Definition

Was ist ein Domänencontroller?

| Autor / Redakteur: Stefan Luber / Andreas Donner

(© aga7ta - Fotolia)

Der Domänencontroller ist ein Server, der eine Domäne und seine verschiedenen Objekte zentral verwaltet und kontrolliert. Anwender, die sich an einer Netzwerkdomäne anmelden möchten, wenden sich zuerst an den für ihre Domäne zuständigen Domänencontroller.

Ursprünglich wurde der Domänencontroller schon 1970 von IBM eingeführt. Microsoft hat den Begriff übernommen und nutzt den Domaincontroller, abgekürzt DC, für Windows-Netzwerke. Es handelt sich um die zentrale Instanz innerhalb einer Domäne, die für die Authentifizierung und Rechtesteuerung der Nutzer zuständig ist.

Gegenüber einfachen Windows-Arbeitsgruppen bietet sich der Vorteil, dass Benutzer und ihre zugehörigen Rechte nicht mehr lokal anzulegen und zu verwalten sind. Änderungen über den Domänencontroller gelten für alle User und Objekte der Domain. Die Rolle des Domänencontrollers kann ein Server übernehmen, der Mitglied in der Domäne ist.

Aufgrund der besonderen Stellung für den spezifischen Teilbereich des Netzwerks wird der benannte Server zum Domänencontroller. Je nach Größe und Komplexität des Netzes kommen pro Domain ein oder mehrere Controller zum Einsatz. Da sich ohne einen funktionierenden Controller kein User an der Domäne anmelden kann, sind die Controller in der Regel redundant realisiert. Um eine höhere Verfügbarkeit und bessere Lastverteilung sicherzustellen, sind meist mindestens zwei oder mehr Controller pro Domain vorhanden. Diese replizieren ihre Informationen regelmäßig und können die Masterrolle beim Ausfall des Domain Masters ohne Funktionseinschränkung übernehmen.

Anwender müssen sich gegenüber dem Controller authentifizieren. Können sie nachweisen, dass sie Mitglied der Domäne sind, erhalten sie die entsprechenden Benutzerrechte für beispielsweise bestimmte Verzeichnisse oder Druckerressourcen. Mittlerweile existieren auch Lösungen, die es gestatten, Server als Domänencontroller zu deklarieren, auf denen Nicht-Windows-Betriebssysteme wie Linux laufen. Die Kompatibilität ist jedoch in einigen Bereichen eingeschränkt.

Die Redundanz des Domänencontrollers

Da der Domänencontroller eine zentrale Rolle für die User zur Nutzung der Netzwerkressourcen darstellt, gab es von Microsoft frühzeitig entsprechende Redundanzkonzepte. In NT4-Domänen existierte ein Primary Domain Controller (PDC) und ein Backup Domain Controller (BDC). Änderungen waren nur auf dem PDC möglich. Der BDC hielt eine regelmäßig aktualisierte Sicherheitskopie der Daten und ließ sich bei Bedarf zum Primary-System ernennen.

Ab Windows 2000 bietet Microsoft das Active Directory mit der so genannten Multimaster-Replikation an. Alle Domänencontroller besitzen nun eine beschreibbare Kopie der Active-Directory-Datenbank. Jede Änderung wird automatisch an alle anderen DCs repliziert. Dieser Mechanismus sorgt dafür, dass alle Domänencontroller sich stets auf dem gleichen Informationsstand befinden. Fällt ein DC aus, hat dies keinen Informationsverlust zur Folge und ein anderer DC übernimmt dessen Funktion.

Die Replikationsintervalle lassen sich vom Administrator abhängig von der Windows-Server-Version auf verschiedene Werte bis in den Sekundenbereich einstellen und der Netzwerkstruktur anpassen. Seit Windows Server 2008 existiert zusätzlich das Konzept des Read Only Domain Controllers.

Die verschiedenen Rollen des Domänencontrollers innerhalb des Active Directories

Insgesamt kann ein Domänencontroller innerhalb des Microsoft Active Directories bis zu fünf verschiedene Rollen annehmen. Das dahinterstehende Konzept nennt sich Flexible Single Master Operators (FSMOs). Die fünf Rollen sind:

  • PDC-Emulator
  • Infrastrukturmaster
  • RID-Master
  • Schemamaster
  • Domänennamenmaster

Abhängig von der jeweiligen Rolle existiert diese einmalig pro Domain oder einmalig pro Gesamtstruktur. PDC-Emulator, Infrastrukturmaster und RID-Master finden sich einmal in jeder Domäne, der Schemamaster und der Domänennamenmaster nur einmal pro gesamter Domänenstruktur. Da der Ausfall jeder dieser Server spezifische Probleme verursacht, ist das Komplettsystem redundant aufgebaut und verfügt über Backupfunktionen.

Der PDC-Emulator ist für die Verwaltung und die Anwendung der Gruppenrichtlinien zuständig. Darüber hinaus ist er verantwortlich für Kennwortänderungen bei den Benutzern und dient als Zeitserver. Der RID-Master gestattet es, neue Objekte in die Domain aufzunehmen. Hierfür weist er eindeutige relative Bezeichner zu. Für das Auflösen von Gruppen über mehrere Domänen hinweg und die Steuerung von Benutzerrechten der User aus unterschiedlichen Domänen sorgt der Infrastrukturmaster. Schemamaster und Domänennamenmaster schließlich sind pro Gesamtstruktur nur einmal vorhanden. Der Schemamaster erlaubt das Erweitern und Verändern von Schemas des Active Directories. Die Rolle des Domänennamenmasters wird automatisch dem ersten installierten Domänencontroller in der neuen Gesamtstruktur zugewiesen. Er wird immer dann benötigt, wenn eine neue Domain in die Gesamtstruktur aufgenommen werden soll.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

In 17 Schritten zum perfekten Domänencontroller

Wege zum stabilen und schnellen Active Directory

In 17 Schritten zum perfekten Domänencontroller

Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 15 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2, Server 2016 und der neuen Version Server 2019. lesen

Zeitsynchronisierung in Active Directory

Clients, Server und Domänencontroller im selben Takt

Zeitsynchronisierung in Active Directory

In Active Directory spielt die Zeitsynchronisierung eine wichtige Rolle. Nur wenn Clients, Server und Domänencontroller zeitlich synchron betrieben werden, kann ein Active Directory fehlerfrei betrieben werden. Wir zeigen, worauf es bei der Einrichtung einer Zeitsynchronisation ankommt. lesen

Active-Directory-Probleme in 7 Schritten systematisch lösen

Diagnose und Troubleshooting strukturiert durchführen

Active-Directory-Probleme in 7 Schritten systematisch lösen

Wenn es in Active Directory zu Problemen kommt, hilft eine strukturierte Vorgehensweise dabei, herauszufinden, wo das Problem verursacht wird. Denn wenn erst die Quelle des Problems gefunden ist, dann findet sich meist auch schnell eine Lösung. lesen

Kumulative Updates schließen kritische Sicherheitslücken

Microsoft Patchday August 2019

Kumulative Updates schließen kritische Sicherheitslücken

Microsoft hat zum Patchday im August 2019 Updates für einige, kritische Sicherheitslücken in nahezu allen Betriebssystemen veröffentlicht. Aktualisiert werden unter anderem der Internet Explorer, Microsoft Edge, sowie Bluetooth- und Netzwerkmodule von Windows 10 und Schwachstellen in schnurlosen Eingabegeräten wie Mäuse, Tastaturen und Stifte. lesen

So binden Sie virtuelle Desktops über AWS ein

Windows 10 und Linux aus der Amazon-Cloud im Netzwerk verfügbar machen

So binden Sie virtuelle Desktops über AWS ein

Amazon bietet in seinem Clouddienst AWS auch die Möglichkeit virtuelle Desktops mit Windows 10 oder Linux bereitzustellen. Dadurch ersparen sich Unternehmen den Betrieb eigener Arbeitsstationen und deren Bereitstellung. lesen

VM Offline-Konvertierung von VMware zu Hyper-V

So wechseln Sie zwischen den verschiedenen Hypervisor-Formaten

VM Offline-Konvertierung von VMware zu Hyper-V

Eine Übertragung von virtuellen Maschine aus der VMware-Welt auf einen Hyper-V-Hypervisor oder andersherum ist gar nicht so schwer. Im Idealfall ist selbst das Virtualisieren eines Servers im laufenden Betrieb ganz einfach möglich. Wir zeigen, auf was es – auch im Offline-Modus – dabei ankommt. lesen

So richten Sie Active Directory für AWS Workspaces ein

Arbeitsstationen in die Cloud auslagern und an Active Directory anbinden

So richten Sie Active Directory für AWS Workspaces ein

Amazon bietet in seinem Clouddienst AWS die Möglichkeit, Arbeitsstationen zu betreiben, die sich wiederum an lokale Active-Directory-Umgebungen anbinden lassen. Wir zeigen in diesem Beitrag was dabei wichtig ist. lesen

Volle Kontrolle über das Active Directory

Quest Recovery Manager

Volle Kontrolle über das Active Directory

Quest Software hat den Quest Recovery Manager for Active Directory (RMAD), Disaster Recovery Edition, auf den Markt gebracht. Mit dieser Lösung haben Unternehmen die Möglichkeit, Änderungen an ihrer Active-Directory-Umgebung anzuzeigen und bis hin zur Bare-Metal-Ebene sichern und wiederherstellen zu können. lesen

So steuern Sie das Active Directory flexibel

Domänencontroller unter Windows Server 2016/2019 herauf- und herabstufen

So steuern Sie das Active Directory flexibel

Active-Directory-Domänencontroller können flexibel zu einem Mitgliedsserver herabgestuft und Mitgliedsserver problemlos zu einem Domänencontroller heraufgestuft werden. Die einzelnen Rollen lassen sich dabei zwischen Servern übertragen. Wir zeigen, wann dies sinnvoll ist und erläutern die Vorgehensweisen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44795376 / Definitionen)