Was ist ein Domänencontroller im Active Directory?
Wer sich mit der Einrichtung von Windows-Netzwerken beschäftigt, stolpert irgendwann über den "Domänencontroller". Doch was ist das?
- Michael Mierke
Netzwerkadministratoren, die mit dem Aufbau und der Wartung eines Windows-Netzwerks betraut sind, müssen sich über kurz oder lang mit der Konfiguration eines Domänencontrollers auseinandersetzen. Der Domänencontroller, im Englischen als Domain Controller bezeichnet, ist ein spezieller Server, der für die Authentifizierung von Benutzern in einem Computernetzwerk verantwortlich ist.
- Was ist ein Domänencontroller in Windows?
- Hintergrund: Verzeichnisdienste und Microsoft Active Directory
- Die Rollen des Domänencontrollers im Active Directory
- Vor- und Nachteile von Domänencontrollern
Was ist ein Domänencontroller in Windows?
Ein Domänencontroller ist in einer Windows-Netzwerkdomäne ein essenzieller Bestandteil, da ohne ihn das Netzwerk nicht funktioniert. Domänen sind spezielle, eigenständige Sicherheitsbereiche innerhalb einer Netzwerkorganisation. So können beispielsweise unterschiedliche Standorte einer Firma jeweils eine eigene Domäne erhalten. Theoretisch ließen sich auch einzelne Abteilungen in mehrere Domänen einteilen. In der Praxis ist es aber bei Active Directory üblich, stattdessen Gruppen innerhalb einer Domäne einzurichten, um diese weiter zu unterteilen.
Domänencontroller haben vor allem in Firmenumgebungen Vorteile, da für jeden Mitarbeiter exakt festgelegt werden kann, auf welche Ressourcen er im Netzwerk zugreifen kann. Auch die Sicherheitsrichtlinien werden auf Basis der Domänen festgelegt und können dank des Domänencontrollers einheitlich geregelt werden. Die Zuteilung der Mitarbeiter zu einer Domäne bestimmt letztlich, auf welche Daten und Funktionen diese im Unternehmen zugreifen dürfen. Bei der Anmeldung über einen Domänencontroller spielt es zudem keine Rolle, an welchem Arbeitsplatz die Mitarbeiter sich befinden - sie können sich mit an jedem Rechner mit Zugriff auf die Domäne mit ihren Benutzerdaten anmelden. Die Administratoren ersparen sich durch die Zuteilung der Benutzer an die unterschiedlichen Domänen also die separate Einrichtung der Benutzerkonten auf allen Arbeitsplätzen der Firma. Gleichzeitig ermöglichen Domänencontroller eine einheitliche Anpassung aller Benutzerrechte und Sicherheitsrichtlinien innerhalb des Netzwerks.
Hintergrund: Verzeichnisdienste und Microsoft Active Directory
Microsoft bietet seit der Einführung der Server-Edition von Windows 2000 in Form von Active Directory einen Verzeichnisdienst für Rechnernetzwerke an. In Netzwerkbetriebssystemen ist ein Verzeichnisdienst eine enorm wichtige Komponente. Active Directory ist dabei eine modernisierte Version der mit Windows NT eingeführten Netzwerkfunktionen von Windows.
Verzeichnisdienste wie Active Directory definieren einen Namensraum für das Netzwerk. Der Namensraum wird verwendet, um jedem der Objekte einen Namen, also einen eindeutigen Bezeichner, zuzuordnen. Als Netzwerkobjekte dienen dabei nicht nur die einzelnen PCs, sondern auch Laufwerke, Ordner, Dateien, Drucker, Benutzer, Gruppen oder auch Telefonnummern.
Verzeichnisse verfügen normalerweise über eine Reihe von Regeln, die festlegen, wie Netzwerkressourcen benannt und identifiziert werden, was in der Regel die Anforderung beinhaltet, dass die Identifikation eindeutig sein müssen. In der Praxis sind Verzeichnisdienste wie Microsoft Active Directory also mit einem Telefonbuch vergleichbar, das alle wichtigen Informationen zentral bereitstellt.
Die Rollen des Domänencontrollers im Active Directory
In einem Windows-Netzwerk übernimmt der Domänencontroller wie bereits erwähnt die Authentifizierung der Benutzer und die Zuweisung der Rollen. Sämtliche Informationen des Active Directory werden ebenfalls auf dem Domänencontroller-Server gespeichert. Anders ausgedrückt: Ein Domänencontroller ist gewissermaßen das Herzstück in einem Windows-Netzwerk.
Im Detail übernimmt ein Domänencontroller darüber hinaus noch fünf weitere Aufgaben innerhalb eines Active Directory, die sogenannten Masters Operations oder auch Flexible Single Master Operations (FSMO). Die beiden Rollen Schema-Master und Domain Naming Master sind dabei in einer Netzwerk-Gesamtstruktur mit mehreren Domänen nur einmal verfügbar. Der Infrastruktur-Master, RID-Master sowie der PDC-Emulator können hingegen einmal pro Domäne an einen Server vergeben werden.
Standardmäßig werden alle Rollen dem ersten Domänencontroller in einem Windows-Netzwerk auf der Basis von Active Directory zugeteilt. Kommen mehrere Server zum Einsatz, können die Administratoren die Rollen auf die unterschiedlichen Domänencontroller übertragen.
Eine Übersicht über die Funktionen der einzelnen Rollen der Domänencontroller liefert Microsoft in seiner Online-Dokumentation.
Vor- und Nachteile von Domänencontrollern
In Unternehmen, die Kunden- oder Mitarbeitern in Netzwerken abspeichern, sind Domänencontroller praktisch unverzichtbar. Neben der zentralen Benutzerverwaltung und der einfachen, gemeinsamen Nutzung von diversen Ressourcen bieten Domänencontroller noch weitere Vorteile, etwa die Verschlüsselung der Benutzerdaten.
Durch seine prominente Funktion ist der Domänencontroller natürlich auch ein typisches Angriffsziel für Hacker, die es auf die Netzwerkinfrastruktur abgesehen haben. Zudem ist es höchst empfehlenswert, mehr als einen Domänencontroller parallel zu betreiben. Windows Server bietet zu diesem Zweck die sogenannte Multimaster-Replikation. Die Funktion ermöglicht es, mehrere Server als Domänencontroller zu betreiben, auf denen sämtliche Informationen des Active Directory redundant gespeichert sind. So wird gewährleistet, dass der Netzwerkbetrieb auch beim Ausfall eines Servers aufrechterhalten werden kann.
(mimi)
