Definition

Was ist ein Domänencontroller?

| Autor / Redakteur: Stefan Luber / Andreas Donner

(© aga7ta - Fotolia)

Der Domänencontroller ist ein Server, der eine Domäne und seine verschiedenen Objekte zentral verwaltet und kontrolliert. Anwender, die sich an einer Netzwerkdomäne anmelden möchten, wenden sich zuerst an den für ihre Domäne zuständigen Domänencontroller.

Ursprünglich wurde der Domänencontroller schon 1970 von IBM eingeführt. Microsoft hat den Begriff übernommen und nutzt den Domaincontroller, abgekürzt DC, für Windows-Netzwerke. Es handelt sich um die zentrale Instanz innerhalb einer Domäne, die für die Authentifizierung und Rechtesteuerung der Nutzer zuständig ist.

Gegenüber einfachen Windows-Arbeitsgruppen bietet sich der Vorteil, dass Benutzer und ihre zugehörigen Rechte nicht mehr lokal anzulegen und zu verwalten sind. Änderungen über den Domänencontroller gelten für alle User und Objekte der Domain. Die Rolle des Domänencontrollers kann ein Server übernehmen, der Mitglied in der Domäne ist.

Aufgrund der besonderen Stellung für den spezifischen Teilbereich des Netzwerks wird der benannte Server zum Domänencontroller. Je nach Größe und Komplexität des Netzes kommen pro Domain ein oder mehrere Controller zum Einsatz. Da sich ohne einen funktionierenden Controller kein User an der Domäne anmelden kann, sind die Controller in der Regel redundant realisiert. Um eine höhere Verfügbarkeit und bessere Lastverteilung sicherzustellen, sind meist mindestens zwei oder mehr Controller pro Domain vorhanden. Diese replizieren ihre Informationen regelmäßig und können die Masterrolle beim Ausfall des Domain Masters ohne Funktionseinschränkung übernehmen.

Anwender müssen sich gegenüber dem Controller authentifizieren. Können sie nachweisen, dass sie Mitglied der Domäne sind, erhalten sie die entsprechenden Benutzerrechte für beispielsweise bestimmte Verzeichnisse oder Druckerressourcen. Mittlerweile existieren auch Lösungen, die es gestatten, Server als Domänencontroller zu deklarieren, auf denen Nicht-Windows-Betriebssysteme wie Linux laufen. Die Kompatibilität ist jedoch in einigen Bereichen eingeschränkt.

Die Redundanz des Domänencontrollers

Da der Domänencontroller eine zentrale Rolle für die User zur Nutzung der Netzwerkressourcen darstellt, gab es von Microsoft frühzeitig entsprechende Redundanzkonzepte. In NT4-Domänen existierte ein Primary Domain Controller (PDC) und ein Backup Domain Controller (BDC). Änderungen waren nur auf dem PDC möglich. Der BDC hielt eine regelmäßig aktualisierte Sicherheitskopie der Daten und ließ sich bei Bedarf zum Primary-System ernennen.

Ab Windows 2000 bietet Microsoft das Active Directory mit der so genannten Multimaster-Replikation an. Alle Domänencontroller besitzen nun eine beschreibbare Kopie der Active-Directory-Datenbank. Jede Änderung wird automatisch an alle anderen DCs repliziert. Dieser Mechanismus sorgt dafür, dass alle Domänencontroller sich stets auf dem gleichen Informationsstand befinden. Fällt ein DC aus, hat dies keinen Informationsverlust zur Folge und ein anderer DC übernimmt dessen Funktion.

Die Replikationsintervalle lassen sich vom Administrator abhängig von der Windows-Server-Version auf verschiedene Werte bis in den Sekundenbereich einstellen und der Netzwerkstruktur anpassen. Seit Windows Server 2008 existiert zusätzlich das Konzept des Read Only Domain Controllers.

Die verschiedenen Rollen des Domänencontrollers innerhalb des Active Directories

Insgesamt kann ein Domänencontroller innerhalb des Microsoft Active Directories bis zu fünf verschiedene Rollen annehmen. Das dahinterstehende Konzept nennt sich Flexible Single Master Operators (FSMOs). Die fünf Rollen sind:

  • PDC-Emulator
  • Infrastrukturmaster
  • RID-Master
  • Schemamaster
  • Domänennamenmaster

Abhängig von der jeweiligen Rolle existiert diese einmalig pro Domain oder einmalig pro Gesamtstruktur. PDC-Emulator, Infrastrukturmaster und RID-Master finden sich einmal in jeder Domäne, der Schemamaster und der Domänennamenmaster nur einmal pro gesamter Domänenstruktur. Da der Ausfall jeder dieser Server spezifische Probleme verursacht, ist das Komplettsystem redundant aufgebaut und verfügt über Backupfunktionen.

Der PDC-Emulator ist für die Verwaltung und die Anwendung der Gruppenrichtlinien zuständig. Darüber hinaus ist er verantwortlich für Kennwortänderungen bei den Benutzern und dient als Zeitserver. Der RID-Master gestattet es, neue Objekte in die Domain aufzunehmen. Hierfür weist er eindeutige relative Bezeichner zu. Für das Auflösen von Gruppen über mehrere Domänen hinweg und die Steuerung von Benutzerrechten der User aus unterschiedlichen Domänen sorgt der Infrastrukturmaster. Schemamaster und Domänennamenmaster schließlich sind pro Gesamtstruktur nur einmal vorhanden. Der Schemamaster erlaubt das Erweitern und Verändern von Schemas des Active Directories. Die Rolle des Domänennamenmasters wird automatisch dem ersten installierten Domänencontroller in der neuen Gesamtstruktur zugewiesen. Er wird immer dann benötigt, wenn eine neue Domain in die Gesamtstruktur aufgenommen werden soll.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Microsoft patcht 115 Sicherheitslücken

Update: Microsoft Patchday März 2020

Microsoft patcht 115 Sicherheitslücken

Am Patchday im März 2020 hat Microsoft 115 Sicherheitslücken (CVEs) geschlossen. Neben den zahlreichen Updates gibt es mit dem März-Patchday jetzt auch Optionen zum Erzwingen von signierten oder verschlüsselten LDAP-Verbindungen. lesen

12 kleine Tipps mit großer Wirkung für Windows-Server

Mehr Sicherheit und Leistung für Windows-Server

12 kleine Tipps mit großer Wirkung für Windows-Server

Windows-Server bieten in ihren Einstellungen verschiedene Optionen, die schnell gesetzt sind aber oft weitreichende Auswirkungen haben. Wir zeigen in diesem Beitrag 12 interessante Tipps, die eine Verbesserung der Serverleistung und -Sicherheit versprechen. lesen

So prüfen Sie die Konsistenz von Active Directory

Stabilität und Leistung im Netzwerk mit Bordmitteln und Tools sicherstellen

So prüfen Sie die Konsistenz von Active Directory

Die Leistung von Active Directory sollte regelmäßig überprüft werden. Das gilt auch für die Stabilität und Konsistenz. Und diese können bereits mit Bordmitteln und kleinen Tools überprüft und sichergestellt werden. Wir zeigen, welche Möglichkeiten es hier gibt und Werkzeuge infrage kommen. lesen

Das müssen Sie für den Betrieb von Server 2019 wissen

20 wichtige Fragen zu Windows Server 2019

Das müssen Sie für den Betrieb von Server 2019 wissen

Wer auf Windows Server 2019 setzt, steht oft vor einigen Fragen bezüglich der Lizenzierung, dem Einsatzgebiet und der Sicherheit. In diesem Beitrag beantworten wir 20 wichtige Fragen, die sich Administratoren beim Einsatz des Servers stellen sollten. lesen

Domänen-Controller-Virtualisierung mit dem kostenlosen Hyper-V-Server

Kleine Netzwerke effektiver betreiben

Domänen-Controller-Virtualisierung mit dem kostenlosen Hyper-V-Server

In kleinen Netzwerken, in denen oft nur ein oder zwei Server betrieben werden, werden diese Windows-Server und damit auch die Domänen-Controller oft auf physischen Maschinen installiert. Der virtuelle Domain-Controller-Betrieb bietet aber auch hier einige Vorteile. Wir erläutern, welche, und zeigen die Vorgehensweise beim Virtualisieren. lesen

So bereiten Sie Active Directory auf eine Server-Migration vor

Umzug von Domänencontrollern zu Windows Server 2019

So bereiten Sie Active Directory auf eine Server-Migration vor

Generell lassen sich auch Domänencontroller auf Windows Server 2019 aktualisieren – genau, wie andere Server-Dienste auch. Allerdings muss bezüglich der Vorbereitung von Active Directory auf eine solche Server-Migration einiges beachtet werden. lesen

10 Tipps zur Fehlerbehebung bei Exchange-Servern

Troubleshooting in Exchange-Umgebungen

10 Tipps zur Fehlerbehebung bei Exchange-Servern

Funktioniert Exchange nicht mehr richtig, helfen verschiedene Vorgehensweisen, um das Problem so schnell wie möglich einzugrenzen und zu beheben. Dabei ist die Recherche im Internet das wichtigste Hilfsmittel. Wir geben 10 Tipps für das schnelle Eingrenzen von Fehlern und die mögliche Fehlerbehebung. lesen

In 17 Schritten zum perfekten Domänencontroller

Wege zum stabilen und schnellen Active Directory

In 17 Schritten zum perfekten Domänencontroller

Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 15 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2, Server 2016 und der neuen Version Server 2019. lesen

Zeitsynchronisierung in Active Directory

Clients, Server und Domänencontroller im selben Takt

Zeitsynchronisierung in Active Directory

In Active Directory spielt die Zeitsynchronisierung eine wichtige Rolle. Nur wenn Clients, Server und Domänencontroller zeitlich synchron betrieben werden, kann ein Active Directory fehlerfrei betrieben werden. Wir zeigen, worauf es bei der Einrichtung einer Zeitsynchronisation ankommt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44795376 / Definitionen)