Zentrale Steuerung

Was ist ein Domain-Controller (DC)?

| Autor / Redakteur: Otto Geißler / Ulrike Ostler

Administratoren sprechen im Zusammenhang mit Berechtigungen und Zuweisung von Ressourcen von einer Domain oder einem Active Directory.
Administratoren sprechen im Zusammenhang mit Berechtigungen und Zuweisung von Ressourcen von einer Domain oder einem Active Directory. (Bild: © djama - stock.adob.com)

Ein Domain-Controller (englisch: Bereichssteuerung) ist ein Server zur zentralen Authentifizierung von Computern und Benutzern in einem Netzwerk. Hier wird zentral festgelegt, welche Benutzer sich mit welchem Passwort anmelden dürfen und zu welchen Benutzergruppen sie gehören.

Bereits in den 1970er Jahren wurde von IBM ein Server entwickelt, der für das Management von Zugängen zu Computern und sonstigen Endgeräten innerhalb eines Netzwerks zuständig sein sollte. Ein solcher Domain-Controller (DC), der Zugänge, Verfügbarkeiten und Passwörter verwaltet und kontrolliert, kann somit als zentrale Instanz definieren, welcher Benutzer zu welchen Diensten und Endgeräten Zugänge erhalten darf.

Einteilung in Domains

Zu diesem Zweck werden unterschiedliche Rechner und Endgeräte zu so genannten Domains zusammengefasst, die dann einen gewissen Geltungsbereich repräsentieren. Das heißt: Eine Domain oder Domäne stellt immer einen eigenständigen Sicherheitsbereich und eine administrative Grenze dar. Die Rolle des Domain-Controllers kann ein Server übernehmen, der Teil der Domain ist.

Werden Änderungen vorgenommen, so gelten diese innerhalb einer Domain für alle Mitglieder der Benutzergruppe. Zu einem späteren Zeitpunkt übernahm Microsoft Windows NT die Technologie beziehungsweise den Begriff und DC sind seither für NT und Folgeversionen verfügbar. Heute ist der Domain Controller ein wichtiger Bestandteil moderner IT-Landschaften.

Ein Vergleich zu den Windows-Arbeitsgruppen zeigt, dass die User und die jeweiligen Zugangsrechte mit den Domain-Controllern nicht mehr lokal angelegt und verwaltet werden müssen. In der Zwischenzeit sind Lösungen am Markt, für die ein Server als Domain-Controller deklariert werden kann, auf denen kein Windows-Betriebssystem wie zum Beispiel Linux läuft.

In einigen Bereichen ist jedoch mit Einschränkungen der Kompatibilität zu rechnen. Zum Beispiel können Server mithilfe von „Samba-TNG“ auch ohne ein Microsoft-Betriebssystem als Domain-Controller genutzt werden.

Redundanz der Domain-Controller

Je nach Umfang des Netzwerks als auch für eine optimale Verfügbarkeit und Lastverteilung werden pro Domain mindestens zwei oder mehrere Domain-Controller eingesetzt. Nicht zuletzt deshalb, weil sich sonst kein User an einer Domäne ohne funktionierenden Controller anmelden kann. Da sich diese kontinuierlich replizieren, kann bei Störungen jederzeit ein anderer Controller ohne Unterbrechung die Master-Rolle übernehmen.

Diese Redundanz-Konzepte wurden von Microsoft bereits zu einem frühen Zeitpunkt implementiert. So waren für die „NT4“-Domains ein Primary-Domain-Controller (PDC) und ein Backup-Domain-Controller (BDC) vorgesehen, wobei der PDC nur die Änderungen aufnahm und der BDC stets eine aktualisierte Sicherheitskopie der Daten erhielt und im Störfall zum Primary-System deklariert werden konnte.

Active Directory mit Multimaster-Replikation

Ab „Windows 2000“ hat Microsoft für seine Domain-Controller das Active Directory mit der so genannten Multimaster-Replikation im Einsatz. Für diese Technologie erhalten alle Controller eine beschreibbare Kopie der Active-Directory-Datenbank. Das heißt: Jedwede Änderung wird immer automatisch auch an alle anderen Domain-Controller repliziert. Somit sind alle DC stets auf dem gleichen Stand.

Bei einer Störung kann jeder Controller die Funktion eines anderen DC übernehmen. Die einzelnen Intervalle für die Replikationen können vom Administrator je nach Windows-Server-Version bis auf die Sekunde genau eingestellt werden. Seit „Windows Server 2008“ bietet Microsoft auch sogenannte Read Only Domain Controller an.

Konzept des Flexible Single Master Operators (FSMOs)

Die Active Directories der Domain-Controller können mit dem Konzept des Flexible Single Master Operators (FSMOs) folgende verschiedene Rollen einnehmen: PDC-Emulator, Infrastruktur-Master, RID-Master, Schema-Master und Domänennamen-Master. Je nach Rolle existiert diese einmal in der Domain oder einmal im gesamten Netzwerk.

So existieren der PDC-Emulator, der Infrastruktur-Master und der RID-Master nur einmal in jeder Domäne, wogegen der Schema-Master und der Domänennamen-Master nur einmal pro gesamte Domänenstruktur anzutreffen sind. Ein PDC-Emulator ist für die Verwaltung und Anwendung der Gruppen-Richtlinien als auch für Kennwort-Änderungen bei den Benutzern verantwortlich und dient ebenso als Zeit-Server.

Der RID-Master nimmt neue Objekte in die Domain auf, während der Infrastruktur-Master für das Auflösen von Gruppen mehrerer Domänen und die Steuerung von Benutzerrechten von Usern aus verschiedenen Domänen zuständig ist. Der Schema- und der Domänennamen-Master existieren in der Gesamtstruktur nur einmal. Der Schema-Master erlaubt das Erweitern und Verändern von Schemata des Active Directories und der Domänennamen-Master gestattet die Aufnahme einer neunen Domain in die Gesamtstruktur.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45583317 / Definitionen)