Was ist der Unterschied zwischen einem Domänencontroller und Active Directory?
Active Directory ist Microsofts Verzeichnisdienst für Windows-Domänennetzwerke. Als es in Windows 2000 Server eingeführt wurde, wurde Active Directory ausschließlich zur zentralen Domänenverwaltung verwendet. Mit dem Aufkommen von Windows Server 2008 wurde Active Directory jedoch in eine Suite von Verzeichnisdiensten umgewandelt, von denen der Domänencontroller nur einer ist., Weitere Active Directory-Funktionen umfassen Lightweight Directory-Dienste, Zertifikatdienste (für Public-Key-Verschlüsselungsinfrastruktur), Verbunddienste (für Single Sign-On) und Rechteverwaltungsdienste (für die Verwaltung von Informationsrechten, die den Zugriff auf bestimmte Daten steuern).
In diesem Schema wird der Server, auf dem Active Directory ausgeführt wird, als Domänencontroller bezeichnet. Eine Instanz von Active Directory enthält sowohl eine Datenbank als auch ausführbaren Code (als Directory System Agent bezeichnet) zum Ausführen der Datenbank und zum Warten von Benutzeranforderungen., Die Datenbank ist mit Objekten strukturiert, die in drei Ebenen organisiert sind—Wälder, Bäume und Domänen.
Active Directory-Domänencontroller verwenden Trusts, um Benutzern in einer Domäne Zugriff auf andere zu gewähren. Trusts existieren in der Datenbankstruktur, die automatisch erstellt wird, wenn eine Domäne erstellt wird., Zu den Vertrauensarten gehören ein Einwegvertrauen (bei dem Benutzer einer Domäne Zugriff auf eine andere Domäne haben, jedoch nicht umgekehrt), ein Zweiwegvertrauen (bei dem zwei Domänen Zugriff aufeinander haben), ein transitives Vertrauen (das über zwei Domänen hinausgehen kann), ein explizites Vertrauen (erstellt von einem Systemadministrator), ein Forest-Vertrauen (gilt für eine gesamte Gesamtstruktur) und ein externes Vertrauen (ermöglicht die Verbindung zu nicht aktiven Verzeichnisdomänen).
Ein Active Directory-Domänencontroller ermöglicht es Systemadministratoren, Richtlinien festzulegen, um eine angemessene Kennwortkomplexität sicherzustellen., Aus Sicherheitsgründen darf ein Active Directory-Kennwort weder den Benutzernamen noch den vollständigen Namen des Benutzers enthalten. Darüber hinaus können Sie von Microsoft verlangen, dass ein Kennwort Zeichen aus bestimmten Kategorien wie Großbuchstaben, Kleinbuchstaben, Zahlen, Symbolen (z. B.#$%) und Unicode enthält.
Mit Active Directory können Sie auch eine minimale Kennwortlänge festlegen-je länger ein Kennwort ist, desto schwieriger ist es, es mit Brute-Force-Techniken zu knacken., Standardmäßig erfordert Windows 10 Active Directory, dass ein Kennwort Zeichen aus mindestens drei der zuvor genannten Kategorien enthält und nicht weniger als acht Zeichen lang ist. Diese Spezifikationen ergeben 218,340,105,584,896 verschiedene Gesamtmöglichkeiten, die Hacker mit Brute-Force-Methoden ausprobieren müssten. Je vertraulicher die Informationen sind, die Sie schützen möchten, desto robuster sollten Ihre Kennwortanforderungen sein.
Wie viele Domänencontroller benötigen Sie?,
In ihrer ursprünglichen Windows-Implementierung wurden Domänencontroller in zwei Kategorien unterteilt: primärer Domänencontroller und Backup-Domänencontroller (DC). Ein primärer DC ist der Domänencontroller der ersten Zeile, der Benutzerauthentifizierungsanforderungen verarbeitet. Es kann nur ein primärer DC bezeichnet werden. Gemäß den Best Practices für Sicherheit und Zuverlässigkeit sollte der Server, auf dem sich der primäre DC befindet, ausschließlich Domänendiensten gewidmet sein. Aufgrund seiner zentralen Bedeutung für das Netzwerk darf der primäre DC-Server keine Datei -, Anwendungs-oder Druckdienste ausführen, was ihn verlangsamen oder zum Absturz bringen könnte.,
Ein Backup-Domänencontroller ist als ausfallsicher vorhanden, falls der primäre Domänencontroller ausfällt. Es können mehrere Backup-Domänencontroller für Redundanz vorhanden sein. Eine dedizierte Backup-DC ist eine kluge Vorsichtsmaßnahme. Wenn der primäre DC fehlschlägt und keine Sicherung vorhanden ist, können Benutzer keinen Zugriff auf das Netzwerk erhalten. Wenn ein Benutzer versucht, sich anzumelden, kontaktiert die Software den primären DC. Wenn der primäre DC nicht verfügbar ist, kontaktiert er den Backup-DC. Die Sicherung kann für den Fall, dass die primäre dauerhaft außer Betrieb ist, auf die primäre Rolle hochgestuft werden., Beachten Sie, dass Domänenaktualisierungen (z. B. zusätzliche Benutzer, neue Kennwörter oder Änderungen an Benutzergruppen) nur an der primären DC vorgenommen werden können. Sie werden dann in die Backup-DC-Datenbanken weitergegeben. Dies ist eine Form der Master-Slave-Replikationsstruktur, wobei der primäre DC der Master und der sekundäre DCs die Slaves sind.
Heutzutage ist die Architektur des primären und des Backup-Domänencontrollers jedoch veraltet. Als Active Directory in Windows 2000 eingeführt wurde, wurde es mit einer Multimaster-Replikationsstruktur entwickelt., Dies bedeutet, dass Benutzerkontenberechtigungen redundant zwischen einer Gruppe von Domänencontrollern gespeichert werden und jedes Mitglied der Gruppe alle anderen aktualisieren kann. Wenn beispielsweise einem Domänencontroller ein neuer Benutzer hinzugefügt wird, verschiebt die Multimaster-Replikation die Änderung auf die anderen Controller. Im Gegensatz zur Master-Slave-Architektur bietet die Multimaster-Replikation eine höhere Zuverlässigkeit (der Ausfall eines einzelnen Masters ist nicht katastrophal), erhöhte Flexibilität und schnellere Leistung.,
Insgesamt bleibt der Domänencontroller ein kritischer Bestandteil eines modernen Netzwerks, sei es in seiner ursprünglichen Primär – /Backup-Implementierung oder im heutigen Active Directory-Framework. Je höher die Anzahl der Domänencontroller ist, desto einfacher ist es, die Verfügbarkeit für Benutzer sicherzustellen, die Zugriff auf das Netzwerk suchen.
Weitere Informationen zu Domänencontrollern und Active Directory finden Sie in unseren zugehörigen Blog-Artikeln.