Der Domain Controller ist ein spezialisierter virtueller oder dedizierter Server, dessen primäre Funktion darin besteht, die Ressourcen einer Domain zu verwalten und Datenzugriffe durch Nutzer zu authentifizieren. Es handelt sich dabei um ein Sicherheitskonzept, das Microsoft in den 1990er Jahren eingeführt hat, um eine zentrale Administration von Richtlinien innerhalb eines verteilten Netzwerks zu ermöglichen. Seit der Version Windows 2000 Server verwendet der Domänencontroller Active Directory (AD), um Zugriffsrechte hierarchisch zu organisieren, Informationen über die Netzwerkstruktur und einzelne Knoten zur Verfügung zu stellen oder die Authentifizierung von Nutzern vorzunehmen.
Welche Aufgaben übernimmt der Domain Controller?
Der Domänencontroller fasst mehrere Computer zu einer einzigen Instanz zusammen, die als Domain bezeichnet wird. Dabei kann es sich wie bei einer Arbeitsgruppe um ein geschlossenes Local Area Network (LAN) etwa eines Unternehmens handeln. Es ist jedoch ebenfalls möglich, einen Domain Controller für global verteilte IT-Strukturen einzurichten, die teilweise oder ausschließlich über fremde, „unsichere“ Netzwerke miteinander verbunden sind. Zu den wichtigsten Funktionen gehören unter anderem:
- Zentrale Identifizierung und Authentifizierung von Nutzern in einem Netzwerk
- Verwaltung von Zugriffsrechten auf unterschiedliche Ressourcen, Informationen oder Endgeräte wie Drucker
- Definition und Anwenden von systemweiten Richtlinien für die IT-Sicherheit
- Synchronisierung von Konfigurationen und Nutzern innerhalb eines Netzwerks
- Monitoring und Logging von Anfragen, Aktivitäten und ausgehenden Daten
- Blockieren und Filtern von Zugriffen aufgrund vorgegebenen Kriterien
Bei der Kommunikation mit einem Netzwerk dient der Domain Controller als universelle Adresse, die alle Anfragen auf ihre Gültigkeit prüft und anschließend die Bearbeitung koordiniert. Über die Zulässigkeit entscheiden Domänencontroller anhand allgemeiner Regeln wie etwa IP-Bereich oder Standort des Nutzers und den individuellen Rechten, die Microsoft Windows in seinen Active Directory Domain Services (AD DS) unterschiedlichen Konten zuordnet.
Was muss bei der Verwendung von Domain Controller berücksichtigt werden?
Ein Domänencontroller ist in der Lage, unbeschränkte Zugriffe auf das gesamte Netzwerk zu gewähren und gilt deshalb als sicherheitskritisches Element. Er erfordert deshalb einen umfassenden Schutz durch geeignete Sicherheitsmaßnahmen wie zum Beispiel die Abschirmung durch eine restriktive Firewall, Verschlüsselung sensibler Daten und Kommunikationswege und eine regelmäßige Aktualisierung des Betriebssystems und der verwendeten Software.
Durch ihre Rolle als zentrales IT-Gateway stellen Domänencontroller einen potenziellen Single Point of Failure (SPOF) dar, der bei einem Versagen zu einem vollständigen Ausfall des Netzwerks führen kann. In produktiven Systemen gilt deshalb der Standard, dass Domain Controller redundant auf zwei oder mehr virtuellen oder dedizierten Servern an mindestens zwei physischen Standorten installiert werden.
Tipp: Informiere dich auch über Domain Fronting und wie es eingesetzt wird.
Welche Betriebssysteme eignen sich für Domain Controller?
Domänencontroller gehören zu den Standardfunktionen von Windows und werden bevorzugt mit einem aktuellen Microsoft Server OS genutzt. Sämtliche Linux Distributionen bieten ebenfalls bereits seit langer Zeit die Möglichkeit, sie als Domain Controller mit unterschiedlichen Protokollen wie dem Lightweight Directory Access Protocol (LDAP) zu verwenden. Diese Option bevorzugen viele Administratoren in heterogenen IT-Strukturen, die zum Beispiel aus leistungsfähigen Servern mit angebundenen Thin Clients oder Remote Workspaces bestehen. In Kombination mit Features wie dem Intelligent Platform Management Interface (IPMI) können Domain Controller ebenfalls als Rettungssysteme für Server ohne lauffähiges OS dienen.
Wann empfiehlt sich der Einsatz von Domain Controllern?
Domain Controller sind für die Verwaltung von komplexen IT-Strukturen ausgelegt, die eine sichere Authentifizierung von Nutzern und eine zentrale Vergabe von Rechten für kollektive Gruppen und individuelle Teilnehmer voraussetzen. Zu ihren wichtigsten Einsatzbereichen gehören Netzlaufwerke, die über das SMB Protokoll als lokale Speichermedien eingebunden werden können. Wann die Verwendung von Domain Controllern sinnvoll ist, lässt sich nicht pauschal aussagen, sondern hängt wesentlich vom Einzelfall ab. Zu berücksichtigen ist unter anderem, dass die Einrichtung und Administration zunächst einen zusätzlichen Arbeits- und Zeitaufwand bedeutet und wegen seiner sicherheitskritischen Funktionen grundsätzlich ein entsprechendes Fachwissen voraussetzt.
Bild von Gerd Altmann auf Pixabay