Открыть сервис

Контроллер домена

Контроллер домена — это сервер, реализующий аутентификацию и авторизацию пользователей и компьютеров в среде Windows Server на основе доменной сети. Контроллер домена хранит централизованную базу данных учётных записей (Active Directory) и отвечает за проверку подлинности (логин и пароль) при входе в домен, а также за применение политик безопасности и управление доступом к ресурсам сети. Контроллер домена является ключевым элементом архитектуры Windows Domain, обеспечивающим единую точку управления для сотен и тысяч клиентских машин и пользователей.

История

Концепция контроллера домена была введена корпорацией Microsoft в 1996 году с выходом Windows NT 4.0. До этого в Windows NT 3.x и 4.0 использовалась модель рабочих групп, где каждый компьютер управлялся автономно, а для аутентификации применялись локальные базы SAM (Security Account Manager). С появлением Windows NT 4.0 была реализована архитектура Primary Domain Controller (PDC) и Backup Domain Controller (BDC). PDC хранил основную копию базы учётных записей домена и мог изменять её, а BDC содержали копии, только для чтения, и могли обслуживать аутентификацию, но не могли вносить изменения. Эта модель была уязвима: при выходе из строя PDC администрирование домена становилось невозможным до его восстановления.

В 2000 году с выходом Windows 2000 Server Microsoft внедрила новую архитектуру — Active Directory (AD), которая заменила модель PDC/BDC на многомастерную репликацию (multi-master). В этой модели каждый контроллер домена может вносить изменения в базу AD, а затем реплицировать их на другие контроллеры. Это повысило отказоустойчивость и масштабируемость. Active Directory стала стандартом для корпоративных сетей на базе Windows. Последующие версии Windows Server (2003, 2008, 2012, 2016, 2019, 2022) развивали функциональность контроллеров домена, добавляя поддержку новых протоколов (например, Kerberos, LDAP, DNS), улучшенные механизмы безопасности (например, Read-Only Domain Controller — RODC) и интеграцию с облачными службами (Azure AD).

Архитектура и компоненты

Контроллер домена работает на основе нескольких ключевых служб и протоколов:

Режимы работы

Контроллеры домена могут работать в двух основных режимах:

Классификация и роли

В архитектуре Active Directory различают несколько ролей, которые могут быть распределены между контроллерами домена:

Эти роли могут быть перенесены между контроллерами домена администратором, но не могут быть распределены между несколькими контроллерами одновременно.

Процесс аутентификации

При входе пользователя в домен (например, на рабочей станции Windows 10) происходит следующий процесс:

  1. Клиент отправляет запрос на контроллер домена, используя протокол Kerberos (или NTLMv2 для обратной совместимости).
  2. Контроллер домена проверяет учётные данные пользователя в базе AD.
  3. Если аутентификация успешна, контроллер домена выдаёт билет Kerberos (Ticket Granting Ticket — TGT), который позволяет клиенту запрашивать доступ к сетевым ресурсам без повторного ввода пароля.
  4. Для доступа к конкретному ресурсу (например, файловому серверу) клиент предъявляет TGT контроллеру домена, который выдаёт сервисный билет для этого ресурса.
  5. Сервер ресурса проверяет сервисный билет и предоставляет доступ.

В случае использования RODC аутентификация может выполняться локально, но все изменения (например, смена пароля) направляются на полнофункциональный контроллер.

Преимущества и недостатки

Преимущества

Недостатки

Применение

Контроллеры домена широко используются в корпоративных сетях организаций любого размера — от малых предприятий (с одним контроллером) до крупных холдингов с десятками контроллеров, распределённых по географическим площадкам. Они являются основой для таких служб, как:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →