域控制器(Domain controller,簡稱DC)是指在計算機網絡域內響應安全身份認證請求的網絡服務器,負責允許發出請求的主機訪問域內資源,以及對用戶進行身份驗證,存儲用戶賬戶信息,並執行域的安全策略。
域控制器( Domain controller,DC)是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。在第壹次安裝活動目錄時,安裝活動目錄的那臺計算機就成為域控制器,簡稱“域控”。域控制器存儲著目錄數據並管理用戶域的交互關系,其中包括用戶登錄過程、身份驗證和目錄搜索等。
壹個域可以有多個域控制器。為了獲得高可用性和容錯能力,規模較小的域只需兩個域控制器,壹個實際使用,另壹個用於容錯性檢査;規模較大的域可以使用多個域控制器。
在對等網模式下,任何壹臺電腦只要接入網絡,其他機器就都可以訪問***享資源,如***享上網等。盡管對等網絡上的***享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在“域”模式下,至少有壹臺服務器負責每壹臺聯入網絡的電腦和用戶的驗證工作,相當於壹個單位的門衛壹樣,稱為“域控制器(Domain Controller,簡寫為DC)”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時,域控制器首先要鑒別這臺電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。
如果以上信息有壹樣不正確,那麽域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows***享出來的資源,這樣就在壹定程度上保護了網絡上的資源。
要把壹臺電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這臺電腦加入到域中。這樣才能實現文件的***享。
壹、軟件
用於運行域控制器的軟件和操作系統通常由幾個跨平臺***享的關鍵組件組成。這包括操作系統(通常是Windows Server或Linux)、LDAP服務(Red Hat Directory Server等)、網絡時間服務(ntpd、chrony等)和計算機網絡身份驗證協議(通常是Kerberos)。
其他組件,例如公鑰基礎結構(Active Directory 證書服務、DogTag、OpenSSL)服務和域名系統(Windows DNS 或BIND?) 也可能包含在同壹臺服務器或另壹個加入域的服務器上。
二、實施
域控制器通常部署為集群,以確保高可用性並最大限度地提高可靠性。在 Windows 環境中,壹個域控制器充當主域控制器 (PDC),而在域服務器中提升為域控制器狀態的所有其他服務器作為備份域控制器 (BDC)。
在基於 Unix 的環境中,壹臺機器作為主域控制器,其他機器作為副本域控制器,定期從主域控制器復制數據庫信息並以只讀格式存儲。
以上內容參考?百度百科-域控制器