Domain Controller
1. Was ist ein Domain Controller?
Ein Domain Controller ist ein Windows-Server, auf dem die Active Directory-Dienste installiert sind.
Er ist der zentrale Ansprechpartner für alle Computer und Benutzer einer Domäne.
Wenn du dich an einem PC anmeldest, fragt dieser nicht seine eigene lokale Benutzerliste ab,
sondern sendet die Anfrage an den Domain Controller.
Der DC prüft, ob das Konto existiert, ob das Passwort stimmt und welche Gruppenmitgliedschaften gelten.
| Vergleich | Lokaler PC | Domain Controller |
|---|---|---|
| Benutzerkonten | Nur lokal bekannt | In der gesamten Domäne verfügbar |
| Kennwortprüfung | Nur für lokale Benutzer | Zentral über AD-Datenbank |
| Richtlinien | Nur am PC | Über Gruppenrichtlinien domänenweit |
| Verwaltung | Einzelgerät | Zentrale Administration |
2. Aufgaben eines Domain Controllers
Ein DC erfüllt mehrere Kernfunktionen gleichzeitig:
| Aufgabe | Beschreibung |
|---|---|
| Authentifizierung | Prüft Benutzername und Kennwort (Kerberos / NTLM). |
| Autorisierung | Entscheidet, auf welche Ressourcen ein Benutzer zugreifen darf. |
| Verzeichnisdienst | Verwaltet Benutzer, Gruppen, Computer und deren Attribute. |
| Replikation | Tauscht Änderungen mit anderen DCs aus, damit alle denselben Datenstand haben. |
| Gruppenrichtlinien | Wendet GPOs auf Benutzer und Computer an. |
| Namensdienstintegration | Arbeitet eng mit DNS zusammen, um DCs auffindbar zu machen. |
Die Kombination aus diesen Aufgaben sorgt dafür, dass Benutzer sich domänenweit einheitlich anmelden und arbeiten können.
3. Aufbau eines Domain Controllers
Jeder Domain Controller enthält im Wesentlichen drei Datenquellen:
| Komponente | Funktion | Speicherort |
|---|---|---|
| NTDS.dit | Die Active Directory-Datenbank, enthält alle Objekte und Attribute. | C:\Windows\NTDS\ |
| SYSVOL | Freigabeordner für Gruppenrichtlinien und Skripte. | C:\Windows\SYSVOL\ |
| DNS-Zone | Enthält die SRV- und A-Records, über die Clients den DC finden. | in der DNS-Server-Rolle |
Damit ein Server Domain Controller werden kann, wird die Rolle „Active Directory-Domänendienste“ (AD DS) installiert.
Die Promotion zum DC erfolgt z. B. über den Assistenten oder per PowerShell:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSForest -DomainName "firma.local"
Der zweite Befehl richtet eine neue Domäne ein und erstellt gleichzeitig den ersten DC.
4. Mehrere Domain Controller
In fast jeder produktiven Umgebung gibt es mehr als einen DC.
Das hat zwei wesentliche Gründe:
Ausfallsicherheit: Wenn ein DC nicht erreichbar ist, übernimmt ein anderer.
Lastverteilung: Anmeldungen und Abfragen werden auf mehrere Server verteilt.
Beispielhafte Struktur
Domäne: firma.local
│
├── DC01 (Stuttgart)
│ ├─ Active Directory-Datenbank
│ └─ Global Catalog: Ja
│
└── DC02 (Konstanz)
├─ Active Directory-Datenbank
└─ Global Catalog: Nein
Beide Server enthalten denselben Datenbestand.
Wenn ein Administrator auf DC01 einen neuen Benutzer erstellt,
überträgt die Replikation diese Änderung automatisch auf DC02.
Wie die Replikation genau funktioniert, folgt in einer späteren Lektion.
5. Authentifizierung und Kommunikation
Bei einer Anmeldung passiert Folgendes:
Der Client fragt über DNS den nächstgelegenen Domain Controller ab.
Der Benutzer meldet sich mit
DOMÄNE\BenutzernameoderBenutzer@Domänean.Der DC prüft die Anmeldedaten mit Kerberos (Standard) oder, falls nötig, mit NTLM.
Nach erfolgreicher Prüfung erhält der Benutzer Zugriff auf seine Domänenressourcen.
Der Domain Controller kommuniziert dabei über mehrere Protokolle:
| Protokoll | Zweck | Port |
|---|---|---|
| LDAP | Zugriff auf Verzeichnisobjekte | TCP/UDP 389 |
| LDAPS | Gesicherter LDAP-Zugriff | TCP 636 |
| Kerberos | Authentifizierung | TCP/UDP 88 |
| DNS | Namensauflösung | UDP 53 |
| SMB / RPC | Replikation und Dateifreigaben (z. B. SYSVOL) | TCP 445, 135 |
Wenn du also einmal wissen willst, ob ein Client den DC erreichen kann,
prüfst du meist zuerst diese Ports (z. B. mit Test-NetConnection in PowerShell).
6. Gruppenrichtlinien (GPOs)
Domain Controller stellen über das SYSVOL-Verzeichnis auch Gruppenrichtlinien bereit.
Diese werden beim Start eines Computers oder bei der Benutzeranmeldung angewendet.
Beispiele:
Standardhintergrundbild für alle Benutzer
Passwortlänge und Ablaufzeit
Netzlaufwerke oder Drucker verbinden
Die GPO-Dateien liegen im Ordner:
C:\Windows\SYSVOL\domain\Policies\
und werden automatisch auf alle Domain Controller repliziert.
7. Überwachung und Wartung
Ein Administrator sollte regelmäßig den Zustand der Domain Controller prüfen.
Hilfreiche Befehle dafür sind:
# Übersicht aller Domain Controller
Get-ADDomainController -Filter *
# Replikationsstatus zusammenfassen
repadmin /replsummary
# Aktuelle Site (Standort) des Rechners
nltest /dsgetsite
Fehler in der Replikation oder im DNS führen häufig zu Anmeldeproblemen oder veralteten Objekten.
Daher ist es wichtig, DCs in unterschiedlichen Standorten aktiv zu überwachen.
8. Wichtige Begriffe dieser Lektion
| Begriff | Bedeutung | Beispiel |
|---|---|---|
| Domain Controller (DC) | Server mit Active Directory, prüft Anmeldungen und verwaltet Objekte. | DC01 |
| NTDS.dit | Datenbankdatei, in der alle AD-Objekte gespeichert sind. | C:\Windows\NTDS\NTDS.dit |
| SYSVOL | Freigabeordner mit Gruppenrichtlinien und Skripten. | \\DC01\SYSVOL |
| Global Catalog (GC) | Enthält Teilinformationen des gesamten Forests, um Anmeldungen zu beschleunigen. | GC aktiviert auf DC01 |
| Replikation | Datenaustausch zwischen mehreren Domain Controllern. | Benutzeränderung auf DC01 erscheint auch auf DC02. |
| DNS-Integration | Domain Controller registriert sich selbst im DNS, damit Clients ihn finden. | SRV-Record _ldap._tcp.dc._msdcs.firma.local |
9. Zusammenfassung
| Thema | Kernaussage |
|---|---|
| Aufgabe eines DC | Prüft Benutzeranmeldungen, verwaltet AD-Objekte und verteilt Richtlinien. |
| Datenhaltung | Jeder DC besitzt eine vollständige Kopie der AD-Datenbank. |
| Zusammenarbeit | Mehrere DCs replizieren Änderungen untereinander. |
| Authentifizierung | Läuft über Kerberos oder NTLM, DNS ist zwingend erforderlich. |
| Ausfallsicherheit | Mindestens zwei DCs pro Domäne werden empfohlen. |