Pengontrol domain adalah komputer server yang mengelola domain dan menyimpan replika direktori domain (database domain lokal). Karena sebuah domain dapat memiliki beberapa pengontrol domain, semuanya disimpan salinan lengkap bagian dari direktori milik mereka.

Berikut ini adalah fungsi pengontrol domain.

• Setiap pengontrol domain menyimpan salinan lengkap semua informasi Direktori Aktif terkait dengan domainnya, dan juga mengelola perubahan pada informasi ini dan mereplikasikannya ke pengontrol lain di domain yang sama.
• Semua pengontrol di domain secara otomatis mereplikasi semua objek di domain satu sama lain. Setiap perubahan yang dilakukan pada Direktori Aktif sebenarnya dilakukan pada salah satu pengontrol domain. Pengontrol domain ini kemudian mereplikasi perubahan ke pengontrol lainnya dalam domainnya. Dengan mengatur frekuensi replikasi dan jumlah data yang akan ditransfer Windows pada setiap replikasi, Anda dapat mengontrolnya lalu lintas jaringan antara pengontrol domain.
• Pembaruan penting, seperti menonaktifkan akun pengguna, pengontrol domain akan segera mereplikasi.
• Direktori Aktif menggunakan replikasi multimaster, yang mana tidak ada pengontrol domain tunggal yang menjadi masternya. Semua pengontrol adalah sama, dan setiap pengontrol berisi salinan database direktori yang dapat dimodifikasi. Untuk jangka waktu singkat, informasi dalam salinan ini mungkin berbeda hingga semua pengontrol sinkron satu sama lain.
• Memiliki banyak pengontrol dalam satu domain memberikan toleransi kesalahan. Jika salah satu pengontrol domain tidak tersedia, pengontrol domain lainnya akan melakukan semua operasi yang diperlukan, seperti menulis perubahan pada Direktori Aktif.
• Pengontrol domain mengelola interaksi antara pengguna dan domain, seperti menemukan objek Direktori Aktif dan mendeteksi upaya masuk jaringan.

Ada dua peran master operasi yang dapat ditetapkan ke pengontrol domain tunggal di hutan (peran yang beroperasi melintasi batas hutan):

• Pemilik skema ( Master Skema). Pengontrol domain pertama di hutan mengambil peran sebagai master skema dan bertanggung jawab untuk memelihara dan menyebarkan skema ke seluruh hutan. Ia memelihara daftar semua kemungkinan kelas objek dan atribut yang mendefinisikan objek yang berada di Direktori Aktif. Jika skema perlu diperbarui atau diubah, Master Skema diperlukan.
• Master Penamaan Domain. Mencatat penambahan dan penghapusan domain di hutan dan sangat penting untuk menjaga integritas domain. Master Penamaan Domain diminta ketika domain baru ditambahkan ke hutan. Jika Master Penamaan Domain tidak tersedia, penambahan domain baru tidak dapat dilakukan; namun, peran ini dapat ditransfer ke pengontrol lain jika diperlukan.

Ada tiga peran master operasi yang dapat ditetapkan ke salah satu pengontrol di setiap domain (peran seluruh domain).

• Master Pengidentifikasi Relatif (RID). Bertanggung jawab untuk mengalokasikan rentang pengidentifikasi relatif (RID) ke semua pengontrol di domain. SID masuk Server Windows 2003 terdiri dari dua bagian. Bagian pertama bersifat umum untuk semua objek dalam domain; untuk membuat SID unik, RID unik ditambahkan ke bagian ini. Bersama-sama mereka secara unik mengidentifikasi suatu objek dan menunjukkan di mana objek itu dibuat.
• Emulator Pengontrol Domain Utama (PDC). Bertanggung jawab atas Emulasi Windows NT 4.0 PDC untuk mesin klien yang belum diterjemahkan ke Windows 2000, Windows Server 2003, atau Windows XP dan belum menginstal Klien Layanan Direktori. Salah satu tugas utama emulator PDC adalah mendaftarkan klien lama. Selain itu, emulator PDC dihubungi jika otentikasi klien gagal. Hal ini memungkinkan emulator PDC memeriksa sandi yang baru saja diubah untuk klien lama di domain sebelum menolak permintaan login.
• Master Infrastruktur. Mendaftarkan perubahan yang dilakukan pada objek yang dikontrol di domain. Semua perubahan pertama kali dilaporkan ke Master Infrastruktur, dan baru kemudian direplikasi ke pengontrol domain lainnya. Master Infrastruktur memproses informasi grup dan keanggotaan untuk semua objek dalam domain. Tugas lain dari Master Infrastruktur adalah mengkomunikasikan informasi tentang perubahan yang dilakukan pada objek ke domain lain.

Beras. 3.4. Distribusi default peran utama operasi kehutanan

Peran Global Catalog Server (GC) dapat dilakukan oleh pengontrol domain individual mana pun di domain - salah satu fungsi server yang dapat ditetapkan ke pengontrol domain. Server katalog global melakukan dua tugas penting. Mereka memungkinkan pengguna untuk masuk ke jaringan dan menemukan objek di bagian mana pun di hutan. Katalog global berisi subset informasi dari setiap partisi domain dan direplikasi di antara server katalog global di domain tersebut. Ketika pengguna mencoba masuk ke jaringan atau mengakses sumber daya jaringan dari mana saja di hutan, permintaan diselesaikan melalui katalog global. Tugas lain dari direktori global yang berguna tidak peduli berapa banyak domain yang Anda miliki di jaringan Anda adalah untuk berpartisipasi dalam proses otentikasi ketika pengguna masuk ke jaringan. Ketika pengguna log on ke jaringan, namanya pertama kali diperiksa berdasarkan isi direktori global. Ini memungkinkan Anda untuk masuk ke jaringan dari komputer di domain selain tempat akun pengguna yang diinginkan disimpan.

Pengontrol domain berjalan di bawah Kontrol jendela Server 2003, menyimpan data direktori dan mengelola interaksi domain pengguna, termasuk proses masuk pengguna, otentikasi, dan pencarian direktori. Pengontrol domain dibuat dengan menggunakan Active Directory Setup Wizard.

Di Windows NT Server, untuk keandalan, pengontrol domain dibuat bersama dengan pengontrol domain utama, pengontrol domain cadangan. Di Windows 2000 dan Windows Server 2003, semuanya sama.

Windows NT

Di jaringan Windows NT, satu server digunakan sebagai pengontrol domain utama (PDC), dan semua server lainnya bertindak sebagai pengontrol domain cadangan (BDC).

BDC dapat mengautentikasi pengguna di domain, namun semua pembaruan pada domain (menambahkan pengguna baru, mengubah sandi, keanggotaan grup, dll.) hanya dapat dilakukan melalui PDC, yang kemudian disebarkan ke semua pengontrol domain cadangan. Jika PDC tidak tersedia, pembaruan tidak dapat dilakukan. Jika PDC terus menerus tidak tersedia, BDC yang ada dapat dipromosikan ke peran PDC.

jendela 2000

Windows 2000 dan yang lebih baru memperkenalkan Active Directory (AD), yang secara virtual menghilangkan konsep pengontrol domain primer dan cadangan demi beberapa master replikasi (model replikasi peer-to-peer (Bahasa inggris)).

Namun, ada beberapa peran yang diinstal secara default pada DC pertama di jaringan. Mereka disebut operasi master tunggal yang fleksibel (FSMO). Beberapa dari peran ini bertanggung jawab atas suatu domain, yang lain bertanggung jawab atas hutan domain. Jika server yang menjalankan salah satu peran ini tidak tersedia, domain akan terus berfungsi. Jika server tidak tersedia sepanjang waktu, DC lain dapat mengambil alih peran pengontrol (sebuah proses yang dikenal sebagai pembajakan peran).

Windows Server 2008 dan versi yang lebih baru dapat digunakan sebagai Hanya Baca Pengontrol Domain (RODC). Memperbarui informasi tentang mereka dimungkinkan melalui replikasi dari DC lain.

Samba 4.0/4.1

Pada sistem mirip Unix, Samba 4.x dapat berfungsi sebagai pengontrol domain, mendukung skema hutan Domain Windows 2003, 2003 R2, 2008, 2008 R2, yang selanjutnya dapat diperpanjang, dapat digunakan sebagai RODC.

Memasang pengontrol domain adalah bagian penting jaringan komputer, pada dasarnya mengendalikan pekerjaannya. Tugas utamanya adalah menjalankan layanan Active Directory yang penting. Ia bekerja dengan otoritas distribusi utama - Kerberos.

Juga menyediakan pekerjaan pada sistem yang kompatibel dengan Unix. Di dalamnya kit bertindak sebagai pengontrol perangkat lunak Samba.

Pengontrol domain digunakan untuk membuat jaringan lokal, di mana pengguna dapat masuk dengan nama dan kredensial mereka. Mereka harus melakukan ini di semua komputer. Selain itu, memasang pengontrol domain memastikan bahwa hak akses ditentukan pada jaringan dan keamanannya dikelola. Dengan bantuannya, Anda dapat mengelola seluruh jaringan secara terpusat, dan ini sangat penting.

Pengontrol domain juga dapat berjalan di Windows Server 2003. Ini adalah cara mereka menyimpan semua data direktori, mengelola operasi pengguna dan domain, mengontrol login pengguna, memverifikasi keaslian direktori, dan sebagainya. Semuanya dapat dibuat menggunakan penginstal Direktori Aktif. Ini juga dapat bekerja pada Windows NT. Di sini, agar dapat bekerja lebih andal, itu dibuat pengontrol tambahan. Ini akan terhubung ke pengontrol utama.

DI DALAM jaringan jendela NT ada satu server. Ini dapat digunakan untuk mengoperasikan pengontrol domain primer, atau PDC. Semua server lain berfungsi sebagai server tambahan. Mereka, misalnya, dapat melakukan verifikasi semua pengguna, menyimpan dan memverifikasi kata sandi, serta operasi penting lainnya. Tetapi pada saat yang sama, mereka tidak dapat menambahkan pengguna baru ke server, juga tidak dapat mengubah kata sandi dan sejenisnya, yaitu pengaturan pengontrol domain kurang beragam. Operasi ini hanya dapat dilakukan dengan menggunakan PDC. Perubahan yang dilakukan pada domain tersebut kemudian dapat disebarkan ke semua domain cadangan. Jika server utama tidak tersedia, maka domain cadangan tidak dapat dipromosikan ke level server utama.

Namun, Anda dapat menyiapkan pengontrol domain, jaringan, dan menaikkan level domain di komputer mana pun dan di rumah. Kebijaksanaan ini mudah dipelajari sendiri. Semua alat yang diperlukan untuk ini terletak di Panel Kontrol – Tambah atau Hapus Program – Menginstal Komponen Sistem. Benar, Anda harus bekerja dengannya dengan terlebih dahulu menginstal disk dengan OS di komputer Anda. Anda dapat meningkatkan peran komputer Anda menggunakan baris perintah dengan memasukkan perintah dcpromo ke dalamnya.

Selain itu, pemeriksaan pengontrol domain dapat dengan mudah dilakukan menggunakan utilitas khusus yang benar-benar bekerja dalam mode otomatis, yaitu memungkinkan Anda mendapatkan informasi yang diperlukan setelah memulai program dan menyesuaikan pengoperasian pengontrol setelah melakukan diagnostik. Misalnya, Anda dapat menggunakan utilitas Ntdsutil.exe, yang menyediakan kemampuan untuk menyambung ke pengontrol domain yang baru diinstal untuk menguji kemampuannya dalam merespons permintaan LDAP. Selain itu, dengan menggunakan perangkat lunak ini, dimungkinkan untuk menentukan apakah pengontrol memiliki informasi tentang lokasi peran FSMO di domainnya sendiri.

ada tambahan lagi cara sederhana, yang memungkinkan Anda mendiagnosis pengoperasian pengontrol yang sesuai. Secara khusus, Anda dapat pergi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (kunci registri) dan mencari subkunci NTDS di sana, yang keberadaannya menunjukkan fungsi normal pengontrol domain. Ada metode untuk memasukkan akun bersih ke dalamnya baris perintah dan di sana, jika komputer adalah pengontrol domain, Anda akan melihat nilai BACKUP atau PRIMARY di baris peran Komputer;

Pengontrol domain adalah server yang berjalan di bawah sistem operasi Windows Server dengan Layanan Domain Direktori Aktif diinstal. Pada artikel ini, kita akan melihat secara singkat tujuan pengontrol domain, fungsinya, dan pentingnya konfigurasi yang tepat.

Tujuan

Agar tidak masuk ke dalam jumlah besar Secara teknis, pengontrol domain adalah server yang mendukung Active Directory. Mereka menyimpan informasi tentang akun pengguna dan komputer milik domain, skema, serta salinan database mereka sendiri Datanya Aktif Direktori yang mendukung penulisan. Selain itu, pengontrol domain bertindak sebagai komponen keamanan pusat dalam sebuah domain. Organisasi semacam itu memungkinkan Anda untuk secara fleksibel mengonfigurasi kebijakan keamanan di dalamnya jaringan perusahaan, serta mengizinkan, atau sebaliknya, melarang kelompok tertentu akses pengguna ke sumber daya tertentu.

Fungsi dasar pengontrol domain:

• Menyimpan salinan lengkap informasi Direktori Aktif yang terkait dengan domain tertentu, mengelola dan mereplikasi informasi ini ke pengontrol lain yang termasuk dalam domain ini;
• Mereplikasi informasi direktori di semua objek domain Aktif Direktori;
• Menyelesaikan konflik replikasi ketika atribut yang sama telah diubah pengontrol yang berbeda sampai replikasi dimulai.

Manfaat bisnis

Keuntungan sistem terpusat berdasarkan pengontrol domain:

1. Basis data tunggal untuk otentikasi. Pengontrol domain menyimpan semua akun dalam satu database, dan setiap pengguna yang merupakan bagian dari domain komputer menghubungi pengontrol domain untuk masuk. Membagi pengguna ke dalam kelompok yang sesuai memudahkan pengorganisasian akses terdistribusi ke dokumen dan aplikasi. Jadi, ketika ada pegawai baru yang muncul, cukup berkreasi untuknya akun dalam grup yang sesuai dan karyawan akan secara otomatis memiliki akses ke semua sumber daya dan perangkat jaringan yang diperlukan. Ketika seorang karyawan keluar, cukup memblokir akunnya untuk mencabut semua akses.
2. Titik tunggal manajemen kebijakan. Pengontrol domain memungkinkan Anda mendistribusikan komputer dan akun pengguna di seluruh unit organisasi dan menerapkan perbedaan kebijakan kelompok, menentukan pengaturan dan parameter keamanan untuk sekelompok komputer dan pengguna (misalnya, akses ke printer jaringan, perlengkapan aplikasi yang diperlukan, pengaturan browser, dll.). Jadi, ketika komputer atau pengguna baru ditambahkan ke domain, maka secara otomatis akan menerima semua pengaturan dan akses yang ditentukan untuk departemen tertentu.
3. Keamanan. Pengaturan yang fleksibel Prosedur otentikasi dan otorisasi, bersama dengan manajemen terpusat, dapat meningkatkan keamanan infrastruktur TI dalam organisasi secara signifikan. Selain itu, pengontrol domain dipasang secara fisik di tempat khusus, terlindung dari akses eksternal.
4. Integrasi yang disederhanakan dengan layanan lain. Menggunakan pengontrol domain sebagai satu titik otentikasi memungkinkan pengguna untuk menggunakan akun yang sama saat bekerja dengannya alat tambahan dan layanan (mis. layanan pos, program perkantoran, server proxy, pesan instan, dll.).

Pengaturan

Pengontrol domain berdasarkan Layanan Domain Direktori Aktif adalah elemen kunci infrastruktur TI, yang menyediakan kontrol akses dan perlindungan data dalam organisasi. Berfungsi tidak hanya pengontrol domain itu sendiri, tetapi juga Direktori Aktif secara keseluruhan (misalnya, distribusi kebijakan keamanan dan aturan akses), yang pada gilirannya mempengaruhi pengoperasian semua layanan terkait dan juga menentukan tingkat keamanan, bergantung pada pada konfigurasi pengontrol domain yang benar.

Itu sebabnya, jika perusahaan Anda berencana untuk mengoptimalkan prosedur akses sumber daya perusahaan, meningkatkan keamanan dan menyederhanakan tugas administratif rutin dengan beralih ke manajemen terpusat, spesialis IT Svit akan membantu menyelesaikan masalah perencanaan yang tepat dari struktur jaringan perusahaan yang dapat diskalakan dan komponennya, serta menyiapkan dan menerapkan lebih lanjut pengontrol domain dalam hal ini jaringan.