Domänencontroller (Domain Controller)
Was ist ein Domänencontroller?
Ein Domänencontroller ist ein Servertyp, der Authentifizierungsanfragen von Benutzern innerhalb einer Computerdomäne verarbeitet. Domänencontroller übernehmen eine zentrale Funktion in Windows Active Directory-Domänen (AD), kommen aber auch bei anderen Arten von Identitätsmanagementsystemen zum Einsatz.
Domänencontroller duplizieren Verzeichnisdienstinformationen für ihre Domänen, einschließlich Benutzer, Authentifizierungsnachweise und Sicherheitsrichtlinien des Unternehmens.
Was sind die Hauptfunktionen eines Domänencontrollers?
Domänencontroller schränken den Zugriff auf Domänenressourcen ein, indem sie die Benutzeridentität durch Anmeldeinformationen authentifizieren und den nicht autorisierten Zugriff auf diese Ressourcen verhindern.
Domänencontroller wenden Sicherheitsrichtlinien auf Anfragen für den Zugriff auf Domänenressourcen an. In einer Windows AD-Domäne bezieht der Domänencontroller beispielsweise die Authentifizierungsinformationen für Benutzerkonten aus Active Directory.
Ein Domänencontroller lässt sich als Einzelsystem betreiben, wird aber normalerweise in Clustern implementiert, um die Zuverlässigkeit und Verfügbarkeit zu verbessern. Bei Domänencontrollern für Windows AD, besteht jedes Cluster aus einem primären Domänencontroller (PDC) und einem oder mehreren Backup-Domänencontrollern (BDC). In Unix- und Linux-Umgebungen kopieren Replikat-Domänencontroller die Authentifizierungsdatenbanken vom primären Domänencontroller.

Warum ist ein Domänencontroller wichtig?
Domänencontroller kontrollieren den gesamten Domänenzugriff, indem sie den unbefugten Zugriff auf Domänennetzwerke blockieren und gleichzeitig den Benutzern den Zugriff auf alle autorisierten Verzeichnisdienste ermöglichen.
Der Domänencontroller vermittelt den gesamten Zugriff auf das Netzwerk, daher ist es wichtig, ihn mit zusätzlichen Sicherheitsmechanismen zu schützen, wie zum Beispiel:
- Firewalls
- gesicherte und isolierte Netzwerke
- Sicherheitsprotokolle und Verschlüsselung zum Schutz gespeicherter und in Bewegung befindlicher Daten
- eingeschränkte Verwendung unsicherer Protokolle, wie zum Beispiel des Remote-Desktop-Protokolls, auf Steuergeräten
- Einsatz an einem aus Sicherheitsgründen räumlich begrenzten Ort
- beschleunigtes Patch- und Konfigurationsmanagement
- Sperren des Internetzugangs für Domänencontroller
Domänencontroller kontrollieren den gesamten Zugriff auf Computerressourcen in einer Organisation. Sie müssen daher so konzipiert sein, dass sie Angriffen widerstehen und auch unter ungünstigen Bedingungen funktionieren.
Wie richtet man Domänencontroller in Active Directory ein?
Die Domänensteuerung ist eine Funktion von Microsofts Active Directory, und Domänencontroller sind Server, die Active Directory nutzen, um auf Authentifizierungsanfragen zu reagieren.
Experten raten davon ab, sich auf einen einzigen Domänencontroller zu verlassen, selbst bei kleineren Domänen. Bewährte Verfahren sehen einen primären Domänencontroller und mindestens einen Backup-Domänencontroller vor, um Ausfallzeiten aufgrund der Nichtverfügbarkeit des Systems zu vermeiden.
Eine weitere bewährte Methode besteht darin, jeden Domänencontroller auf einem eigenständigen physischen Server zu installieren. Dies gilt auch für virtuelle Domänencontroller, die auf virtuellen Maschinen (VMs) laufen, die auf verschiedenen physischen Hosts platziert sind.
Domänencontroller können sowohl physische als auch virtuelle Server sein.
Die Schritte zum Einrichten eines AD-Domänencontrollers umfassen:
- Bewertung der Domäne. Der erste Schritt beim Einrichten eines Domänencontrollers besteht darin, die Domäne zu bewerten, in der der Controller eingerichtet werden soll. Im Rahmen dieser Bewertung sollten Sie bestimmen, welche Arten von Domänencontrollern Sie benötigen, wo sie sich befinden werden und wie sie mit den bestehenden Systemen in der Domäne zusammenarbeiten.
- Sicherheit durch Design. Es ist unerlässlich, einen Domänencontroller vor internen oder externen Angriffen zu schützen. Entwerfen Sie die Architektur des Domänencontrollers so, dass er vor Unterbrechungen der Dienste aufgrund von Verbindungsabbrüchen, Stromausfällen oder Systemfehlern geschützt ist.
Die Besonderheiten beim Einrichten und der Konfiguration von AD-Domänencontrollern hängen von der in der Domäne verwendeten Version von Windows Server ab. Im folgenden Video sehen Sie, wie Sie einen Domänencontroller in Windows Server 2019 einrichten.
Andere Optionen für die Implementierung von Domänencontrollern
Die folgenden Optionen sind bei der Einrichtung eines Domänencontrollers mit AD verfügbar:
- Domain Name System-Server (DNS): Der Domänencontroller lässt sich so konfigurieren, dass er als DNS-Server fungiert. Dell empfiehlt, mindestens einen Domänencontroller als DNS-Server zu konfigurieren.
- Globale Katalogfunktionen: Der Domänencontroller für den Globalen Katalog konfiguriert werden, wodurch der Controller in der Lage ist, AD-Informationen über jedes Objekt in der Organisation zurückzugeben, unabhängig davon, ob sich das Objekt in derselben Domäne befindet wie der Domänencontroller. Dies ist nützlich für große Unternehmen mit mehreren AD-Domänen.
- Nur-Lese-Domänen-Controller (RODC): Domänencontroller an Standorten mit einer eingeschränkten Netzwerkkonnektivität sollten Sie als schreibgeschützt konfigurieren.
- Verzeichnisdienst-Wiederherstellungsmodus (DSRM): DSRM bietet die Möglichkeit, Notfallwartungen auf dem Domänencontroller durchzuführen, einschließlich der Wiederherstellung von Backups. Das DSRM-Kennwort müssen Sie im Voraus konfigurieren.
Was sind die Vorteile von Domänencontrollern?
Domänencontroller bieten folgende Vorteile:
- Die zentrale Verwaltung von Domänencontrollern ermöglicht es Unternehmen, alle Verzeichnisdienstanfragen über einen zentralen Domänencontroller zu authentifizieren.
- Verteilte und replizierte Domänencontroller setzen Sicherheitsrichtlinien durch und verhindern unbefugten Zugriff über Unternehmensnetzwerke und WAN.
- Der Zugriff auf Dateiserver und andere Netzwerkressourcen über Domänencontroller ermöglicht eine nahtlose Integration mit Verzeichnisdiensten wie Microsoft AD.
- Die Unterstützung von sicheren Authentifizierungs- und Transportprotokollen in Domänencontrollern verbessert die Sicherheit des Authentifizierungsprozesses.

Was sind die Einschränkungen von Domänencontrollern?
Zu den Einschränkungen von Domänencontrollern gehören:
- Sind ein SPOF (Single Point of Failure) in der Netzwerkdomäne.
- Da sie den Zugriff auf das gesamte Netzwerk kontrollieren, sind Domänencontroller ein Ziel für Cyberangriffe. Wenn es gelingt, einen Domänencontroller zu hacken, kann der Angreifer Zugriff auf alle Netzwerkressourcen der Domäne sowie auf die Authentifizierungsdaten aller Benutzer in der Domäne erhalten.
- Netzwerke, die Domänencontroller für die Authentifizierung und Zugriffssicherheit verwenden, sind von ihnen abhängig. Um das Risiko von Ausfallzeiten zu verringern, können die Controller in Clustern eingesetzt werden.
- Domänencontroller erfordern zusätzliche Infrastruktur und Sicherheitsmechanismen.