреля 2018 г.

[10] «Диспетчер серверов показывает PDC и BDC как рабочие станции с сервером Samba Linux в сети» . Microsoft Technet, 1 ноября 2006 г. Проверено 13 февраля 2011 г.

[11] «Планирование контроллеров домена и рядовых серверов» . Справка по продукту Windows Server 2003 . Microsoft TechNet. 21 января 2005 г. Проверено 21 ноября 2012 г. [...] серверы в домене могут иметь одну из двух ролей: контроллеры домена, которые содержат соответствующие копии учетных записей пользователей и других данных Active Directory в данном домене, и рядовые серверы, которые принадлежат домену, но не содержат копия данных Active Directory. (Сервер, принадлежащий рабочей группе, а не домену, называется автономным сервером.)

[12] «Планирование мощности доменных служб Active Directory» . Microsoft TechNet. 12 октября 2012 г. Архивировано из оригинала 29 ноября 2012 г. Проверено 21 ноября 2012 г. Оценка оперативной памяти сервера Active Directory [...] Оценка объема оперативной памяти, необходимой контроллеру домена (DC), на самом деле является довольно сложным занятием.

[13] «Q324753: Как создать сервер Active Directory в Windows Server 2003» . Поддержка Майкрософт. 11 сентября 2011 г. Проверено 21 ноября 2012 г. Как создать сервер Active Directory в Windows Server 2003 [...] Чтобы преобразовать компьютер с Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия [...]

[14] «Q302914: Как Outlook 2000 получает доступ к Active Directory» . Поддержка Майкрософт. 27 февраля 2007 г. Проверено 21 ноября 2012 г. [...] вам необходимо перезапустить Outlook, если этот конкретный сервер Active Directory перестает отвечать.

[15] «Q253841: XADM: Устранение проблем репликации соединителя Active Directory» . Поддержка Майкрософт. 27 февраля 2007 г. Проверено 21 ноября 2012 г. Настроено ли соглашение о подключении компьютера Exchange Server к серверу Active Directory?

[16] «Q825916: Коннектор Active Directory Exchange 2000 не успешно реплицирует изменения членства в группах в Windows Server 2003 Active Directory в функциональных уровнях леса 1 или 2» . Поддержка Майкрософт. 27 октября 2006 г. Проверено 21 ноября 2012 г. [...] изменения не реплицируются между сервером Windows Server 2003 Active Directory (в лесу с функциональным уровнем 1 или в лесу с функциональным уровнем 2) и компьютером Microsoft Exchange Server 5.5 [...]

[17] Комментарий официально помечен как «ответ» модератором форума «Arthur_Li», работающим в Microsoft. Хорхе Медерос (11 октября 2010 г.). «Сервер AD против контроллера домена против рядового сервера и др.» . Форумы Microsoft TechNet . Архивировано из оригинала 3 января 2013 г. Проверено 21 ноября 2012 г. [...] термин «Серверы AD» не встречается ни в одной технической книге, и я сам не слышал, чтобы этот термин использовался в отрасли.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]