域控制器
安裝了活動目錄的計算機
域控制器是指在「域」模式下,至少有一台服務器負責每一台聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
- 中文名:域控制器
- 外文名:domain controller
- 適用領域:網絡、汽車
- 所屬學科:計算機
- 目 的:合理使用
- 缺 點:非常容易被破解
- 簡 稱:DC
目錄
概念
詳細釋義
域控制器( Domain controller,DC)是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。在第一次安裝活動目錄時,安裝活動目錄的那台計算機就成為域控制器,簡稱「域控」。域控制器存儲着目錄數據並管理用戶域的交互關係,其中包括用戶登錄過程、身份驗證和目錄搜索等。一個域可以有多個域控制器。為了獲得高可用性和容錯能力,規模較小的域只需兩個域控制器,一個實際使用,另一個用於容錯性檢査;規模較大的域可以使用多個域控制器。 [2]
在對等網模式下,任何一台電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在「域」模式下,至少有一台服務器負責每一台聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時,域控制器首先要鑑別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。
要把一台電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互「看」到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。
組成
域控制器中包含了這個域的用戶賬戶、密碼和屬於這個域的電腦等信息構成的數據庫。當電腦連入網絡時,域控制器首先要鑑別這台電腦是否是屬於這個域,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確,域控制器就拒絕該用戶從這台電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,只能以對等網用戶的方式訪問Windows共享的資源,這樣就一定程度上保護了網絡上的資源。
其實域和工作組在結構上很相似,只是表現形式有些不同:
1、工作組:只能將數量不多的電腦連成一個可互相共享資源的網絡,在這種工作方式下,信息的安全保護只能靠給共享信息設置密碼或將使用權限設置給特殊用戶來實現。
2、域:採用域控制器來進行信息管理,每個用戶都有自己的賬號和密碼,並且可根據不同的情況賦予不同的使用權限,這種方式不但使網絡信息安全得到了非常好的保障,同時也滿足了大中型網絡的要求。[3]
操作方式
服務器端設置
以系統管理員身份在已經設置好Active Directory(活動目錄)的Windows 2000 Server上登錄,選擇「開始」菜單中「程序」選項中的「管理工具」,然後再選擇「Active Directory用戶和計算機」,之後在程序界面中右擊「Computers」,在彈出的菜單中單擊「新建」,然後選擇「計算機」,之後填入想要加入域的計算機名即可。要加入域的計算機名最好為英文,中文計算機名可能會引起一些問題。
客戶端設置
首先要確認計算機名稱是否正確,然後在桌面「網上鄰居」上右擊鼠標,點擊「屬性」出現網絡屬性設置窗口,確認「主網絡登錄」為」Microsoft網絡用戶」。選中窗口上方的「Microsoft網絡用戶」(如果沒有此項,說明沒有安裝,點擊「添加」安裝「Microsoft網絡用戶」選項)。點擊「屬性」按鈕,出現「Microsoft網絡用戶屬性」對話框,選中「登錄到Windows NT域」複選框,在「Windows NT域」中輸入要登錄的域名即可。這時,如果是Windows 98操作系統的話,系統會提示需要重新啟動計算機,重新啟動計算機之後,會出現一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之後,就可以使用Windows 2000 Server域中的資源了。請注意,這裡的域用戶賬號和密碼,必須是網絡管理員為用戶建的那個賬號和密碼,而不是由本機用戶自己創建的賬號和密碼。如果沒有將計算機加入到域中,或者登錄的域名、用戶名、密碼有一項不正確,都會出現錯誤信息。
只讀域控制器
只讀域控制器(RODC)是一種新型的用於 Windows Server 2008操作系統的域控制器,它的安全性得到了提高,同時能夠更加快速的登錄訪問網絡資源。在Windows Server 2008操作系統中,為了能夠支持只讀域控制器(RODC),在域名解析系統(DNS)中添加了新的活動目錄域密碼複製策略。而為了部署只讀域控制器(RODC),在Windows Server 2008操作系統中必須至少運行一個可寫域控制器。域的功能及和森林應該是Windows Server 2003系統中或其它更高系統中的單向複製,只讀AD DS數據庫,憑據緩存,管理員角色分隔等只讀域控制器的功能。
保留最新活動目錄狀態
活動目錄(AD)不是一個靜態的實體,而是一個動態數據集——駐留在數據中心內的域控制器內——執行既定規則和跟蹤整個網絡域的用戶的當前狀態和系統。基於Windows的網絡可容納多個域控制器。對於更大、更複雜的物理隔離的網絡來說,域控制器可能是必不可少的。任何域控制器實例的變化最終會被複製到網絡內的其他域控制器上。這個過程稱為多主機複製。
然而,在任何域控制器發生更改時,會存在一個嚴重的同步問題。AD依靠一些元素來跟蹤變化並確保將這些變化及時同步。其中最重要的兩個元素是更新序列號(USN)和Invocation ID。
USN是一個64位的數字,每次增量變化發生在域控制器(如對象創建、修改或刪除)。USN從不減少,永遠是獨一無二的,所以域控制器永遠不會同時使用相同的USN。獨特的USN好於時間戳,因為它幾乎是不可能保持時鐘同步或網段之間的延遲。一旦原始的USN產生增量,更改將複製到其他域控制器,相應的USN也會增加相同數量。
AD的變化是可以複製的,重要的是要確定所有的域控制器都經過更新。這裡有兩個元素:全局唯一標識符(GUID),基本上就是每個域控制器的靜態「名字」;另一個是Invocation ID,基本上詳細說明了每個AD更新的當前「狀態」。例如,當恢復一個域控制器時,Invocation ID進行重置,其他域控制器要確保將改變發布到恢復的域控制器上。這是一個重要的問題。如果域控制器恢復不當,Invocation ID可能不會重置並更新域控制器來匹配其他域控制器——這將為企業造成嚴重的AD複製問題。
AD複製過程中還涉及其他元素來確定這些變化是必要的,並防止不必要的複製消耗網絡帶寬(甚至讓複製過程失控),但是USN和Invocation ID是最常見的用來協調域控制器之間AD複製的數據元素。
變化
域控制器活動目錄森林可以通過升級或者遷移兩種方式進行更新。需要知道域控制器更新前後,域控制器發生了哪些主要的變化。
域控制器的好處之一是,可以獲得Windows Server 2012 R2域和森林級別的功能,域控制器包含了以前所有級別的功能所提供的優勢。
域控制器功能升級後的缺點是,可能受限於只支持域控制器運行的操作系統。例如,如果將域控制器功能級別升級到Windows Server 2012,你只能使用運行Windows Server 2012和Windows Server 2012 R2功能級別的域控制器。 提高域控制器功能級別並不意味着所有的服務器都不能運行早期版本的操作系統。例如,你仍然可以在一個Windows Server 2012 R2功能級別的域控制器上運行Windows Server 2003服務器。
視頻
AD DS域控制器概述