[科普中國]-域控制器

域控制器是指在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

詳細(xì)釋義域控制器( Domain controller，DC)是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。在第一次安裝活動目錄時,安裝活動目錄的那臺計算機就成為域控制器,簡稱“域控”。域控制器存儲著目錄數(shù)據(jù)并管理用戶域的交互關(guān)系,其中包括用戶登錄過程、身份驗證和目錄搜索等。一個域可以有多個域控制器。為了獲得高可用性和容錯能力,規(guī)模較小的域只需兩個域控制器,一個實際使用,另一個用于容錯性檢査;規(guī)模較大的域可以使用多個域控制器。1

在對等網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構(gòu)成的對等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。

不過在“域”模式下，至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡(luò)上的資源。

要把一臺電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由網(wǎng)絡(luò)管理員進行相應(yīng)的設(shè)置，把這臺電腦加入到域中。這樣才能實現(xiàn)文件的共享。

組成域控制器中包含了這個域的用戶賬戶、密碼和屬于這個域的電腦等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦連入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息不正確，域控制器就拒絕該用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護的資源，只能以對等網(wǎng)用戶的方式訪問Windows共享的資源，這樣就一定程度上保護了網(wǎng)絡(luò)上的資源。

其實域和工作組在結(jié)構(gòu)上很相似，只是表現(xiàn)形式有些不同：

1、工作組：只能將數(shù)量不多的電腦連成一個可互相共享資源的網(wǎng)絡(luò)，在這種工作方式下，信息的安全保護只能靠給共享信息設(shè)置密碼或?qū)⑹褂脵?quán)限設(shè)置給特殊用戶來實現(xiàn)。

2、域：采用域控制器來進行信息管理，每個用戶都有自己的賬號和密碼，并且可根據(jù)不同的情況賦予不同的使用權(quán)限，這種方式不但使網(wǎng)絡(luò)信息安全得到了非常好的保障，同時也滿足了大中型網(wǎng)絡(luò)的要求。2

域控制器操作服務(wù)器端設(shè)置以系統(tǒng)管理員身份在已經(jīng)設(shè)置好Active Directory（活動目錄）的Windows 2000 Server上登錄，選擇“開始”菜單中“程序”選項中的“管理工具”，然后再選擇“Active Directory用戶和計算機”，之后在程序界面中右擊“Computers”，在彈出的菜單中單擊“新建”，然后選擇“計算機”，之后填入想要加入域的計算機名即可。要加入域的計算機名最好為英文，中文計算機名可能會引起一些問題。

客戶端設(shè)置首先要確認(rèn)計算機名稱是否正確，然后在桌面“網(wǎng)上鄰居”上右擊鼠標(biāo)，點擊“屬性”出現(xiàn)網(wǎng)絡(luò)屬性設(shè)置窗口，確認(rèn)“主網(wǎng)絡(luò)登錄”為”Microsoft網(wǎng)絡(luò)用戶”。選中窗口上方的“Microsoft網(wǎng)絡(luò)用戶”（如果沒有此項，說明沒有安裝，點擊“添加”安裝“Microsoft網(wǎng)絡(luò)用戶”選項）。點擊“屬性”按鈕，出現(xiàn)“Microsoft網(wǎng)絡(luò)用戶屬性”對話框，選中“登錄到Windows NT域”復(fù)選框，在“Windows NT域”中輸入要登錄的域名即可。這時，如果是Windows 98操作系統(tǒng)的話，系統(tǒng)會提示需要重新啟動計算機，重新啟動計算機之后，會出現(xiàn)一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之后，就可以使用Windows 2000 Server域中的資源了。請注意，這里的域用戶賬號和密碼，必須是網(wǎng)絡(luò)管理員為用戶建的那個賬號和密碼，而不是由本機用戶自己創(chuàng)建的賬號和密碼。如果沒有將計算機加入到域中，或者登錄的域名、用戶名、密碼有一項不正確，都會出現(xiàn)錯誤信息。

只讀域控制器只讀域控制器（RODC）是一種新型的用于 Windows Server 2008操作系統(tǒng)的域控制器，它的安全性得到了提高，同時能夠更加快速的登錄訪問網(wǎng)絡(luò)資源。在Windows Server 2008操作系統(tǒng)中，為了能夠支持只讀域控制器（RODC），在域名解析系統(tǒng)（DNS）中添加了新的活動目錄域密碼復(fù)制策略。而為了部署只讀域控制器（RODC），在Windows Server 2008操作系統(tǒng)中必須至少運行一個可寫域控制器。域的功能及和森林應(yīng)該是Windows Server 2003系統(tǒng)中或其它更高系統(tǒng)中的單向復(fù)制，只讀AD DS數(shù)據(jù)庫，憑據(jù)緩存，管理員角色分隔等只讀域控制器的功能。

保留最新活動目錄狀態(tài)活動目錄（AD）不是一個靜態(tài)的實體，而是一個動態(tài)數(shù)據(jù)集——駐留在數(shù)據(jù)中心內(nèi)的域控制器內(nèi)——執(zhí)行既定規(guī)則和跟蹤整個網(wǎng)絡(luò)域的用戶的當(dāng)前狀態(tài)和系統(tǒng)?；赪indows的網(wǎng)絡(luò)可容納多個域控制器。對于更大、更復(fù)雜的物理隔離的網(wǎng)絡(luò)來說，域控制器可能是必不可少的。任何域控制器實例的變化最終會被復(fù)制到網(wǎng)絡(luò)內(nèi)的其他域控制器上。這個過程稱為多主機復(fù)制。

然而，在任何域控制器發(fā)生更改時，會存在一個嚴(yán)重的同步問題。AD依靠一些元素來跟蹤變化并確保將這些變化及時同步。其中最重要的兩個元素是更新序列號（USN）和Invocation ID。

USN是一個64位的數(shù)字，每次增量變化發(fā)生在域控制器（如對象創(chuàng)建、修改或刪除)。USN從不減少，永遠(yuǎn)是獨一無二的，所以域控制器永遠(yuǎn)不會同時使用相同的USN。獨特的USN好于時間戳，因為它幾乎是不可能保持時鐘同步或網(wǎng)段之間的延遲。一旦原始的USN產(chǎn)生增量，更改將復(fù)制到其他域控制器，相應(yīng)的USN也會增加相同數(shù)量。

AD的變化是可以復(fù)制的，重要的是要確定所有的域控制器都經(jīng)過更新。這里有兩個元素：全局唯一標(biāo)識符（GUID），基本上就是每個域控制器的靜態(tài)“名字”；另一個是Invocation ID，基本上詳細(xì)說明了每個AD更新的當(dāng)前“狀態(tài)”。例如，當(dāng)恢復(fù)一個域控制器時，Invocation ID進行重置，其他域控制器要確保將改變發(fā)布到恢復(fù)的域控制器上。這是一個重要的問題。如果域控制器恢復(fù)不當(dāng)，Invocation ID可能不會重置并更新域控制器來匹配其他域控制器——這將為企業(yè)造成嚴(yán)重的AD復(fù)制問題。

AD復(fù)制過程中還涉及其他元素來確定這些變化是必要的，并防止不必要的復(fù)制消耗網(wǎng)絡(luò)帶寬（甚至讓復(fù)制過程失控），但是USN和Invocation ID是最常見的用來協(xié)調(diào)域控制器之間AD復(fù)制的數(shù)據(jù)元素。

域控制器變化域控制器活動目錄森林可以通過升級或者遷移兩種方式進行更新。需要知道域控制器更新前后，域控制器發(fā)生了哪些主要的變化。

域控制器的好處之一是，可以獲得Windows Server 2012 R2域和森林級別的功能，域控制器包含了以前所有級別的功能所提供的優(yōu)勢。

域控制器功能升級后的缺點是，可能受限于只支持域控制器運行的操作系統(tǒng)。例如，如果將域控制器功能級別升級到Windows Server 2012，你只能使用運行Windows Server 2012和Windows Server 2012 R2功能級別的域控制器。

提高域控制器功能級別并不意味著所有的服務(wù)器都不能運行早期版本的操作系統(tǒng)。例如，你仍然可以在一個Windows Server 2012 R2功能級別的域控制器上運行Windows Server 2003服務(wù)器。

本詞條內(nèi)容貢獻者為:

徐恒山 - 講師 - 西北農(nóng)林科技大學(xué)