Контроллер домена (Windows) - Domain controller (Windows)

На Серверы Microsoft, а контроллер домена (ОКРУГ КОЛУМБИЯ) это серверный компьютер[1][2] который отвечает на запросы аутентификации безопасности (вход в систему и т. д.) в пределах Домен Windows.[3][4] А домен это концепция, представленная в Windows NT посредством чего пользователю может быть предоставлен доступ к ряду компьютерных ресурсов с использованием единой комбинации имени пользователя и пароля.

История

С Сервер Windows NT 4, один контроллер домена на домен был настроен как основной контроллер домена (PDC); все остальные контроллеры домена были резервными контроллерами домена (BDC).

Из-за критического характера PDC, передовой опыт диктовал, что PDC должен быть выделен исключительно для доменных служб и не использоваться для файловых служб, служб печати или приложений, которые могут замедлить работу или привести к сбою системы. Некоторые сетевые администраторы предприняли дополнительный шаг, включив выделенный BDC в оперативный режим, чтобы быть доступным для продвижения в случае сбоя PDC.

BDC может аутентифицировать пользователей в домене, но все обновления в домене (новые пользователи, измененные пароли, членство в группах и т. Д.) Могут быть сделаны только через PDC, который затем распространит эти изменения на все BDC в домене. Если PDC был недоступен (или не мог связаться с пользователем, запрашивающим изменение), обновление завершится ошибкой. Если PDC был постоянно недоступен (например, если машина вышла из строя), существующий BDC может быть повышен до PDC.

Windows 2000 и более поздние версии представлены Active Directory («AD»), что в значительной степени устранило концепцию PDC и BDC в пользу репликация с несколькими мастерами. Однако есть еще несколько ролей, которые может выполнять только один контроллер домена, которые называются Гибкая работа с одним мастером роли. Некоторые из этих ролей должны быть заполнены одним контроллером домена на домен, в то время как другие требуют только одного контроллера домена на каждый. AD лес. Если сервер, выполняющий одну из этих ролей, потерян, домен все еще может функционировать, и если сервер снова не будет доступен, администратор может назначить альтернативный DC, который возьмет на себя роль в процессе, известном как «захват» роли.

Основной контроллер домена

В Windows NT 4 один контроллер домена служит основным контроллером домена (PDC). Другие, если они существуют, обычно являются резервным контроллером домена (BDC). PDC обычно обозначается как «первый».[5] «Менеджер пользователей для доменов» - это утилита для хранения информации о пользователях / группах. Он использует базу данных безопасности домена на первичном контроллере. У PDC есть главная копия базы данных учетных записей пользователей, к которой он может обращаться и изменять. На компьютерах BDC есть копия этой базы данных, но эти копии доступны только для чтения. PDC будет регулярно реплицировать свою базу данных учетных записей на BDC.[6] BDC существуют для обеспечения резервной копии PDC, а также могут использоваться для аутентификации пользователей, входящих в сеть. В случае отказа PDC один из BDC может быть назначен на его место. PDC обычно будет первым контроллером домена, который был создан, если он не был заменен повышенным BDC.

Эмуляция PDC (основной контроллер домена)

В современных выпусках Windows домены были дополнены использованием Active Directory Сервисы. В доменах Active Directory концепция отношений между первичным и вторичным контроллерами домена больше не применяется. Эмуляторы PDC содержат базы данных учетных записей и инструменты администрирования. В результате большая рабочая нагрузка может замедлить работу системы. Службу DNS можно установить на вторичном компьютере-эмуляторе, чтобы уменьшить нагрузку на эмулятор PDC. Применяются те же правила; в домене может существовать только один основной контроллер домена, но по-прежнему можно использовать несколько серверов репликации.[7]

  • Мастер эмулятора PDC действует вместо PDC, если есть Windows NT 4.0 контроллеры домена (BDC), оставшиеся в домене, выступающие в качестве источника для их репликации.
  • Мастер-эмулятор PDC получает преимущественную репликацию изменений пароля в домене. Поскольку изменение пароля требует времени для репликации на всех контроллерах домена в домене Active Directory, главный эмулятор PDC получает уведомление об изменении пароля немедленно, и если попытка входа в систему не удалась на другом контроллере домена, этот контроллер домена перешлет запрос входа в систему Мастер эмулятора PDC, прежде чем отклонить его.
  • Мастер эмулятора PDC также служит машиной, с которой все контроллеры домена в домене будут синхронизировать свои часы. Он, в свою очередь, должен быть настроен на синхронизацию с внешним NTP источник времени.[8]

Самба

Первичные контроллеры домена (PDC) были точно воссозданы на Самба эмуляция Microsoft SMB клиент-серверная система. Самба имеет возможность эмулировать домен NT 4.0, а также современные доменные службы Active Directory.[9] на Linux машина.[10]

Резервный контроллер домена

В доменах Windows NT 4 резервный контроллер домена (BDC) - это компьютер, на котором есть копия базы данных учетных записей пользователей. В отличие от базы данных учетных записей на PDC, база данных BDC является копией только для чтения. Когда в базу данных основных учетных записей на PDC вносятся изменения, PDC отправляет обновления на BDC. Эти дополнительные контроллеры домена существуют для обеспечения отказоустойчивости. Если PDC выходит из строя, его можно заменить на BDC. В таких обстоятельствах администратор продвигает BDC в качестве нового PDC. BDC также могут аутентифицировать запросы пользователей на вход в систему и брать на себя часть аутентификационной нагрузки с PDC.

Когда Windows 2000 был выпущен, домен NT, найденный в NT 4 и предыдущих версиях, был заменен на Active Directory. В доменах Active Directory, работающих в основном режиме, концепции PDC и BDC не существуют. В этих доменах все контроллеры домена считаются равными. Побочным эффектом этого изменения является потеря возможности создания контроллера домена «только для чтения». Windows Server 2008 повторно представил эту возможность.

Номенклатура

Windows Server может быть одного из трех типов: «контроллеры домена» Active Directory (те, которые обеспечивают идентификацию и аутентификацию), «рядовые серверы» Active Directory (те, которые предоставляют дополнительные услуги, такие как репозитории файлов и схемы) и Рабочая группа Windows «автономные серверы».[11] Термин «сервер Active Directory» иногда используется Microsoft как синоним «Контроллер домена».[12][13][14][15][16] но термин не рекомендуется.[17]

Рекомендации

  1. ^ «Роли контроллера домена». Microsoft TechNet или контроллер домена (DC) - это сервер, который отвечает на запросы проверки подлинности безопасности в домене Windows Server. Это сервер в сети Microsoft Windows или Windows NT, который отвечает за предоставление хосту доступа к ресурсам домена Windows. Контроллер домена - это центральный элемент службы Windows Active Directory. Он аутентифицирует пользователей, хранит информацию об учетных записях пользователей и применяет политику безопасности для домена Windows.. Получено 4 декабря, 2009.
  2. ^ «Роли контроллера домена». Технический справочник по Windows Server 2003. Microsoft TechNet. 2010-06-03. Получено 2012-11-21. Контроллер домена - это сервер, на котором работает версия операционной системы Windows Server® и на котором установлены доменные службы Active Directory®.
  3. ^ «Что такое контроллер домена? - Определение из Техопедии». Techopedia.com. Получено 2016-11-16.
  4. ^ «Отвечая: что такое контроллер домена и для чего он нужен?». scientificera.com. Получено 2016-11-16.
  5. ^ «Роли контроллера домена». Microsoft Tech net 3 июня 2010 г.. Получено 13 февраля 2011.
  6. ^ «Одноранговая репликация транзакций». Microsoft Technet - дата не разглашается. Получено 13 февраля 2011.
  7. ^ «Снижение нагрузки на главный эмулятор PDC». Microsoft Technet 9 января 2009 г.. Получено 13 февраля 2011.
  8. ^ «Настроить источник времени для леса». Microsoft Technet 9 января 2009 г.. Получено 13 февраля 2011.
  9. ^ «Настройка Samba в качестве контроллера домена Active Directory - SambaWiki». wiki.samba.org. Получено 2018-04-20.
  10. ^ «Диспетчер серверов показывает PDC и BDC как рабочие станции с Samba Linux Server в сети». Microsoft Technet 1 ноября 2006 г.. Получено 13 февраля 2011.
  11. ^ «Планирование контроллеров домена и рядовых серверов». Справка по продукту Windows Server 2003. Microsoft TechNet. 2005-01-21. Получено 2012-11-21. [...] серверы в домене могут иметь одну из двух ролей: контроллеры домена, которые содержат совпадающие копии учетных записей пользователей и других данных Active Directory в данном домене, и рядовые серверы, которые принадлежат домену, но не содержат копия данных Active Directory. (Сервер, который принадлежит рабочей группе, а не домену, называется автономным сервером.)
  12. ^ «Планирование емкости для доменных служб Active Directory». Microsoft TechNet. 2012-10-12. Архивировано из оригинал на 2012-11-29. Получено 2012-11-21. Оценка оперативной памяти сервера Active Directory [...] Оценка объема оперативной памяти, необходимой контроллеру домена (DC), на самом деле является довольно сложной задачей.
  13. ^ «Q324753: Как создать сервер Active Directory в Windows Server 2003». Служба поддержки Microsoft. 2011-09-11. Получено 2012-11-21. Как создать сервер Active Directory в Windows Server 2003 [...] Чтобы преобразовать компьютер Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия [...]
  14. ^ «Q302914: Как Outlook 2000 получает доступ к Active Directory». Служба поддержки Microsoft. 2007-02-27. Получено 2012-11-21. [...] вы должны перезапустить Outlook, если этот конкретный сервер Active Directory перестает отвечать.
  15. ^ «Q253841: XADM: Устранение неполадок репликации соединителя Active Directory». Служба поддержки Microsoft. 2007-02-27. Получено 2012-11-21. Настроено ли соглашение о подключении для компьютера с сервером Exchange и сервера Active Directory?
  16. ^ «Q825916: Соединитель Exchange 2000 Active Directory не может успешно реплицировать изменения членства в группах в Windows Server 2003 Active Directory на функциональных уровнях леса 1 или 2». Служба поддержки Microsoft. 2006-10-27. Получено 2012-11-21. [...] изменения не реплицируются между сервером Windows Server 2003 Active Directory (на функциональном уровне 1 леса или 2 функциональном уровне леса) и компьютером Microsoft Exchange Server 5.5 [...]
  17. ^ Комментарий официально отмечен как "ответ" модератором форума "Arthur_Li", работающим в Microsoft. Хорхе Медерос (11.10.2010). «Сервер AD против контроллера домена против рядового сервера и др.». Форумы Microsoft TechNet. Архивировано из оригинал на 2013-01-03. Получено 2012-11-21. [...] термин «серверы AD» - это не фраза, которую вы найдете ни в одной из технических книг, и я сам не слышал, чтобы этот термин использовался в отрасли.

внешняя ссылка