用戶身份驗證和授權對于保護您的網絡基礎設施至關重要。它確保只有值得信賴的相關用戶才能訪問網絡。Windows Server 域在邏輯上對網絡中的用戶、PC 和其他對象進行分組，而域控制器則對域資源的訪問請求進行身份驗證。它還存儲有關用戶帳戶和設備的信息并執行安全策略。了解域控制器在網絡基礎結構中的重要作用，并為其設置容錯功能。

域控制器做什么？

每臺PC都有自己的本地賬號，但是這些賬號不能用來上網。這是因為 IT 管理員集中配置和管理用戶帳戶更有意義，而不是在每臺 PC 上單獨配置和管理。此外，未綁定到特定設備的集中管理用戶帳戶允許用戶從幾乎任何工作站訪問網絡資源。這正是域控制器對于您組織的 IT 基礎架構必不可少的原因。

在網絡基礎結構中，域用于對網絡中的計算機和其他設備進行分組以便于管理。在域內，域控制器用于對用戶進行身份驗證和授權，并集中存儲帳戶信息，而不是在每臺計算機上單獨存儲。

域控制器是 Windows Server 域的安全基礎，最初是在 Windows NT（1993 年首次發布）中引入的。基本上，域控制器是一臺服務器計算機，就像 Windows Server 域的大腦一樣。它存儲用戶憑據并控制誰可以訪問域的資源。每當用戶嘗試訪問域時，請求必須通過域控制器，然后域控制器運行登錄過程以驗證用戶。域控制器還根據用戶角色確定訪問權限，例如普通用戶和系統管理員。它確保不良行為者遠離，只有授權用戶才能訪問他們控制的域中的相關資源。

為什么域控制器很重要？

域控制器監督域訪問中的所有內容，防止對域網絡進行不必要的訪問，同時允許用戶使用所有批準的目錄服務。

由于域控制器控制所有網絡訪問，因此使用其他安全功能來保護它至關重要，例如：

• 安全且隔離的網絡。
• 安全措施和加密用于保護存儲和傳輸的數據。
• 在控制器上，不允許使用遠程桌面協議等不安全協議。
• 部署在物理限制區域內進行。
• 補丁和配置管理快速完成。
• 域控制器對 Internet 的訪問受到限制。

由于域控制器處理對公司計算資源的所有訪問，因此必須構建它們以抵御攻擊，然后仍然能夠在逆境中發揮作用。

什么是活動目錄？

Microsoft 在 Windows Server 2000 中引入了用于集中域管理的 Active Directory (AD)。但在 2008 年的 Windows Server 中，Active Directory 還包括其他服務，例如用于單點登錄的目錄聯合服務、用于公鑰加密的安全證書、權限管理和輕量級目錄訪問協議 (LDAP)。

本質上，Active Directory 是用于管理多個 Windows Server 域的框架，而域控制器是 Active Directory 的關鍵部分。服務器運行 Active Directory 并根據存儲在 Active Directory 中的數據對用戶進行身份驗證。

Active Directory 將信息存儲為組織成林、樹和域的對象。每個 AD 林可以有多個域，域控制器管理這些域之間的信任，以授予用戶從一個域訪問另一個域的權限。域之間存在幾種類型的信任：

• 單向信任：一個域的用戶可以訪問另一個域的資源，反之則不行。
• 雙向信任：一個域的用戶可以訪問另一個域，反之亦然。
• 傳遞信任：在父域和子域之間自動創建的雙向信任關系。
• 顯式信任：由系統管理員手動創建的信任。
• 森林信任：兩個森林之間的信任。選擇性身份驗證也可以在這種類型的信任中實現。
• 外部信任：屬于不同林的域之間的信任。

系統管理員還可以通過域控制器設置安全策略，例如密碼復雜度。

在 Active Directory 中設置域控制器

1. 領域評估
   • 首先，您必須評估將安裝域控制器的域。這種評估包括決定需要什么樣的域控制器，它們將安裝在哪里，以及它們將如何與域的現有系統交互。
2. 新增/部署
   • 設置域控制器位置以及運行集中式域控制器和任何虛擬域控制器所需的任何資源，無論您是計劃新部署 AD 域控制器還是向現有域添加新控制器。
3. 安全設計
   • 保護域控制器免受內部和外部威脅至關重要。此外，確保域控制器體系結構安全，不會因網絡中斷、斷電或任何類型的故障而導致服務中斷。

域控制器的好處

域控制器的好處包括：

• 支持受保護的身份驗證和傳輸協議的域控制器提高了身份驗證過程的安全性。
• 域控制器通過檢查對文件服務器和其他網絡資源的訪問，實現與 Microsoft AD 等目錄服務的順暢交互。
• 在公司網絡和廣域網中，復制和分布式域控制器實施安全策略并阻止任何不需要的訪問。
• 公司可以使用用于域控制器管理的集中式域控制器來驗證所有目錄服務請求。

為什么我應該有一個輔助域控制器？

域控制器對用戶進行身份驗證和授權，這是網絡基礎結構中的主要安全功能。它具有 Windows Server 域領域的所有密鑰。現在，如果您的域控制器出現故障，您的用戶將無法驗證自己的身份并訪問域的任何資源。所有需要 Active Directory 身份驗證的應用程序、服務，甚至關鍵業務系統都將無法訪問。互聯網協議 (IP) 地址的自動指定將失敗，迫使系統管理員恢復到手動分配。

您甚至可能需要從頭開始重建整個服務器，如果您的公司沒有既定的備份協議，這可能需要幾天甚至幾周的時間。這就是為什么彈性對于確保業務連續性和最小停機時間或無停機時間如此重要的原因。投資輔助域控制器可以在域控制器發生故障時大大減少停機時間。當您的 IT 團隊努力恢復出現故障的域控制器時，輔助域控制器將確保您的用戶能夠訪問重要的域資源，并確保關鍵業務系統和服務繼續運行，直到一切恢復正常。

使用輔助域控制器，您可以避免徹底失敗。在基礎結構級別進行最近的備份可以加快和簡化主域控制器的恢復過程。最初這看起來像是一個額外的負擔，但它可以節省您的 IT 團隊在業務運營停止時在極端壓力下從頭開始重建整個基礎架構的時間和資源。

云目錄服務如何提供幫助？

以前，IT 基礎架構主要基于 Microsoft，因此公司完全依賴 Microsoft 的 Active Directory 進行訪問管理。但現在，隨著 IT 網絡越來越多地轉向云，基于云的訪問管理選項也應運而生。云目錄服務是傳統本地 Active Directory 的調制解調器替代品。這些服務通過云交付，可用于從頭構建身份管理系統或跨云和本地環境擴展您公司的 Active Directory 服務。

云目錄服務提供與 Microsoft Active Directory 服務類似的功能，并增加了云的安全性、可擴展性和便利性。對于在單個域控制器上運行的公司，云目錄服務（例如 Azure Directory）使得在云中設置輔助域控制器變得極其簡單快捷。借助 Azure 云中的輔助域控制器，您的網絡基礎設施可以以極低的成本享受業務連續性和彈性。

通過在 Azure 中設置輔助域控制器，您的公司可以利用 Azure Active Directory 提供的全面身份和訪問管理解決方案。這包括管理用戶和組，以及跨多個軟件即服務 (SaaS) 應用程序為用戶提供安全訪問。這也可以使您的公司更接近于遵守通用數據保護條例 (GDPR) 和 Cyber?? Essentials。