什么是域控制器，我为什么需要它？

用户身份验证和授权对于保护您的网络基础设施至关重要。它确保只有值得信赖的相关用户才能访问网络。Windows Server 域在逻辑上对网络中的用户、PC 和其他对象进行分组，而域控制器则对域资源的访问请求进行身份验证。它还存储有关用户帐户和设备的信息并执行安全策略。了解域控制器在网络基础结构中的重要作用，并为其设置容错功能。

域控制器做什么？

每台PC都有自己的本地账号，但是这些账号不能用来上网。这是因为 IT 管理员集中配置和管理用户帐户更有意义，而不是在每台 PC 上单独配置和管理。此外，未绑定到特定设备的集中管理用户帐户允许用户从几乎任何工作站访问网络资源。这正是域控制器对于您组织的 IT 基础架构必不可少的原因。

在网络基础结构中，域用于对网络中的计算机和其他设备进行分组以便于管理。在域内，域控制器用于对用户进行身份验证和授权，并集中存储帐户信息，而不是在每台计算机上单独存储。

域控制器是 Windows Server 域的安全基础，最初是在 Windows NT（1993 年首次发布）中引入的。基本上，域控制器是一台服务器计算机，就像 Windows Server 域的大脑一样。它存储用户凭据并控制谁可以访问域的资源。每当用户尝试访问域时，请求必须通过域控制器，然后域控制器运行登录过程以验证用户。域控制器还根据用户角色确定访问权限，例如普通用户和系统管理员。它确保不良行为者远离，只有授权用户才能访问他们控制的域中的相关资源。

为什么域控制器很重要？

域控制器监督域访问中的所有内容，防止对域网络进行不必要的访问，同时允许用户使用所有批准的目录服务。

由于域控制器控制所有网络访问，因此使用其他安全功能来保护它至关重要，例如：

• 安全且隔离的网络。
• 安全措施和加密用于保护存储和传输的数据。
• 在控制器上，不允许使用远程桌面协议等不安全协议。
• 部署在物理限制区域内进行。
• 补丁和配置管理快速完成。
• 域控制器对 Internet 的访问受到限制。

由于域控制器处理对公司计算资源的所有访问，因此必须构建它们以抵御攻击，然后仍然能够在逆境中发挥作用。

什么是活动目录？

Microsoft 在 Windows Server 2000 中引入了用于集中域管理的 Active Directory (AD)。但在 2008 年的 Windows Server 中，Active Directory 还包括其他服务，例如用于单点登录的目录联合服务、用于公钥加密的安全证书、权限管理和轻量级目录访问协议 (LDAP)。

本质上，Active Directory 是用于管理多个 Windows Server 域的框架，而域控制器是 Active Directory 的关键部分。服务器运行 Active Directory 并根据存储在 Active Directory 中的数据对用户进行身份验证。

Active Directory 将信息存储为组织成林、树和域的对象。每个 AD 林可以有多个域，域控制器管理这些域之间的信任，以授予用户从一个域访问另一个域的权限。域之间存在几种类型的信任：

• 单向信任：一个域的用户可以访问另一个域的资源，反之则不行。
• 双向信任：一个域的用户可以访问另一个域，反之亦然。
• 传递信任：在父域和子域之间自动创建的双向信任关系。
• 显式信任：由系统管理员手动创建的信任。
• 森林信任：两个森林之间的信任。选择性身份验证也可以在这种类型的信任中实现。
• 外部信任：属于不同林的域之间的信任。

系统管理员还可以通过域控制器设置安全策略，例如密码复杂度。

在 Active Directory 中设置域控制器

1. 领域评估
   • 首先，您必须评估将安装域控制器的域。这种评估包括决定需要什么样的域控制器，它们将安装在哪里，以及它们将如何与域的现有系统交互。
2. 新增/部署
   • 设置域控制器位置以及运行集中式域控制器和任何虚拟域控制器所需的任何资源，无论您是计划新部署 AD 域控制器还是向现有域添加新控制器。
3. 安全设计
   • 保护域控制器免受内部和外部威胁至关重要。此外，确保域控制器体系结构安全，不会因网络中断、断电或任何类型的故障而导致服务中断。

域控制器的好处

域控制器的好处包括：

• 支持受保护的身份验证和传输协议的域控制器提高了身份验证过程的安全性。
• 域控制器通过检查对文件服务器和其他网络资源的访问，实现与 Microsoft AD 等目录服务的顺畅交互。
• 在公司网络和广域网中，复制和分布式域控制器实施安全策略并阻止任何不需要的访问。
• 公司可以使用用于域控制器管理的集中式域控制器来验证所有目录服务请求。

为什么我应该有一个辅助域控制器？

域控制器对用户进行身份验证和授权，这是网络基础结构中的主要安全功能。它具有 Windows Server 域领域的所有密钥。现在，如果您的域控制器出现故障，您的用户将无法验证自己的身份并访问域的任何资源。所有需要 Active Directory 身份验证的应用程序、服务，甚至关键业务系统都将无法访问。互联网协议 (IP) 地址的自动指定将失败，迫使系统管理员恢复到手动分配。

您甚至可能需要从头开始重建整个服务器，如果您的公司没有既定的备份协议，这可能需要几天甚至几周的时间。这就是为什么弹性对于确保业务连续性和最小停机时间或无停机时间如此重要的原因。投资辅助域控制器可以在域控制器发生故障时大大减少停机时间。当您的 IT 团队努力恢复出现故障的域控制器时，辅助域控制器将确保您的用户能够访问重要的域资源，并确保关键业务系统和服务继续运行，直到一切恢复正常。

使用辅助域控制器，您可以避免彻底失败。在基础结构级别进行最近的备份可以加快和简化主域控制器的恢复过程。最初这看起来像是一个额外的负担，但它可以节省您的 IT 团队在业务运营停止时在极端压力下从头开始重建整个基础架构的时间和资源。

云目录服务如何提供帮助？

以前，IT 基础架构主要基于 Microsoft，因此公司完全依赖 Microsoft 的 Active Directory 进行访问管理。但现在，随着 IT 网络越来越多地转向云，基于云的访问管理选项也应运而生。云目录服务是传统本地 Active Directory 的调制解调器替代品。这些服务通过云交付，可用于从头构建身份管理系统或跨云和本地环境扩展您公司的 Active Directory 服务。

云目录服务提供与 Microsoft Active Directory 服务类似的功能，并增加了云的安全性、可扩展性和便利性。对于在单个域控制器上运行的公司，云目录服务（例如 Azure Directory）使得在云中设置辅助域控制器变得极其简单快捷。借助 Azure 云中的辅助域控制器，您的网络基础设施可以以极低的成本享受业务连续性和弹性。

通过在 Azure 中设置辅助域控制器，您的公司可以利用 Azure Active Directory 提供的全面身份和访问管理解决方案。这包括管理用户和组，以及跨多个软件即服务 (SaaS) 应用程序为用户提供安全访问。这也可以使您的公司更接近于遵守通用数据保护条例 (GDPR) 和 Cyber​​ Essentials。