ตัวควบคุมโดเมน (Windows)

Q: ข้อมูลสำคัญเกี่ยวกับ ตัวควบคุมโดเมน (Windows)

บน เซิร์ฟเวอร์ของ Microsoft ตัว ควบคุมโดเมน ( DC ) คือ คอมพิวเตอร์เซิร์ฟเวอร์ [ 1 ] [ 2 ] ที่ตอบสนองต่อคำขอการตรวจสอบสิทธิ์ด้านความปลอดภัย (การเข้าสู่ระบบ ฯลฯ

บนเซิร์ฟเวอร์ของ Microsoftตัวควบคุมโดเมน ( DC ) คือคอมพิวเตอร์เซิร์ฟเวอร์^{[ 1 ]}^{[ 2 ]}ที่ตอบสนองต่อคำขอการตรวจสอบสิทธิ์ด้านความปลอดภัย (การเข้าสู่ระบบ ฯลฯ) ภายในโดเมนWindows ^{[ 3 ]}^{[ 4 ]}โดเมน เป็น แนวคิดที่นำเสนอในWindows NTซึ่งผู้ใช้สามารถได้รับสิทธิ์ในการเข้าถึงทรัพยากรคอมพิวเตอร์จำนวนหนึ่งโดยใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียว

ประวัติศาสตร์

ตัวควบคุมโดเมนหนึ่งตัวต่อโดเมนจะถูกกำหนดค่าให้เป็นตัวควบคุมโดเมนหลัก (PDC) ตัวควบคุมโดเมนอื่นๆ ทั้งหมดจะเป็นตัวควบคุมโดเมนสำรอง (BDC) ^{[ 5 ]}

เนื่องจาก PDC มีความสำคัญอย่างยิ่ง แนวทางปฏิบัติที่ดีที่สุดจึงกำหนดว่า PDC ควรใช้สำหรับบริการโดเมนโดยเฉพาะ และไม่ควรใช้สำหรับบริการไฟล์ การพิมพ์ หรือแอปพลิเคชันที่อาจทำให้ระบบช้าลงหรือล่มได้ ผู้ดูแลระบบเครือข่ายบางรายได้ดำเนินการเพิ่มเติมโดยการมี BDC ที่ออนไลน์ไว้โดยเฉพาะเพื่อเตรียมพร้อมสำหรับการเลื่อนขั้นหาก PDC ล้มเหลว

BDC สามารถตรวจสอบสิทธิ์ผู้ใช้ในโดเมนได้ แต่การอัปเดตทั้งหมดของโดเมนจะต้องทำผ่าน PDC เท่านั้น ซึ่ง PDC จะส่งต่อการเปลี่ยนแปลงเหล่านี้ไปยัง BDC ทั้งหมดในโดเมน^{[ 6 ]}^{: 707} หาก PDC ไม่พร้อมใช้งาน การอัปเดตจะล้มเหลว หาก PDC ไม่พร้อมใช้งานอย่างถาวร BDC ที่มีอยู่สามารถเลื่อนขั้นเป็น PDC ได้^{[ 6 ]}^{: 560}เวอร์ชันต่อมาได้นำActive Directory ("AD") มาใช้ ซึ่งส่วนใหญ่ได้กำจัดแนวคิดของ PDC และ BDC ออกไปเพื่อสนับสนุนการจำลองแบบหลายมาสเตอร์ [ ^{6 ] :}⁹⁷⁸อย่างไรก็ตาม ยังคงมีบทบาทหลายอย่างที่ตัวควบคุมโดเมนเพียงตัวเดียวสามารถดำเนินการได้ เรียกว่า บทบาท การทำงานมาสเตอร์เดี่ยวที่ยืดหยุ่นบทบาทเหล่านี้บางส่วนจะต้องมี DC หนึ่งตัวต่อโดเมน ในขณะที่บทบาทอื่นๆ ต้องการ DC หนึ่งตัวต่อAD Forest เท่านั้น หากเซิร์ฟเวอร์ที่ดำเนินการบทบาทเหล่านี้สูญหาย โดเมนยังคงสามารถทำงานได้ และหากเซิร์ฟเวอร์ไม่พร้อมใช้งานอีก ผู้ดูแลระบบสามารถกำหนด DC สำรองให้รับบทบาทนั้นได้ในกระบวนการที่เรียกว่า "การยึด" บทบาท^{[ 7 ]}^{: 53}

ตัวควบคุมโดเมนหลัก

ใน Windows NT 4 ตัวควบคุมโดเมน (DC) หนึ่งตัวทำหน้าที่เป็นตัวควบคุมโดเมนหลัก (PDC) ส่วนตัวอื่น ๆ หากมีอยู่ มักจะเป็นตัวควบคุมโดเมนสำรอง (BDC) โดยทั่วไปแล้ว PDC จะถูกกำหนดให้เป็น "ตัวแรก" ^{[ 8 ]} "User Manager for Domains" เป็นยูทิลิตี้สำหรับบำรุงรักษาข้อมูลผู้ใช้/กลุ่ม โดยใช้ฐานข้อมูลความปลอดภัยของโดเมนบนตัวควบคุมหลัก PDC มีสำเนาหลักของฐานข้อมูลบัญชีผู้ใช้ซึ่งสามารถเข้าถึงและแก้ไขได้ คอมพิวเตอร์ BDC มีสำเนาของฐานข้อมูลนี้ แต่สำเนาเหล่านี้เป็นแบบอ่านอย่างเดียว PDC จะจำลองฐานข้อมูลบัญชีไปยัง BDC เป็นประจำ^{[ 9 ]} BDC มีอยู่เพื่อให้เป็นตัวสำรองของ PDC และยังสามารถใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้ที่เข้าสู่ระบบเครือข่ายได้ หาก PDC ล้มเหลว BDC ตัวใดตัวหนึ่งสามารถได้รับการเลื่อนขั้นให้เข้ามาแทนที่ได้ โดยปกติแล้ว PDC จะเป็นตัวควบคุมโดเมนตัวแรกที่ถูกสร้างขึ้น เว้นแต่จะถูกแทนที่ด้วย BDC ที่ได้รับการเลื่อนขั้น

การจำลอง PDC (ตัวควบคุมโดเมนหลัก)

ใน Windows รุ่นใหม่ โดเมนได้รับการเสริมด้วยการใช้ บริการ Active Directoryในโดเมน Active Directory แนวคิดของความสัมพันธ์ระหว่างตัวควบคุมโดเมนหลักและรองจะไม่ถูกนำมาใช้อีกต่อไป ตัวจำลอง PDC จะเก็บฐานข้อมูลบัญชีและเครื่องมือการจัดการ ส่งผลให้ภาระงานหนักอาจทำให้ระบบทำงานช้าลง บริการ DNS อาจได้รับการติดตั้งบนเครื่องจำลองรองเพื่อลดภาระงานบนตัวจำลอง PDC กฎเดียวกันนี้ยังคงใช้ได้ กล่าวคือ อาจมี PDC เพียงตัวเดียวในโดเมน แต่ยังคงสามารถใช้เซิร์ฟเวอร์การจำลองหลายตัวได้^{[ 10 ]}

ตัวจำลอง PDC หลักจะทำหน้าที่แทน PDC หากยังมี ตัวควบคุมโดเมน Windows NT 4.0 (BDC) หลงเหลืออยู่ในโดเมน โดยทำหน้าที่เป็นแหล่งข้อมูลสำหรับการจำลองข้อมูลของ BDC เหล่านั้น
มาสเตอร์ของ PDC emulator จะได้รับการจำลองการเปลี่ยนแปลงรหัสผ่านภายในโดเมนก่อนเป็นลำดับแรก เนื่องจากต้องใช้เวลาในการจำลองการเปลี่ยนแปลงรหัสผ่านไปยังตัวควบคุมโดเมนทั้งหมดในโดเมน Active Directory มาสเตอร์ของ PDC emulator จึงได้รับการแจ้งเตือนเกี่ยวกับการเปลี่ยนแปลงรหัสผ่านทันที และหากการพยายามเข้าสู่ระบบล้มเหลวที่ตัวควบคุมโดเมนอื่น ตัวควบคุมโดเมนนั้นจะส่งต่อคำขอเข้าสู่ระบบไปยังมาสเตอร์ของ PDC emulator ก่อนที่จะปฏิเสธคำขอนั้น
เครื่องจำลอง PDC หลักยังทำหน้าที่เป็นเครื่องที่ตัวควบคุมโดเมนทั้งหมดในโดเมนจะซิงโครไนซ์นาฬิกาของตนด้วย โดยจะต้องกำหนดค่าให้ซิงโครไนซ์กับแหล่งเวลาNTP ภายนอกด้วย ^{[ 11 ]}

แซมบ้า

ตัวควบคุมโดเมนหลัก (PDC) ได้รับการสร้างขึ้นใหม่อย่างถูกต้องบน การจำลอง Sambaของระบบไคลเอ็นต์/เซิร์ฟเวอร์SMB ของ Microsoft Sambaมีความสามารถในการจำลองโดเมน NT 4.0 เช่นเดียวกับ Active Directory Domain Services ที่ทันสมัย^{[ 12 ]}บนเครื่องLinux ^{[ 13 ]}

ตัวควบคุมโดเมนสำรอง

ในโดเมน Windows NT 4 ตัวควบคุมโดเมนสำรอง (BDC) คือคอมพิวเตอร์ที่มีสำเนาฐานข้อมูลบัญชีผู้ใช้ ซึ่งแตกต่างจากฐานข้อมูลบัญชีผู้ใช้บน PDC ตรงที่ฐานข้อมูลบน BDC เป็นสำเนาแบบอ่านอย่างเดียว เมื่อมีการเปลี่ยนแปลงเกิดขึ้นกับฐานข้อมูลบัญชีผู้ใช้หลักบน PDC PDC จะส่งการอัปเดตไปยัง BDC ตัวควบคุมโดเมนเพิ่มเติมเหล่านี้มีไว้เพื่อรองรับความผิดพลาดหาก PDC ล้มเหลว ก็สามารถแทนที่ได้ด้วย BDC ในกรณีดังกล่าว ผู้ดูแลระบบจะเลื่อนระดับ BDC ให้เป็น PDC ใหม่ BDC ยังสามารถตรวจสอบความถูกต้องของการเข้าสู่ระบบของผู้ใช้และช่วยลดภาระการตรวจสอบความถูกต้องจาก PDC ได้อีกด้วย

เมื่อWindows 2000เปิดตัว โดเมน NT ที่พบใน NT 4 และเวอร์ชันก่อนหน้าถูกแทนที่ด้วยActive Directoryในโดเมน Active Directory ที่ทำงานในโหมดเนทีฟ แนวคิดของ PDC และ BDC จะไม่มีอยู่ ในโดเมนเหล่านี้ ตัวควบคุมโดเมนทั้งหมดถือว่าเท่าเทียมกัน ผลข้างเคียงของการเปลี่ยนแปลงนี้คือการสูญเสียความสามารถในการสร้างตัวควบคุมโดเมนแบบ "อ่านอย่างเดียว" Windows Server 2008ได้นำความสามารถนี้กลับมาอีกครั้ง

การตั้งชื่อ

Windows Server สามารถเป็นได้ 3 ประเภท ได้แก่ "ตัวควบคุมโดเมน" ของ Active Directory (ซึ่งทำหน้าที่ให้ข้อมูลประจำตัวและการตรวจสอบสิทธิ์) "เซิร์ฟเวอร์สมาชิก" ของ Active Directory (ซึ่งให้บริการเสริม เช่น ที่เก็บไฟล์และสคีมา) และ"เซิร์ฟเวอร์แบบสแตนด์อะโลน" ของ Windows Workgroup ^{[ 14 ]}บางครั้ง Microsoft ใช้คำว่า "เซิร์ฟเวอร์ Active Directory" เป็นคำพ้องความหมายกับ "ตัวควบคุมโดเมน" ^{[ 15 ]}^{[ 16 ]}^{[ 17 ]}^{[ 18 ]}^{[ 19 ]}แต่ไม่แนะนำให้ใช้คำนี้^{[ 20 ]}

ลิงก์ภายนอก

วิธีการระบุตำแหน่งของตัวควบคุมโดเมนใน Windows
ตัวควบคุมโดเมนโอเพนซอร์สที่ผสานรวมไว้ล่วงหน้า

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]