Domänkontrollant (Windows)
På Microsoft-servrar är en domänkontrollant ( DC ) en serverdator som svarar på förfrågningar om säkerhetsautentisering (inloggning, etc.) inom en Windows-domän . En domän är ett koncept som introducerats i Windows NT där en användare kan ges tillgång till ett antal datorresurser med användning av ett enda användarnamn och lösenord.
Historia
Med Windows NT 4 Server konfigurerades en domänkontrollant per domän som primär domänkontrollant (PDC); alla andra domänkontrollanter var backup-domänkontrollanter (BDC).
På grund av PDC:s kritiska karaktär föreskrev bästa praxis att PDC enbart skulle vara dedikerad till domäntjänster och inte användas för fil-, utskrifts- eller applikationstjänster som kan sakta ner eller krascha systemet. Vissa nätverksadministratörer tog det ytterligare steget att ha en dedikerad BDC online i det uttryckliga syftet att vara tillgänglig för marknadsföring om PDC misslyckades.
En BDC kunde autentisera användarna i en domän, men alla uppdateringar av domänen (nya användare, ändrade lösenord, gruppmedlemskap etc.) kunde bara göras via PDC, som sedan skulle sprida dessa ändringar till alla BDC:er i domänen. Om PDC:n inte var tillgänglig (eller inte kunde kommunicera med användaren som begärde ändringen) skulle uppdateringen misslyckas. Om PDC var permanent otillgänglig (t.ex. om maskinen misslyckades), kan en befintlig BDC befordras till en PDC.
Windows 2000 och senare versioner introducerade Active Directory ("AD"), som till stor del eliminerade konceptet PDC och BDC till förmån för multi-master replikering . Det finns dock fortfarande flera roller som bara en domänkontrollant kan utföra, kallade Flexible single master operation roller. Vissa av dessa roller måste fyllas med en DC per domän, medan andra bara kräver en DC per AD-skog . Om servern som utför en av dessa roller går förlorad kan domänen fortfarande fungera, och om servern inte kommer att vara tillgänglig igen kan en administratör utse en alternativ DC för att ta på sig rollen i en process som kallas "beslagta" rollen.
Primär domänkontrollant
I Windows NT 4 fungerar en DC som primär domänkontrollant (PDC). Andra, om de finns, är vanligtvis en backup-domänkontrollant (BDC). PDC betecknas vanligtvis som den "första". "Användarhanteraren för domäner" är ett verktyg för att underhålla användar-/gruppinformation. Den använder domänsäkerhetsdatabasen på den primära kontrollern. PDC har huvudkopian av användarkontodatabasen som den kan komma åt och ändra. BDC-datorerna har en kopia av denna databas, men dessa kopior är skrivskyddade. PDC kommer att replikera sin kontodatabas till BDCs regelbundet. BDC:erna finns för att ge en säkerhetskopia till PDC:n och kan också användas för att autentisera användare som loggar in på nätverket. Om en PDC skulle misslyckas kan en av BDC:erna befordras att ta dess plats. PDC kommer vanligtvis att vara den första domänkontrollanten som skapades om den inte ersattes av en främjad BDC.
PDC-emulering (Primary Domain Controller)
I moderna versioner av Windows har domäner kompletterats med användning av Active Directory -tjänster. I Active Directory-domäner gäller inte längre konceptet med primära och sekundära domänkontrollanter. PDC-emulatorer håller kontodatabaserna och administrativa verktyg. Som ett resultat kan en stor arbetsbelastning sakta ner systemet. DNS-tjänsten kan installeras på en sekundär emulatordator för att avlasta PDC-emulatorn. Samma regler gäller; endast en PDC kan finnas på en domän, men flera replikeringsservrar kan fortfarande användas.
- PDC-emulatormastern agerar i stället för PDC om det finns Windows NT 4.0- domänkontrollanter (BDC) kvar inom domänen och fungerar som en källa för dem att replikera från.
- PDC-emulatormastern tar emot preferensreplikering av lösenordsändringar inom domänen. Eftersom lösenordsändringar tar tid att replikera över alla domänkontrollanter i en Active Directory-domän, får PDC-emulatorns master ett meddelande om lösenordsändringar omedelbart, och om ett inloggningsförsök misslyckas på en annan domänkontrollant kommer den domänkontrollanten att vidarebefordra inloggningsförfrågan till PDC emulator master innan du avvisar den.
- PDC-emulatormastern fungerar också som maskinen till vilken alla domänkontrollanter i domänen kommer att synkronisera sina klockor. Den bör i sin tur konfigureras för att synkronisera med en extern NTP- tidskälla.
Samba
Primära domänkontrollanter (PDC) har troget återskapats på Samba -emuleringen av Microsofts SMB- klient/serversystem. Samba har förmågan att emulera en NT 4.0-domän, såväl som moderna Active Directory Domain Services på en Linux- maskin.
Backup domänkontrollant
I Windows NT 4-domäner är backup-domänkontrollanten (BDC) en dator som har en kopia av användarkontodatabasen. Till skillnad från kontodatabasen på PDC är BDC-databasen en skrivskyddad kopia. När ändringar görs i huvudkontodatabasen på PDC:n trycker PDC:en ner uppdateringarna till BDC:erna. Dessa ytterligare domänkontrollanter finns för att ge feltolerans. Om PDC misslyckas kan den ersättas med en BDC. Under sådana omständigheter uppmuntrar en administratör en BDC att bli den nya PDC. BDC:er kan också autentisera användarinloggningsförfrågningar och ta en del av autentiseringsbelastningen från PDC:n.
När Windows 2000 släpptes ersattes NT-domänen som finns i NT 4 och tidigare versioner av Active Directory . I Active Directory-domäner som körs i inbyggt läge existerar inte konceptet PDC och BDC. I dessa domäner anses alla domänkontrollanter vara lika. En bieffekt av denna förändring är förlusten av förmågan att skapa en "skrivskyddad" domänkontrollant. Windows Server 2008 återinförde denna funktion.
Nomenklatur
Windows Server kan vara en av tre typer: Active Directory "domänkontrollanter" (de som tillhandahåller identitet och autentisering), Active Directory "medlemsservrar" (de som tillhandahåller kompletterande tjänster som filarkiv och schema) och Windows Workgroup " fristående servrar". Termen "Active Directory Server" används ibland av Microsoft som synonymt med "Domain Controller", men termen avskräcks.