Zum Inhalt springen

Was ist ein Domänencontroller und wozu braucht man ihn?

Ein Domänencontroller (DC) ist ein Server zur zentralen Authentifizierung von Computern und Benutzern in einem LAN. Der Begriff wurde mit Microsoft Windows NT eingeführt. Im Regelfall – aber nicht ausschließlich – wird der Begriff für Microsoft Active Directory (AD) Server verwendet.

Die Benutzerauthentifizierung und -autorisierung ist entscheidend für den Schutz deiner Netzwerkinfrastruktur. Sie stellt sicher, dass nur vertrauenswürdige und relevante Benutzer auf das Netzwerk zugreifen können. Eine Windows Server-Domäne fasst Benutzer, PCs und andere Objekte in einem Netzwerk logisch zusammen, während ein Domänencontroller Zugriffsanfragen auf die Ressourcen der Domäne authentifiziert. Außerdem speichert er Informationen über Benutzerkonten und Geräte und setzt Sicherheitsrichtlinien durch.

Erfahre, welche wichtige Rolle ein Domänencontroller in einer Netzwerkinfrastruktur spielt und wie du ihn mit Fehlertoleranz einrichten kannst.

Was macht ein Domänencontroller?

Jeder PC hat seine eigenen lokalen Konten, aber diese Konten können nicht für den Zugriff auf das Netzwerk verwendet werden. Das liegt daran, dass es für die IT-Administratoren sinnvoller ist, die Benutzerkonten zentral zu konfigurieren und zu verwalten und nicht auf jedem PC einzeln. Außerdem ermöglichen zentral verwaltete Benutzerkonten, die nicht an ein bestimmtes Gerät gebunden sind, den Benutzern den Zugriff auf Netzwerkressourcen von nahezu jedem Arbeitsplatz aus. Und genau deshalb sind Domänencontroller für die IT-Infrastruktur deines Unternehmens so wichtig.

In einer Netzwerkinfrastruktur werden Domänen verwendet, um Computer und andere Geräte im Netzwerk zu gruppieren und so die Verwaltung zu erleichtern. Und innerhalb einer Domäne dient der Domänencontroller dazu, Benutzer zu authentifizieren und zu autorisieren und Kontoinformationen zentral zu speichern, anstatt sie auf jedem Computer einzeln zu speichern.

Domänencontroller sind ein wesentlicher Bestandteil der Sicherheit von Windows Server-Domänen und wurden ursprünglich in Windows NT (erstmals 1993 veröffentlicht) eingeführt. Grundsätzlich ist ein Domänencontroller ein Servercomputer, der wie ein Gehirn für eine Windows Server-Domäne funktioniert. Er speichert die Anmeldeinformationen der Benutzer und kontrolliert, wer auf die Ressourcen der Domäne zugreifen kann. Wenn ein Benutzer versucht, auf eine Domäne zuzugreifen, muss die Anfrage über den Domänencontroller laufen, der dann den Anmeldeprozess zur Überprüfung des Benutzers durchführt. Der Domänencontroller legt auch die Zugriffsrechte auf der Grundlage der Benutzerrollen fest, z. B. normale Benutzer und Systemadministratoren. So wird sichergestellt, dass böswillige Akteure draußen bleiben und nur autorisierte Benutzer auf die relevanten Ressourcen in der von ihnen kontrollierten Domäne zugreifen können.

Was ist Active Directory?

Microsoft hat Active Directory (AD) für die zentrale Verwaltung von Domänen in Windows Server 2000 eingeführt. Später, mit dem Windows Server 2008, umfasste Active Directory auch andere Dienste wie Directory Federation Services für Single Sign-On, Sicherheitszertifikate für Public Key Kryptographie, Rechteverwaltung und Lightweight Directory Access Protocol (LDAP).

Im Wesentlichen ist ein Active Directory ein Rahmenwerk für die Verwaltung mehrerer Windows Server-Domänen, wobei ein Domänencontroller ein wichtiger Teil des Active Directory ist. Er ist der Server, auf dem das Active Directory läuft und der die Benutzer anhand der im Active Directory gespeicherten Daten authentifiziert.

Ein Active Directory speichert Informationen in Form von Objekten, die in Forests, Trees und Domains organisiert sind. Jeder AD-Wald kann mehrere Domänen umfassen, und Domänencontroller verwalten die Vertrauensstellungen zwischen diesen Domänen, um den Benutzern einer Domäne den Zugang zu einer anderen Domäne zu ermöglichen.

Es gibt verschiedene Arten von Vertrauensstellungen zwischen Domänen:

  • Einseitiges Vertrauen: Benutzer/innen einer Domäne können auf die Ressourcen einer anderen Domäne zugreifen, aber nicht umgekehrt.
  • Zweiseitiges Vertrauen: Nutzer/innen einer Domäne können auf eine andere Domäne zugreifen und umgekehrt.
  • Transitives Vertrauen: Eine wechselseitige Vertrauensbeziehung, die automatisch zwischen einer übergeordneten und einer untergeordneten Domäne hergestellt wird.
  • Explizites Vertrauen: Eine Vertrauensbeziehung, die manuell vom Systemadministrator erstellt wird.
  • Forest-Trust: Ein Trust zwischen zwei Forests. Bei dieser Art von Vertrauen kann auch eine selektive Authentifizierung implementiert werden.
  • Externer Trust: Ein Trust zwischen Domänen, die zu verschiedenen Forests gehören.

Systemadministratoren können über Domänencontroller auch Sicherheitsrichtlinien, wie z. B. die Passwortkomplexität, festlegen.

Brauche ich wirklich einen Domain Controller (DC)?

Das hängt ganz davon ab, was du unter einem DC verstehst. Nach der Microsoft-Definition ist ein Domänencontroller ein Server, der es einem Benutzer ermöglicht, sich in einer Domäne zu authentifizieren, d. h. in einer Sammlung von Geräten und IT-Diensten, die in Gruppen zusammengefasst sind.

Du meldest dich also bei der Domäne an, um Dienste wie den Zugang zum Netzwerk, zu Anwendungen, zum Drucken, zur Dateifreigabe und zu E-Mails zu nutzen. In gewisser Weise war die Domäne das Äquivalent zum heutigen Single Sign-On (SSO). Die Ausnahme war natürlich, dass diese Dienste innerhalb deines lokalen Netzwerks und nicht in Webanwendungen angeboten wurden.

Sollte ich einen sekundären Domänencontroller haben?

Ein Domänencontroller authentifiziert und autorisiert Benutzer und ist damit eine der wichtigsten Sicherheitsfunktionen in einer Netzwerkinfrastruktur. Er hat alle Schlüssel für den Bereich deiner Windows Server-Domäne. Wenn dein Domänencontroller nun ausfällt, können sich deine Benutzer nicht mehr authentifizieren und auf die Ressourcen der Domäne zugreifen. Alle Anwendungen, Dienste und sogar geschäftskritische Systeme, die eine Active Directory-Authentifizierung erfordern, sind dann nicht mehr zugänglich. Die automatische Zuweisung von IP-Adressen (Internet Protocol) wird fehlschlagen, so dass die Systemadministratoren gezwungen sind, diese wieder manuell zuzuweisen.

Es kann sogar sein, dass du deinen gesamten Server von Grund auf neu aufbauen musst, was Tage oder sogar Wochen dauern kann, wenn dein Unternehmen nicht über ein etabliertes Backup-Protokoll verfügt. Deshalb ist Ausfallsicherheit so wichtig, um die Geschäftskontinuität und minimale oder gar keine Ausfallzeiten zu gewährleisten. Die Investition in einen zweiten Domänencontroller kann die Ausfallzeiten bei einem Ausfall des Domänencontrollers erheblich reduzieren. Während dein IT-Team daran arbeitet, den ausgefallenen Domänencontroller wiederherzustellen, sorgt ein zweiter Domänencontroller dafür, dass deine Nutzer/innen auf wichtige Domänenressourcen zugreifen können und dass geschäftskritische Systeme und Dienste weiterlaufen, bis alles wieder normal läuft.

Mit einem sekundären Domänencontroller kannst du einen kompletten Ausfall vermeiden. Ein aktuelles Backup auf Infrastrukturebene kann den Wiederherstellungsprozess für den primären Domänencontroller beschleunigen und vereinfachen. Das mag zunächst wie eine zusätzliche Belastung aussehen, aber es kann dein IT-Team davor bewahren, Zeit und Ressourcen zu investieren, um die gesamte Infrastruktur unter extremem Druck von Grund auf neu aufzubauen, wenn der Geschäftsbetrieb zum Stillstand kommt.

Was speichert das Active Directory?

Das Active Directory ist eine hierarchische Struktur, die Informationen über Objekte im Netzwerk speichert. Der Verzeichnisdienst, wie z. B. Active Directory Domain Services (AD DS), stellt die Methoden zum Speichern von Verzeichnisdaten und zur Bereitstellung dieser Daten für Netzwerkbenutzer und Administratoren bereit.

AD DS speichert zum Beispiel Informationen über Benutzerkonten wie Namen, Passwörter, Telefonnummern usw. und ermöglicht anderen autorisierten Benutzern im selben Netzwerk den Zugriff auf diese Informationen.

Microsofts Active Directory speichert Informationen über Objekte im Netzwerk und macht diese Informationen für Administratoren und Benutzer leicht auffindbar und nutzbar. Active Directory verwendet einen strukturierten Datenspeicher als Grundlage für eine logische, hierarchische Organisation der Verzeichnisinformationen.

Dieser Datenspeicher, der auch als Verzeichnis bezeichnet wird, enthält Informationen über Active Directory-Objekte. Zu diesen Objekten gehören in der Regel gemeinsam genutzte Ressourcen wie Server, Datenträger, Drucker und die Benutzer- und Computerkonten im Netzwerk.

Die Sicherheit ist in Microsofts Active Directory durch die Anmeldeauthentifizierung und die Zugriffskontrolle auf Objekte im Verzeichnis integriert. Mit einer einzigen Netzwerkanmeldung können Administratoren die Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten, und autorisierte Netzwerkbenutzer können überall im Netzwerk auf Ressourcen zugreifen. Die richtlinienbasierte Verwaltung erleichtert die Verwaltung selbst des komplexesten Netzwerks.

Microsofts Active Directory umfasst weiterhin:

  • Ein Regelwerk, das Schema, das die Klassen von Objekten und Attributen im Verzeichnis, die Beschränkungen und Grenzen für Instanzen dieser Objekte und das Format ihrer Namen definiert. Weitere Informationen über das Schema findest du unter Schema.
  • Ein globaler Katalog, der Informationen über jedes Objekt im Verzeichnis enthält. Er ermöglicht es Benutzern und Administratoren, Verzeichnisinformationen zu finden, unabhängig davon, in welcher Domäne des Verzeichnisses sich die Daten tatsächlich befinden. Weitere Informationen über den globalen Katalog findest du unter Die Rolle des globalen Katalogs.
  • Ein Abfrage- und Indexmechanismus, mit dem Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern oder -anwendungen gefunden werden können. Weitere Informationen zur Abfrage des Verzeichnisses findest du unter Suchen von Verzeichnisinformationen.
  • Ein Replikationsdienst, der die Verzeichnisdaten über ein Netzwerk verteilt. Alle Domänencontroller in einer Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisinformationen für ihre Domäne. Jede Änderung an den Verzeichnisdaten wird an alle Domänencontroller in der Domäne repliziert. Weitere Informationen über die Active Directory-Replikation findest du unter Replikation im Überblick.

In einem Netzwerk mit Domänencontroller können mehrere PCs zu einer Domäne zusammengefasst werden. Dort kann festgelegt werden, welche Benutzer sich mit welchem Passwort anmelden dürfen, auf welche Dateien bzw. Netzwerkfreigaben sie Zugriff haben und einiges mehr. Änderungen gelten für alle Computer, die Teil dieser Domäne.

Kurz und knapp: Eine Domäne ist ein lokaler Sicherheitsbereich mit zentraler Verwaltung der Ressourcen und stellt die administrative Grenze dar!

Übrigens: Neben Microsoft Windows Server können mit Hilfe von Samba oder Samba-TNG auch Unix und Linux als Domain Controller agieren.

Nach oben