Definition

Domänencontroller (Domain Controller)

Was ist ein Domänencontroller?

Domänencontroller (Domain Controller) sind für die Verarbeitung von Authentifizierungsanfragen der Benutzer innerhalb einer Computerdomäne zuständig. Insbesondere haben sie eine zentrale Funktion in Active-Directory-Domänen, aber auch bei anderen Identitätsmanagementsystemen spielen sie eine Rolle.

Domänencontroller duplizieren Verzeichnisdienstinformationen für ihre Domänen, einschließlich Benutzer, Authentifizierungsnachweise und Sicherheitsrichtlinien des Unternehmens.

Hauptfunktionen des Domänencontrollers

Domänencontroller schränken den Zugriff auf Domänenressourcen ein, indem sie die Benutzeridentität durch Anmeldeinformationen authentifizieren und den nicht autorisierten Zugriff auf diese Ressourcen verhindern.

Domänencontroller wenden Sicherheitsrichtlinien auf Anfragen für den Zugriff auf Domänenressourcen an. In einer Windows AD-Domäne bezieht der Domänencontroller die Authentifizierungsinformationen für Benutzerkonten aus Active Directory.

Ein Domänencontroller lässt sich als Einzelsystem betreiben, wird aber normalerweise in Clustern implementiert, um die Zuverlässigkeit und Verfügbarkeit zu verbessern. Bei Domänencontrollern für Windows AD, besteht jedes Cluster aus einem primären Domänencontroller (Primary Domain Controller, PDC) und einem oder mehreren Backup-Domänencontrollern (Backup Domain Controller, BDC). In Unix- und Linux-Umgebungen kopieren Replikat-Domänencontroller die Authentifizierungsdatenbanken vom primären Domänencontroller.

Active Directory Services
Abbildung 1: Domänendienste werden von Domänencontrollern bereitgestellt und sind Teil des Active Directorys.

Warum der Domänencontroller wichtig ist

Domänencontroller kontrollieren den gesamten Domänenzugriff, indem sie den unbefugten Zugriff auf Domänennetzwerke blockieren und gleichzeitig den Benutzern den Zugriff auf alle autorisierten Verzeichnisdienste erlauben.

Der Domänencontroller vermittelt den gesamten Zugriff auf das Netzwerk, daher ist es wichtig, ihn mit zusätzlichen Sicherheitsmechanismen zu schützen, wie zum Beispiel:

  • Firewalls
  • gesicherte und isolierte Netzwerke
  • Sicherheitsprotokolle und Verschlüsselung zum Schutz gespeicherter und in Bewegung befindlicher Daten
  • eingeschränkte Verwendung unsicherer Protokolle, wie zum Beispiel des Remote Desktop Protocols (RDP), auf Steuergeräten
  • Einsatz an einem aus Sicherheitsgründen räumlich abgegrenzten Ort
  • beschleunigtes Patch- und Konfigurationsmanagement
  • Sperrung des Internetzugangs für Domänencontroller

Domänencontroller kontrollieren den gesamten Zugriff auf Computerressourcen in einer Organisation. Sie müssen daher so konzipiert sein, dass sie Angriffen widerstehen und auch unter ungünstigen Bedingungen funktionieren.

Einrichtung des Domänencontrollers in Active Directory

Die Domänensteuerung ist eine Funktion von Microsofts Active Directory und Domänencontroller sind Server, die Active Directory nutzen, um auf Authentifizierungsanfragen zu reagieren.

Experten raten davon ab, sich auf einen einzigen Domänencontroller zu verlassen, selbst bei kleineren Domänen. Bewährte Verfahren sehen einen primären Domänencontroller und mindestens einen Backup-Domänencontroller vor, um Ausfallzeiten aufgrund der Nichtverfügbarkeit des Systems zu vermeiden.

Eine weitere bewährte Methode besteht darin, jeden Domänencontroller auf einem eigenständigen, physischen Server zu installieren. Das gilt auch für virtuelle Domänencontroller, die auf virtuellen Maschinen (VMs) laufen, die auf verschiedenen physischen Hosts platziert sind.

Domänencontroller können sowohl physische als auch virtuelle Server sein.

Die Schritte zum Einrichten eines AD-Domänencontrollers umfassen:

  • Bewertung der Domäne: Der erste Schritt beim Einrichten eines Domänencontrollers besteht darin, die Domäne zu bewerten, in der der Controller eingerichtet werden soll. Im Rahmen dieser Bewertung sollten Sie bestimmen, welche Arten von Domänencontrollern Sie benötigen, wo sie sich befinden werden und wie sie mit den bestehenden Systemen in der Domäne zusammenarbeiten.
  • Neue Bereitstellung oder Ergänzung: Unabhängig davon, ob Sie eine neue Bereitstellung von AD-Domänencontrollern planen oder einen neuen Controller für eine vorhandene Domäne hinzufügen, bestimmen Sie den Standort des Domänencontrollers und die Ressourcen, die zum Ausführen des zentralisierten Domänencontrollers und aller virtuellen Domänencontroller erforderlich sind.
  • Security by Design: Es ist unerlässlich, einen Domänencontroller vor internen oder externen Angriffen zu schützen. Entwerfen Sie die Architektur des Domänencontrollers so, dass er vor Unterbrechungen der Dienste aufgrund von Verbindungsabbrüchen, Stromausfällen oder Systemfehlern geschützt ist.

Die Besonderheiten beim Einrichten und der Konfiguration von AD-Domänencontrollern hängen von der in der Domäne verwendeten Version von Windows Server ab. Im folgenden Video sehen Sie, wie Sie einen Domänencontroller in Windows Server 2019 einrichten.

Weitere Implementierungsmöglichkeiten von Domänencontrollern

Die folgenden Optionen sind bei der Einrichtung eines Domänencontrollers mit AD verfügbar:

  • Domain-Name-System-Server (DNS): Der Domänencontroller lässt sich so konfigurieren, dass er als DNS-Server fungiert. Dell empfiehlt, mindestens einen Domänencontroller als DNS-Server zu konfigurieren.
  • Globale Katalogfunktionen: Konfigurieren Sie den Domänencontroller für den Globalen Katalog, wodurch der Controller in der Lage ist, AD-Informationen über jedes Objekt in der Organisation zurückzugeben, unabhängig davon, ob sich das Objekt in derselben Domäne befindet, wie der Domänencontroller. Das ist nützlich für große Unternehmen mit mehreren AD-Domänen.
  • Schreibgeschützter Domänencontroller (Read Only Domain Controller, RODC): Domänencontroller an Standorten mit einer eingeschränkten Netzwerkkonnektivität sollten Sie als schreibgeschützt konfigurieren.
  • Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM): DSRM bietet die Möglichkeit, Notfallwartungen auf dem Domänencontroller durchzuführen, einschließlich der Wiederherstellung von Backups. Das DSRM-Passwort müssen Sie im Voraus konfigurieren.

Vorteile der Domänencontroller

Domänencontroller bieten folgende Vorteile:

  • Die zentrale Verwaltung von Domänencontrollern ermöglicht es Unternehmen, alle Verzeichnisdienstanfragen über einen zentralen Domänencontroller zu authentifizieren.
  • Verteilte und replizierte Domänencontroller setzen Sicherheitsrichtlinien durch und verhindern unbefugten Zugriff über Unternehmensnetzwerke und WAN.
  • Der Zugriff auf Dateiserver und andere Netzwerkressourcen über Domänencontroller ermöglicht eine nahtlose Integration mit Verzeichnisdiensten wie Microsoft AD.
  • Die Unterstützung von sicheren Authentifizierungs- und Transportprotokollen in Domänencontrollern verbessert die Sicherheit des Authentifizierungsprozesses.
Nutzen und Beschränkungen von Domänencontrollern
Abbildung 2: Domänencontroller haben nicht nur Vor-, sondern auch Nachteile.

Einschränkungen von Domänencontrollern

Zu den Einschränkungen von Domänencontrollern gehören folgende Punkte:

  • Domänencontroller sind ein Single Point of Failure (SPOF) in der Netzwerkdomäne.
  • Da sie den Zugriff auf das gesamte Netzwerk kontrollieren, sind Domänencontroller ein Ziel für Cyberangriffe. Wenn es gelingt, einen Domänencontroller zu hacken, kann der Angreifer Zugriff auf alle Netzwerkressourcen der Domäne sowie auf der Authentifizierungsdaten aller Benutzer in der Domäne erhalten.
  • Netzwerke, die Domänencontroller für die Authentifizierung und Zugriffssicherheit verwenden, sind von ihnen abhängig. Um das Risiko von Ausfallzeiten zu verringern, können die Controller in Clustern eingesetzt werden.
  • Domänencontroller erfordern zusätzliche Infrastruktur und Sicherheitsmechanismen.
Diese Definition wurde zuletzt im Juli 2024 aktualisiert

Erfahren Sie mehr über Server- und Desktop-Virtualisierung