Domänencontroller (Domain Controller)
Was ist ein Domänencontroller?
Ein Domänencontroller ist ein Server, der Authentifizierungsanfragen von Benutzern und Computern innerhalb einer Computerdomäne verarbeitet. Domänencontroller kommen vor allem in AD-Umgebungen (Windows Active Directory) zum Einsatz, können aber auch in anderen Identitätsverwaltungssystemen wie LDAP unter Unix/Linux verwendet werden.
Domänencontroller verwalten Verzeichnisdienstinformationen für ihre Domänen, darunter Benutzer, Authentifizierungsdaten und Sicherheitsrichtlinien des Unternehmens.
Was sind die Hauptfunktionen eines Domänencontrollers?
Domänencontroller beschränken den Zugriff auf Domänenressourcen, indem sie die Identität der Benutzer anhand von Anmeldedaten authentifizieren und unbefugten Zugriff auf diese Ressourcen verhindern.

Domänencontroller wenden Sicherheitsrichtlinien auf Zugriffsanforderungen für Domänenressourcen an. In einer Windows-AD-Domäne ruft der Domänencontroller beispielsweise Authentifizierungsinformationen für Benutzerkonten aus AD ab.
Domänencontroller werden typischerweise redundant bereitgestellt, um Hochverfügbarkeit zu gewährleisten. Diese arbeiten unabhängig voneinander, synchronisieren sich aber regelmäßig über Replikation. In modernen Windows-AD-Umgebungen gibt es keine Unterscheidung mehr zwischen primären und sekundären Domänencontrollern. Alle DCs sind gleichberechtigt, bestimmte Aufgaben werden jedoch durch FSMO-Rollen koordiniert.
In Außenstellen oder weniger vertrauenswürdigen Standorten kann ein schreibgeschützter Domänencontroller (RODC) verwendet werden, um Authentifizierungsanfragen lokal zu verarbeiten, ohne das Sicherheitsrisiko eines vollständig beschreibbaren Controllers einzugehen. In Unix- und Linux-Umgebungen können Domänencontroller Lightweight-Directory-Access-Protocol-Domänen verwalten.
Warum ist die Sicherung eines Domänencontrollers wichtig?
Domänencontroller autorisieren den gesamten Domänenzugriff, blockieren unbefugten Zugriff auf Domänenressourcen und gewähren Benutzern Zugriff auf autorisierte Verzeichnisdienste. Außerdem speichern sie viele der Geheimnisse, die eine Domäne zum Schutz von Benutzern und Daten verwendet. Wenn jemand unbefugten Zugriff auf einen Domänencontroller erhält, kann er schnell auf alle im Netzwerk gespeicherten Daten zugreifen, wodurch Domänencontroller zu einem primären Ziel für Angreifer werden.
Es ist wichtig, den Domänencontroller mit zusätzlichen Sicherheitsmechanismen zu schützen, beispielsweise mit den folgenden:
- Firewalls
- isolierte Netzwerke
- Sicherheitsprotokolle und Verschlüsselung zum Schutz gespeicherter Daten und Daten während der Übertragung
- eingeschränkte Verwendung unsicherer Protokolle wie Remote Desktop Protocol auf Controllern
- Bereitstellung an einem physisch eingeschränkten Standort aus Sicherheitsgründen
- beschleunigtes Patch- und Konfigurationsmanagement
- kein direkter Internetzugang
- spezielle Administratorkonten
Wie werden Domänencontroller in Active Directory eingerichtet?
Der Domänencontroller ist der zentrale Server in einer Windows-AD-Domäne. Domänencontroller sind Server, die AD verwenden können, um auf Authentifizierungsanfragen zu reagieren.
Experten raten davon ab, sich auf einen einzigen Domänencontroller zu verlassen, selbst für kleinere Unternehmen. Best Practices empfehlen einen primären Domänencontroller und mindestens einen Backup-Domänencontroller, um Ausfallzeiten aufgrund von Systemausfällen zu vermeiden.
Domänencontroller können auf physischen Servern, als virtuelle Maschinen (VMs) oder als Teil eines Cloud-Verzeichnisdienstes bereitgestellt werden. Es empfiehlt sich, jeden Domänencontroller auf einem eigenständigen Server bereitzustellen. Dies gilt auch für virtuelle Domänencontroller, die auf VMs auf verschiedenen physischen Hosts ausgeführt werden sollten. Dadurch wird die Möglichkeit minimiert, dass eine Kompromittierung auf einem anderen Computer Auswirkungen auf den Domänencontroller hat.
Die Einrichtung eines AD-Domänencontrollers umfasst die folgenden Schritte:
- Domänenbewertung: Der erste Schritt bei der Einrichtung eines Domänencontrollers besteht darin, die Domäne zu bewerten, in der der Controller eingerichtet werden soll. Diese Bewertung umfasst die Festlegung, welche Arten von Domänencontrollern benötigt werden, wo sie sich befinden sollen und wie sie mit den vorhandenen Systemen in der Domäne zusammenarbeiten.
- neue Bereitstellung oder Hinzufügung: Unabhängig davon, ob Sie eine neue Bereitstellung von AD-Domänencontrollern planen oder einen neuen Controller für eine vorhandene Domäne hinzufügen möchten, legen Sie den Standort des Domänencontrollers sowie die Ressourcen fest, die für den Betrieb des zentralisierten Domänencontrollers und aller virtuellen Domänencontroller erforderlich sind.
- Security by Design: Es ist unerlässlich, einen Domänencontroller vor internen und externen Angriffen zu schützen. Die Domänencontrollerarchitektur muss außerdem so konzipiert sein, dass sie Dienstunterbrechungen wie Verbindungsausfälle, Stromausfälle oder Systemausfälle standhält.
Die Einzelheiten zum Einrichten und Konfigurieren von AD-Domänencontrollern variieren je nach der in der Domäne verwendeten Version von Windows Server.
Weitere Optionen für die Implementierung von Domänencontrollern
Die folgenden Optionen sind beim Einrichten eines Domänencontrollers mit AD verfügbar:
- Domain-Name-System-Server: Der DNS-Domänencontroller kann so konfiguriert werden, dass er als DNS-Server fungiert. Der DNS-Dienst ordnet den Computernamen der zugehörigen IP-Adresse zu.
- globale Katalogfunktionen: Der Domänencontroller kann für die Verwendung des globalen Katalogs konfiguriert werden, sodass er AD-Informationen zu jedem Objekt in der Organisationsstruktur zurückgeben kann, unabhängig davon, ob sich das Objekt in derselben Domäne wie der Domänencontroller befindet. Dies ist für große Unternehmen mit mehreren AD-Domänen nützlich.
- schreibgeschützter Domänencontroller: Domänencontroller, die in Zweigstellen oder in anderen Umgebungen mit eingeschränkter Netzwerkkonnektivität verwendet werden, können als schreibgeschützt konfiguriert werden.
- Directory Services Restore Mode: DSRM ermöglicht Notfallwartungsmaßnahmen, einschließlich der Wiederherstellung von Sicherungen, auf dem Domänencontroller. Ein DSRM-Kennwort muss im Voraus konfiguriert werden.
- Zertifikatsdienste: Mit Zertifikatsdiensten kann ein Domänencontroller Zertifikate für die Authentifizierung und Verschlüsselung ausstellen und authentifizieren.
- Gruppenrichtlinien: Domänencontroller hosten AD-Gruppenrichtlinien, mit denen Sicherheitseinstellungen auf Domänenmitgliedsservern und Clients durchgesetzt werden können.
- verteiltes Dateisystem: DFS verwendet mehrere Dateiserver zum Hosten freigegebener Dateien. Die Server können Dateien automatisch replizieren und die zugrunde liegende Serverstruktur vor Endbenutzern verbergen.
Auf demselben Server können auch andere Windows-Dienste gehostet werden, beispielsweise eine Dateifreigabe oder ein Druckserver. Dies wird jedoch nicht empfohlen, da diese anderen Dienste den Domänencontroller gefährden könnten.
Was sind die Vorteile von Domänencontrollern?
Zu den Vorteilen von Domänencontrollern gehören:
- Die zentrale Verwaltung der Authentifizierung ermöglicht es Unternehmen, alle Zugriffsanfragen mit einem einzigen Satz von Anmeldeinformationen zu authentifizieren.
- Die Durchsetzung von Sicherheitsrichtlinien, wie Passwortalter, Komplexität und Sperrung, hilft, unbefugten Zugriff im gesamten Unternehmen zu verhindern.
- Der Zugriff auf Dateiserver, E-Mail und andere Netzwerkressourcen über Domänencontroller bietet eine nahtlose Integration mit Microsoft AD.
- Die Unterstützung sicherer Authentifizierungs- und Transportprotokolle in Domänencontrollern verbessert die Sicherheit des Authentifizierungsprozesses.

Was sind die Einschränkungen von Domänencontrollern?
Zu den Einschränkungen von Domänencontrollern gehören unter anderem:
- Domänencontroller können eine einzige Fehlerquelle für die Netzwerkdomänensteuerung darstellen.
- Da sie den Zugriff auf das gesamte Netzwerk kontrollieren, sind Domänencontroller ein Ziel für Cyberangriffe. Durch das erfolgreiche Hacken eines Domänencontrollers könnte der Angreifer Zugriff auf alle Netzwerkressourcen der Domäne sowie auf die Anmeldeinformationen aller Benutzer in der Domäne erhalten.
- Netzwerke, die Domänencontroller für die Authentifizierung und Zugriffssicherheit verwenden, sind von diesen abhängig. Um das Risiko von Ausfallzeiten zu verringern, können Controller in Clustern bereitgestellt werden.
- Domänencontroller erfordern zusätzliche Infrastruktur und Sicherheitsmechanismen.
Alternativen zu Domänencontrollern
Domänencontroller waren in der Vergangenheit das Zentrum der Identitäts- und Zugriffsverwaltung eines Unternehmens. Allerdings unterstützen sie viele der erweiterten Funktionen, die Teil einer modernen Umgebung sind, nicht nativ.
Moderne IT-Architekturen setzen zunehmend auf das Zero-Trust-Modell, bei dem kein Gerät oder Benutzer automatisch als vertrauenswürdig gilt, auch nicht innerhalb des internen Netzwerks. Der klassische Domänencontroller muss durch zusätzliche Identitätsprüfung (Conditional Access oder MFA) ergänzt werden.
Microsoft Entra ID ist ein Cloud-basierter Identitätsmanager. Er ist Teil der Azure-Cloud-Plattform von Microsoft. Entra ID ist von Grund auf sicher und unterstützt moderne Authentifizierungsmethoden. Über Microsoft Entra Domain Services können die klassischen Domänencontroller-Funktionalitäten aus der Cloud bereitgestellt werden.
Verbundidentitäten ermöglichen die Verwendung eines Authentifizierungsdienstes für andere Dienste. So kann beispielsweise ein Google-Konto für die Anmeldung bei einer Buchhaltungswebsite verwendet werden.
Amazon Web Services Directory Service ist ein von Amazon angebotener verwalteter AD-Dienst. Er hostet eine AD-Umgebung in AWS.
Hybride Domänencontroller
Hybrid-Cloud-Umgebungen, die lokale und Cloud-basierte Infrastrukturen kombinieren, werden immer häufiger eingesetzt. Domänencontroller können mit Tools konfiguriert werden, um Konten und Kennwörter mit einem Cloud-Identitätsanbieter wie Microsoft Entra ID zu synchronisieren. Auf diese Weise können Benutzer einen einzigen Satz von Anmeldeinformationen verwenden, der sowohl für lokale als auch für Internetressourcen funktioniert.
Bei hybriden Bereitstellungen kann eine einzige Verwaltungsschnittstelle verwendet werden, um den Zugriff auf alle Ressourcen zu steuern. Hybride Bereitstellungen sind eine gute Option für Unternehmen, die noch nicht bereit sind, vollständig in die Cloud zu wechseln, aber einige Online-Ressourcen nutzen.
Die Kontosynchronisierung kann als Einweg- oder Zweiwegsynchronisierung eingerichtet werden. Bei einer Einwegsynchronisierung werden die lokalen Informationen an den Cloudanbieter gesendet. In der Regel werden nur Passwort-Hashes synchronisiert. Dies verhindert, dass Passwörter kompromittiert werden, kann jedoch auch dazu führen, dass einige Funktionen, wie beispielsweise die Selbstbedienungsfunktion zum Zurücksetzen von Passwörtern, nicht mehr funktionieren. Bei einer Zweiwegsynchronisierung kann der Online-Dienst die lokalen Konten ändern.
Domänencontroller auf einen Blick
Ein Domänencontroller ist ein Server, der Benutzer und Geräte authentifiziert sowie Sicherheitsrichtlinien innerhalb einer Windows-Active-Directory-Domäne durchsetzt. Er ermöglicht zentrale Verwaltung von Identitäten und Zugriffsrechten. Aus Sicherheitsgründen sollten Domänencontroller redundant, isoliert und regelmäßig aktualisiert betrieben werden. Moderne Alternativen sind Cloud-Dienste wie Microsoft Entra ID oder hybride Szenarien mit synchronisierten Identitäten.