Из Википедии, бесплатной энциклопедии
  (Перенаправлено с контроллера домена )
Перейти к навигации Перейти к поиску

На Серверы Microsoft , контроллер домена ( DC ) представляет собой компьютер - сервер [1] [2] , что отвечает на запросы аутентификации безопасности (вход и т.д.) в пределах домена Windows . [3] [4] домен является понятие , введенное в Windows NT , посредством которого пользователь может быть предоставлен доступ к ряду ресурсов компьютера с использованием одного имени пользователя и пароля комбинации.

История [ править ]

В Windows NT 4 Server один контроллер домена на домен был настроен как основной контроллер домена (PDC); все остальные контроллеры домена были резервными контроллерами домена (BDC).

Из-за критического характера PDC, передовая практика диктовала, что PDC должен быть выделен исключительно для доменных служб и не использоваться для файловых служб, служб печати или приложений, которые могут замедлить работу или привести к сбою системы. Некоторые сетевые администраторы предприняли дополнительный шаг, включив выделенный BDC в оперативный режим, чтобы быть доступным для продвижения в случае отказа PDC.

BDC может аутентифицировать пользователей в домене, но все обновления в домене (новые пользователи, измененные пароли, членство в группах и т. Д.) Могут быть сделаны только через PDC, который затем распространит эти изменения на все BDC в домене. Если PDC был недоступен (или не мог связаться с пользователем, запрашивающим изменение), обновление завершится ошибкой. Если PDC был постоянно недоступен (например, если машина вышла из строя), существующий BDC может быть повышен до PDC.

Windows 2000 и более поздние версии представили Active Directory («AD»), который в значительной степени устранил концепцию PDC и BDC в пользу репликации с несколькими мастерами . Однако по-прежнему существует несколько ролей, которые может выполнять только один контроллер домена, которые называются ролями гибких операций с одним главным хозяином . Некоторые из этих ролей должны быть заполнены одним контроллером домена на домен, в то время как для других требуется только один контроллер домена на лес AD . Если сервер, выполняющий одну из этих ролей, утерян, домен все еще может функционировать, и если сервер снова не будет доступен, администратор может назначить альтернативный DC, который возьмет на себя роль в процессе, известном как «захват» роли.

Основной контроллер домена [ править ]

В Windows NT 4 один контроллер домена служит основным контроллером домена (PDC). Другие, если они существуют, обычно являются резервным контроллером домена (BDC). PDC обычно обозначается как «первый». [5] «Диспетчер пользователей для доменов» - это утилита для хранения информации о пользователях / группах. Он использует базу данных безопасности домена на первичном контроллере. У PDC есть главная копия базы данных учетных записей пользователей, к которой он может получить доступ и изменить. На компьютерах BDC есть копия этой базы данных, но эти копии доступны только для чтения. PDC будет регулярно реплицировать свою базу данных учетных записей на BDC. [6] BDC существуют для обеспечения резервного копирования PDC, а также могут использоваться для аутентификации пользователей, входящих в сеть. Если PDC выйдет из строя, один из BDC может быть назначен на его место. PDC обычно будет первым контроллером домена, который был создан, если он не был заменен повышенным BDC.

Эмуляция PDC (основной контроллер домена) [ править ]

В современных выпусках Windows домены были дополнены использованием служб Active Directory . В доменах Active Directory концепция отношений между первичным и вторичным контроллерами домена больше не применяется. Эмуляторы PDC содержат базы данных учетных записей и инструменты администрирования. В результате большая рабочая нагрузка может замедлить работу системы. Служба DNS может быть установлена ​​на компьютере вторичного эмулятора, чтобы уменьшить нагрузку на эмулятор PDC. Применяются те же правила; в домене может существовать только один PDC, но можно использовать несколько серверов репликации. [7]

  • Главный эмулятор PDC действует вместо PDC, если в домене остаются контроллеры домена Windows NT 4.0 (BDC), выступая в качестве источника для их репликации.
  • Главный эмулятор PDC получает преимущественную репликацию изменений пароля в домене. Поскольку изменение пароля требует времени для репликации на всех контроллерах домена в домене Active Directory, мастер-эмулятор PDC немедленно получает уведомление об изменении пароля, и если попытка входа в систему не удалась на другом контроллере домена, этот контроллер домена перенаправит запрос входа в систему. Мастер эмулятора PDC, прежде чем отклонить его.
  • Мастер эмулятора PDC также служит машиной, с которой все контроллеры домена в домене будут синхронизировать свои часы. Он, в свою очередь, должен быть настроен на синхронизацию с внешним источником времени NTP . [8]

Самба [ править ]

Первичные контроллеры домена (PDC) были полностью воссозданы на основе эмуляции Samba клиент-серверной системы SMB от Microsoft . Samba может имитировать домен NT 4.0, а также современные доменные службы Active Directory [9] на Linux- машине. [10]

Резервный контроллер домена [ править ]

В доменах Windows NT 4 резервный контроллер домена (BDC) - это компьютер, на котором есть копия базы данных учетных записей пользователей. В отличие от базы данных учетных записей на PDC, база данных BDC является копией только для чтения. Когда в базу данных основных учетных записей на PDC вносятся изменения, PDC отправляет обновления на BDC. Эти дополнительные контроллеры домена существуют для обеспечения отказоустойчивости. Если PDC выходит из строя, его можно заменить на BDC. В таких обстоятельствах администратор продвигает BDC в качестве нового PDC. BDC также могут аутентифицировать запросы пользователей на вход в систему и брать на себя часть аутентификационной нагрузки с PDC.

Когда была выпущена Windows 2000 , домен NT, который использовался в NT 4 и предыдущих версиях, был заменен Active Directory . В доменах Active Directory, работающих в основном режиме, концепции PDC и BDC не существуют. В этих доменах все контроллеры домена считаются равными. Побочным эффектом этого изменения является потеря возможности создания контроллера домена «только для чтения». Windows Server 2008 повторно представила эту возможность.

Номенклатура [ править ]

Windows Server может быть одного из трех типов: «контроллеры домена» Active Directory (те, которые обеспечивают идентификацию и проверку подлинности), «рядовые серверы» Active Directory (те, которые предоставляют дополнительные услуги, такие как репозитории файлов и схемы) и автономная рабочая группа Windows. серверы ». [11] Термин «Сервер Active Directory» иногда используется Microsoft как синоним «Контроллер домена» [12] [13] [14] [15] [16], но этот термин не приветствуется. [17]

Ссылки [ править ]

  1. ^ «Роли контроллера домена» . Microsoft TechNet или контроллер домена (DC) - это сервер, который отвечает на запросы проверки подлинности безопасности в домене Windows Server. Это сервер в сети Microsoft Windows или Windows NT, который отвечает за предоставление хосту доступа к ресурсам домена Windows. Контроллер домена - это центральный элемент службы Windows Active Directory. Он аутентифицирует пользователей, хранит информацию об учетных записях пользователей и применяет политику безопасности для домена Windows . Проверено 4 декабря 2009 года .
  2. ^ «Роли контроллера домена» . Технический справочник по Windows Server 2003 . Microsoft TechNet. 2010-06-03 . Проверено 21 ноября 2012 . Контроллер домена - это сервер, на котором работает версия операционной системы Windows Server® и на котором установлены доменные службы Active Directory®.
  3. ^ «Что такое контроллер домена? - Определение из Техопедии» . Techopedia.com . Проверено 16 ноября 2016 .
  4. ^ "Ответ: что такое контроллер домена и для чего он нужен?" . scientificera.com . Проверено 16 ноября 2016 .
  5. ^ «Роли контроллера домена» . Microsoft Tech нетто 3 июня 2010 . Проверено 13 февраля 2011 года .
  6. ^ «Одноранговая репликация транзакций» . Microsoft Technet - дата не разглашается . Проверено 13 февраля 2011 года .
  7. ^ «Снижение нагрузки на главный эмулятор PDC» . Microsoft Technet 9 января 2009 . Проверено 13 февраля 2011 года .
  8. ^ «Настроить источник времени для леса» . Microsoft Technet 9 января 2009 . Проверено 13 февраля 2011 года .
  9. ^ «Настройка Samba в качестве контроллера домена Active Directory - SambaWiki» . wiki.samba.org . Проверено 20 апреля 2018 .
  10. ^ «Диспетчер серверов показывает PDC и BDC как рабочие станции с Samba Linux Server в сети» . Microsoft Technet 1 ноября 2006 . Проверено 13 февраля 2011 года .
  11. ^ «Планирование контроллеров домена и рядовых серверов» . Справка по продукту Windows Server 2003 . Microsoft TechNet. 2005-01-21 . Проверено 21 ноября 2012 . [...] серверы в домене могут иметь одну из двух ролей: контроллеры домена, которые содержат совпадающие копии учетных записей пользователей и других данных Active Directory в данном домене, и рядовые серверы, которые принадлежат домену, но не содержат копия данных Active Directory. (Сервер, который принадлежит рабочей группе, а не домену, называется автономным сервером.)
  12. ^ «Планирование мощности для доменных служб Active Directory» . Microsoft TechNet. 2012-10-12. Архивировано из оригинала на 2012-11-29 . Проверено 21 ноября 2012 . Оценка оперативной памяти сервера Active Directory [...] Оценка объема оперативной памяти, необходимой контроллеру домена (DC), на самом деле является довольно сложной задачей.
  13. ^ «Q324753: Как создать сервер Active Directory в Windows Server 2003» . Служба поддержки Microsoft. 2011-09-11 . Проверено 21 ноября 2012 . Как создать сервер Active Directory в Windows Server 2003 [...] Чтобы превратить компьютер Windows Server 2003 в первый контроллер домена в лесу, выполните следующие действия [...]
  14. ^ «Q302914: Как Outlook 2000 получает доступ к Active Directory» . Служба поддержки Microsoft. 2007-02-27 . Проверено 21 ноября 2012 . [...] вы должны перезапустить Outlook, если этот конкретный сервер Active Directory перестает отвечать.
  15. ^ «Q253841: XADM: Устранение проблем репликации соединителя Active Directory» . Служба поддержки Microsoft. 2007-02-27 . Проверено 21 ноября 2012 . Настроено ли соглашение о подключении компьютера с сервером Exchange к серверу Active Directory?
  16. ^ «Q825916: Соединитель Exchange 2000 Active Directory не может успешно реплицировать изменения членства в группах в Windows Server 2003 Active Directory на функциональных уровнях леса 1 или 2» . Служба поддержки Microsoft. 2006-10-27 . Проверено 21 ноября 2012 . [...] изменения не реплицируются между сервером Windows Server 2003 Active Directory (в лесном функциональном уровне 1 или в лесном функциональном уровне 2) и компьютером Microsoft Exchange Server 5.5 [...]
  17. ^ Комментарий официально отмечен как «ответ» модератором форума «Arthur_Li», работающим в Microsoft. Хорхе Медерос (11.10.2010). «Сервер AD против контроллера домена против рядового сервера и др.» . Форумы Microsoft TechNet . Архивировано из оригинала на 2013-01-03 . Проверено 21 ноября 2012 . [...] термин «серверы AD» - это не фраза, которую вы найдете в каких-либо технических книгах, и я сам не слышал, чтобы этот термин использовался в отрасли.

Внешние ссылки [ править ]

  • Как контроллеры домена расположены в Windows
  • Предварительно интегрированный контроллер домена с открытым исходным кодом