Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Was ist ein Domain-Controller: Geschichte und Entwicklung

Was ist ein Domain-Controller: Geschichte und Entwicklung

Jan 30, 2017

IT-Administratoren arbeiten seit der Einführung der Technologie in Windows 2000 Server mit und um Active Directory herum. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, aber viele Administratoren begannen bereits Ende 1999 mit Active Directory zu arbeiten, als es am 15. Dezember 1999 zur Herstellung freigegeben wurde (RTM).

In diesem Teil unseres Tutorials werden wir über Domain-Controller sprechen.

Was ist ein Domain Controller?

Der Domain-Controller ist das Rückgrat von Active Directory. Ohne einen Domain-Controller können Sie kein Verzeichnis haben!

Sie können bis zu 1.200 Domain-Controller in einer einzelnen Domäne verwenden. Aber beurteilen Sie die Umgebung eines anderen Administrators nicht nach der Größe oder dem Umfang! Lassen Sie uns die Entwicklung des Domain-Controllers betrachten:

  • Windows NT 3.1 führte das ursprüngliche Microsoft-Domänenkonzept ein

Windows NT 3.1 (später 3.5 und dann 3.51) sollte nicht mit Windows 3.1 verwechselt werden, das ein 16-Bit-Client-Betriebssystem war. Die Domänenfunktionalität, die mit Windows NT geliefert wurde, war kein Multi-Master-Modell wie AD DS. Daher gab es einen primären Domänencontroller (PDC) und Backup-Domänencontroller (BDCs). Alle Änderungen wurden vom PDC gehandhabt. Ein BDC konnte in einer Notfallwiederherstellungssituation zu einem PDC befördert werden. Heute haben wir die FSMO-Rolle des PDC-Emulators, die direkt mit dem ursprünglichen PDC in Verbindung steht.

  • Windows 2000 Server führte Active Directory ein

Mit der Veröffentlichung von Windows 2000 Server überarbeitete Microsoft einen großen Teil des traditionellen Domänenkonzepts und vermarktete den Dienst als Active Directory. Ein Schlüsselelement von Active Directory war das Multi-Master-Modell, das es ermöglichte, dass die meisten Funktionen von Active Directory, einschließlich Änderungen, auf jedem DC in der Domäne durchgeführt werden konnten.

  • Windows Server 2003 führte neue Funktionen ein

Mit Windows Server 2003 wurde Active Directory mit einigen administrativen Verbesserungen aktualisiert (wie das Mehrfachauswählen von Objekten in ADUC), fügte die Fähigkeit hinzu, Vertrauensstellungen zwischen Gesamtstrukturen zu erstellen, und führte das Caching von Mitgliedschaften in universellen Gruppen ein. Auch andere Funktionen wurden hinzugefügt oder erweitert, insbesondere im Bereich der Befehlszeilenadministration.

  • Windows Server 2003 R2 führte AD FS und den Active Directory-Anwendungsmodus (ADAM) ein

AD FS und ADAM waren große Verbesserungen, besonders wenn man sie heute im Jahr 2015 betrachtet. Damals wurden sie jedoch nicht viel genutzt. ADAM wurde später zu AD LDS, während AD FS im Laufe der Zeit für die Cloud-Integration aktualisiert wurde.

  • Windows Server 2008 führte schreibgeschützte Domänencontroller (RODCs) und fein abgestimmte Kennwortrichtlinien ein

Mit Windows Server 2008 wurden RODCs zu einer Option, die es Administratoren ermöglichte, DCs in unsicheren Computerräumen in Zweigstellen und für andere Zwecke zu implementieren. Zusätzlich wurden feingranulare password policies eingeführt, allerdings mit einigen administrativen Herausforderungen, wie zum Beispiel das Fehlen einer grafischen Benutzeroberfläche zur Verwaltung der Richtlinien. Windows Server 2008 R2 führte den Papierkorb und das PowerShell-Modul ein. Windows Server 2008 R2 verfeinerte einige der in Windows Server 2008 eingeführten Funktionen weiter und bot den Papierkorb und ein PowerShell-Modul, das für Administratoren entscheidend war, um AD DS effektiv über PowerShell verwalten zu können.

  • Windows Server 2012 führte vereinfachtes Management und verbesserte Unterstützung für Virtualisierung ein

Die lang erwarteten grafischen Benutzeroberflächen-Tools zur Verwaltung des Papierkorbs und der feingranularen Kennwortrichtlinien wurden eingeführt. Zusätzlich wurde die Virtualisierung verbessert und die Unterstützung für die Virtualisierung von DCs wurde zum Mainstream. Siehe https://technet.microsoft.com/en-us/library/hh831477.aspx für einen vollständigen Leitfaden zu den Änderungen.

  • Windows Server 2012 R2 konzentrierte sich auf Sicherheitsverbesserungen

Neue Funktionen umfassen Multi-Faktor-Authentifizierung, Single Sign-On von verbundenen Geräten und Multi-Faktor-Zugangskontrolle. Siehe https://technet.microsoft.com/en-us/library/dn268294.aspx für eine vollständige Anleitung zu den Änderungen.

Weitere Informationen zu den Grundlagen von Active Directory finden Sie in unserem AD tutorial for beginners.

FAQ

Was ist ein Domänencontroller?

Ein Domänencontroller ist ein Windows-Server, der die Benutzerauthentifizierung und -autorisierung innerhalb eines Windows-Domain-Netzwerks verwaltet. Er speichert Benutzerkontoinformationen, setzt Sicherheitsrichtlinien durch und authentifiziert Benutzer, wenn sie sich an mit der Domain verbundenen Computern anmelden. Domänencontroller führen Active Directory Domain Services aus, die eine zentralisierte Datenbank von Netzwerkobjekten wie Benutzern, Computern, Gruppen und organisatorischen Einheiten pflegen. Wenn sich jemand an einem Domain-Computer anmeldet, überprüft der Domänencontroller deren Anmeldeinformationen und bestimmt, auf welche Ressourcen sie basierend auf ihrer Identität und Gruppenmitgliedschaften zugreifen können. Dieser zentralisierte Ansatz des Identity Managements ermöglicht konsistente Sicherheitsrichtlinien im gesamten Netzwerk und bildet die Grundlage für least privilege access-Kontrollen. Data security, die mit der Identität beginnt, setzt auf ordnungsgemäß konfigurierte Domänencontroller, um Zugriffsrichtlinien durchzusetzen und monitor user activity.

Wie machen Sie Ihren Server 2019 zu einem Domain-Controller?

Das Hochstufen eines Windows Server 2019 zum Domänencontroller erfordert die Installation der Rolle Active Directory-Domänendienste und das Ausführen des Assistenten zur Domänencontrollerbeförderung. Zuerst stellen Sie sicher, dass Ihr Server die Anforderungen erfüllt, einschließlich einer statischen IP-Adresse, einer ordnungsgemäßen DNS-Konfiguration und ausreichendem Speicherplatz. Installieren Sie die AD DS-Rolle über den Server-Manager oder PowerShell:

      Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Nach der Installation führen Sie dcpromo über den Benachrichtigungsbereich des Server-Managers aus oder verwenden Sie PowerShell:

      # For a new forest
Install-ADDSForest

# For an existing domain
Install-ADDSDomainController

Der Assistent führt Sie durch die Konfiguration des Domänennamens, der Funktionsstufe der Gesamtstruktur, der DNS-Optionen und des Kennworts für den Wiederherstellungsmodus der Verzeichnisdienste. Nach der Beförderung überprüfen Sie, ob der Domänencontroller korrekt funktioniert, indem Sie die Ereignisanzeige-Protokolle überprüfen und die Authentifizierung testen. Planen Sie Ihre Active Directory-Struktur immer sorgfältig vor der Beförderung, da Änderungen komplexer werden, sobald der Domänencontroller in Betrieb ist.

Wie viele Domain-Controller benötige ich für ein kleines Büro?

Kleine Büros benötigen in der Regel mindestens zwei Domain-Controller für Redundanz und Fehlertoleranz, selbst bei nur 85 Benutzern an mehreren Standorten. Die Faustregel ist ein Domain-Controller pro Standort plus ein zusätzlicher zur Sicherung, aber das hängt von Ihren spezifischen Anforderungen ab. Für Organisationen mit 85 Benutzern und 4 Büros sollten Sie einen Domain-Controller an Ihrem Hauptstandort platzieren und zusätzliche Domain-Controller an entfernten Standorten mit langsamen WAN-Verbindungen oder vielen Benutzern. Eine Hub-and-Spoke-Topologie mit zwei Domain-Controllern im Hauptbüro und Read-Only Domain Controllern (RODCs) an kleineren entfernten Standorten bietet oft die beste Balance zwischen Leistung und Sicherheit. Denken Sie daran, dass Domain-Controller Authentifizierungsanfragen bearbeiten, sodass Benutzer Verzögerungen beim Einloggen erleben, wenn sie sich über langsame Netzwerkverbindungen mit entfernten Domain-Controllern verbinden. Planen Sie das Wachstum und bedenken Sie, dass die Platzierung von Domain-Controllern die Benutzererfahrung und die Netzwerksicherheit direkt beeinflusst.

Wie degradiert man einen Domänencontroller?

Das Herabstufen eines Domain-Controllers erfordert sorgfältige Planung, um Störungen der Authentifizierungsdienste zu vermeiden und alle FSMO-Rollen, die der Server innehat, zu übertragen. Zuerst muss festgestellt werden, ob der Domain-Controller irgendwelche FSMO-Rollen besitzt:

      netdom query fsmo

Übertragen Sie sie bei Bedarf auf einen anderen Domain-Controller. Stellen Sie sicher, dass Sie mindestens einen weiteren funktionierenden Domain-Controller in der Domäne haben, bevor Sie fortfahren. Verwenden Sie den Assistenten zum Entfernen von Rollen und Features des Server-Managers oder PowerShell:

      Uninstall-ADDSDomainController

Der Prozess entfernt Active Directory-Daten, stuft den Server auf den Status eines Mitgliedsservers herab und aktualisiert DNS-Einträge. Während der Herabstufung geben Sie ein lokales Administratorpasswort für den Zustand des Servers nach der Herabstufung an. Überprüfen Sie, ob die Herabstufung erfolgreich abgeschlossen wurde, indem Sie sicherstellen, dass der Server nicht mehr in Active Directory-Standorte und -Dienste erscheint und dass verbleibende Domänencontroller Benutzer ordnungsgemäß authentifizieren können. Planen Sie diesen Prozess während Wartungsfenstern, da er vorübergehend die Replikation beeinträchtigt.

Was macht ein Domain-Controller?

Ein Domänencontroller dient als zentrale Autorität für Netzwerkauthentifizierung, Autorisierung und Verzeichnisdienste in einer Windows-Domänenumgebung. Er authentifiziert Benutzeranmeldeinformationen, wenn sich Personen an domänenverbundenen Computern anmelden, bestimmt, auf welche Ressourcen Benutzer basierend auf ihrer Identität und Gruppenmitgliedschaften zugreifen können, und setzt Sicherheitsrichtlinien im gesamten Netzwerk durch. Domänencontroller replizieren auch Active Directory-Daten mit anderen Domänencontrollern, um Konsistenz und Verfügbarkeit zu gewährleisten, verwalten DNS-Dienste für die Auflösung von Domänennamen und manage Group Policy-Verteilung, um eine konsistente Konfiguration über alle Domänencomputer hinweg sicherzustellen. Über die grundlegende Authentifizierung hinaus bieten Domänencontroller Protokollierung von Benutzeraktivitäten, unterstützen Single Sign-On-Funktionalität und ermöglichen die zentralisierte Verwaltung von Benutzerkonten und Computerobjekten. Dieses zentralisierte Identity Management schafft die Grundlage für die Implementierung von Zugriffskontrollen mit minimalen Rechten und die Überwachung des Benutzerverhaltens, um potenzielle Sicherheitsbedrohungen zu erkennen, bevor sie zu Verstößen werden.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Brian Svidergol

IT

Experte für Microsoft-Infrastruktur und Cloud-basierte Lösungen rund um Windows, Active Directory, Azure, Microsoft Exchange, System Center, Virtualisierung und MDOP. Neben dem Verfassen von Büchern erstellt Brian Schulungsmaterial, Whitepapers und ist technischer Gutachter bei einer Vielzahl von Büchern und Publikationen.

Erfahren Sie mehr zu diesem Thema

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Wie man Passwörter mit PowerShell erstellt, ändert und testet

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Vertrauensstellungen in Active Directory

Ransomware-Angriffe auf Active Directory

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen