Controlador de dominio (Windows)

En los servidores de Microsoft , un controlador de dominio ( DC ) es una computadora servidor ^{[1] [2]} que responde a solicitudes de autenticación de seguridad (iniciar sesión, etc.) dentro de un dominio de Windows . ^{[3] [4]} Un dominio es un concepto introducido en Windows NT mediante el cual a un usuario se le puede conceder acceso a varios recursos informáticos con el uso de una única combinación de nombre de usuario y contraseña.

Historia

Con Windows NT 4 Server , se configuró un controlador de dominio por dominio como controlador de dominio principal (PDC); todos los demás controladores de dominio eran controladores de dominio de respaldo (BDC).

Debido a la naturaleza crítica del PDC, las mejores prácticas dictaban que el PDC debería dedicarse exclusivamente a servicios de dominio y no utilizarse para servicios de archivos, impresión o aplicaciones que podrían ralentizar o bloquear el sistema. Algunos administradores de red dieron el paso adicional de tener un BDC dedicado en línea con el propósito expreso de estar disponible para promoción si el PDC fallaba.

Un BDC podría autenticar a los usuarios de un dominio, pero todas las actualizaciones del dominio (nuevos usuarios, contraseñas modificadas, pertenencia a grupos, etc.) sólo podrían realizarse a través del PDC, que luego propagaría estos cambios a todos los BDC del dominio. Si el PDC no estuviera disponible (o no pudiera comunicarse con el usuario que solicita el cambio), la actualización fallaría. Si el PDC no estuviera disponible permanentemente (por ejemplo, si la máquina fallaba), un BDC existente podría convertirse en PDC.

Windows 2000 y versiones posteriores introdujeron Active Directory ("AD"), que eliminó en gran medida el concepto de PDC y BDC en favor de la replicación multimaestro . Sin embargo, todavía hay varias funciones que sólo puede realizar un controlador de dominio, denominadas funciones de operación de maestro único flexible . Algunas de estas funciones deben ser desempeñadas por un DC por dominio, mientras que otras solo requieren un DC por bosque de AD . Si el servidor que desempeña una de estas funciones se pierde, el dominio aún puede funcionar y, si el servidor no vuelve a estar disponible, un administrador puede designar un DC alternativo para asumir la función en un proceso conocido como "asumir" la función.

Controlador de dominio principal

En Windows NT 4, un DC actúa como controlador de dominio principal (PDC). Otros, si existen, suelen ser un controlador de dominio de respaldo (BDC). El PDC suele denominarse el "primero". ^[5] El "Administrador de usuarios para dominios" es una utilidad para mantener información de usuarios/grupos. Utiliza la base de datos de seguridad del dominio en el controlador principal. El PDC tiene la copia maestra de la base de datos de cuentas de usuario a la que puede acceder y modificar. Las computadoras BDC tienen una copia de esta base de datos, pero estas copias son de sólo lectura. El PDC replicará periódicamente su base de datos de cuentas en los BDC. ^[6] Los BDC existen para proporcionar una copia de seguridad al PDC y también se pueden utilizar para autenticar a los usuarios que inician sesión en la red. Si un PDC fracasa, se puede promover a uno de los BDC para que ocupe su lugar. El PDC normalmente será el primer controlador de dominio creado, a menos que haya sido reemplazado por un BDC promocionado.

Emulación de PDC (controlador de dominio principal)

En las versiones modernas de Windows, los dominios se han complementado con el uso de servicios de Active Directory . En los dominios de Active Directory, el concepto de relaciones de controlador de dominio primario y secundario ya no se aplica. Los emuladores de PDC contienen las bases de datos de cuentas y las herramientas administrativas. Como resultado, una gran carga de trabajo puede ralentizar el sistema. El servicio DNS se puede instalar en una máquina emuladora secundaria para aliviar la carga de trabajo en el emulador PDC. Se aplican las mismas reglas; sólo puede existir un PDC en un dominio, pero aún así se pueden utilizar varios servidores de replicación. ^[7]

• El maestro emulador de PDC actúa en lugar del PDC si quedan controladores de dominio (BDC) de Windows NT 4.0 dentro del dominio, actuando como una fuente desde la cual replicar.
• El maestro del emulador de PDC recibe replicación preferencial de los cambios de contraseña dentro del dominio. Como los cambios de contraseña tardan en replicarse en todos los controladores de dominio de un dominio de Active Directory, el maestro del emulador de PDC recibe una notificación de los cambios de contraseña inmediatamente y, si falla un intento de inicio de sesión en otro controlador de dominio, ese controlador de dominio reenviará la solicitud de inicio de sesión al Maestro del emulador de PDC antes de rechazarlo.
• El maestro emulador de PDC también sirve como máquina con la que todos los controladores de dominio del dominio sincronizarán sus relojes. Este, a su vez, debe configurarse para sincronizarse con una fuente de hora NTP externa . ^[8]

Samba

Los controladores de dominio primarios (PDC) se han recreado fielmente en la emulación Samba del sistema cliente/servidor SMB de Microsoft . Samba tiene la capacidad de emular un dominio NT 4.0, así como los modernos servicios de dominio de Active Directory ^[9] en una máquina Linux . ^[10]

Controlador de dominio de respaldo

En los dominios de Windows NT 4, el controlador de dominio de respaldo (BDC) es una computadora que tiene una copia de la base de datos de cuentas de usuario. A diferencia de la base de datos de cuentas del PDC, la base de datos del BDC es una copia de sólo lectura. Cuando se realizan cambios en la base de datos de cuentas maestras en el PDC, el PDC envía las actualizaciones a los BDC. Estos controladores de dominio adicionales existen para proporcionar tolerancia a fallos. Si el PDC falla, se puede reemplazar por un BDC. En tales circunstancias, un administrador promueve un BDC para que sea el nuevo PDC. Los BDC también pueden autenticar las solicitudes de inicio de sesión de los usuarios y tomar parte de la carga de autenticación del PDC.

Cuando se lanzó Windows 2000 , el dominio NT que se encuentra en NT 4 y versiones anteriores fue reemplazado por Active Directory . En los dominios de Active Directory que se ejecutan en modo nativo, el concepto de PDC y BDC no existe. En estos dominios, todos los controladores de dominio se consideran iguales. Un efecto secundario de este cambio es la pérdida de la capacidad de crear un controlador de dominio de "sólo lectura". Windows Server 2008 reintrodujo esta capacidad.

Nomenclatura

Windows Server puede ser de tres tipos: "controladores de dominio" de Active Directory (los que proporcionan identidad y autenticación), "servidores miembro" de Active Directory (los que proporcionan servicios complementarios como repositorios de archivos y esquemas) y Windows Workgroup "independiente". servidores". ^[11] Microsoft utiliza a veces el término "Servidor de Active Directory" como sinónimo de "Controlador de dominio" ^{[12] [13] [14] [15] [16]} , pero se desaconseja el término. ^[17]

Referencias

1. "Funciones del controlador de dominio". Microsoft TechNet o un controlador de dominio (DC) es un servidor que responde a solicitudes de autenticación de seguridad dentro de un dominio de Windows Server. Es un servidor en una red Microsoft Windows o Windows NT que se encarga de permitir el acceso del host a los recursos del dominio de Windows. Un controlador de dominio es la pieza central del servicio Windows Active Directory. Autentica a los usuarios, almacena información de cuentas de usuarios y aplica políticas de seguridad para un dominio de Windows . Consultado el 4 de diciembre de 2009 .
2. "Funciones del controlador de dominio". Referencia técnica de Windows Server 2003 . Microsoft Technet. 2010-06-03 . Consultado el 21 de noviembre de 2012 . Un controlador de dominio es un servidor que ejecuta una versión del sistema operativo Windows Server® y tiene instalados los Servicios de dominio de Active Directory®.
3. "¿Qué es un controlador de dominio? - Definición de Techopedia". Techinfo.com . Consultado el 16 de noviembre de 2016 .
4. "Respuesta: ¿Qué es un controlador de dominio y qué hace?". Scientificera.com . Consultado el 16 de noviembre de 2016 .
5. "Funciones del controlador de dominio". Microsoft Tech net 3 de junio de 2010 . Consultado el 13 de febrero de 2011 .
6. "Replicación transaccional de igual a igual". Microsoft Technet: fecha no revelada . Consultado el 13 de febrero de 2011 .
7. "Reducir la carga de trabajo en PDC Emulator Master". Microsoft Technet 9 de enero de 2009 . Consultado el 13 de febrero de 2011 .
8. "Configurar la fuente de tiempo para el bosque". Microsoft Technet 9 de enero de 2009 . Consultado el 13 de febrero de 2011 .
9. "Configuración de Samba como controlador de dominio de Active Directory - SambaWiki". wiki.samba.org . Consultado el 20 de abril de 2018 .
10. "El Administrador del servidor muestra PDC y BDC como estaciones de trabajo con el servidor Samba Linux en la red". Microsoft Technet 1 de noviembre de 2006 . Consultado el 13 de febrero de 2011 .
11. "Planificación de controladores de dominio y servidores miembros". Ayuda del producto Windows Server 2003 . Microsoft Technet. 2005-01-21 . Consultado el 21 de noviembre de 2012 . [...] servidores en un dominio pueden tener una de dos funciones: controladores de dominio, que contienen copias coincidentes de las cuentas de usuario y otros datos de Active Directory en un dominio determinado, y servidores miembros, que pertenecen a un dominio pero no contienen una copia de los datos de Active Directory. (Un servidor que pertenece a un grupo de trabajo, no a un dominio, se denomina servidor independiente).
12. "Planificación de capacidad para servicios de dominio de Active Directory". Microsoft Technet. 2012-10-12. Archivado desde el original el 29 de noviembre de 2012 . Consultado el 21 de noviembre de 2012 . Evaluación de la RAM del servidor Active Directory [...] Evaluar la cantidad de RAM que necesita un controlador de dominio (DC) es en realidad un ejercicio bastante complejo.
13. "Q324753: Cómo crear un servidor Active Directory en Windows Server 2003". Soporte de Microsoft. 2011-09-11 . Consultado el 21 de noviembre de 2012 . Cómo crear un servidor Active Directory en Windows Server 2003 [...] Para convertir una computadora con Windows Server 2003 en el primer controlador de dominio del bosque, siga estos pasos [...]
14. "Q302914: Cómo accede Outlook 2000 a Active Directory". Soporte de Microsoft. 2007-02-27 . Consultado el 21 de noviembre de 2012 . [...] debe reiniciar Outlook si ese servidor Active Directory en particular deja de responder.
15. "Q253841: XADM: Solución de problemas de replicación del conector de Active Directory". Soporte de Microsoft. 2007-02-27 . Consultado el 21 de noviembre de 2012 . ¿Está configurado un acuerdo de conexión para la computadora con Exchange Server al servidor Active Directory?
16. "Q825916: El conector de Active Directory de Exchange 2000 no replica correctamente los cambios en la pertenencia a grupos en Windows Server 2003 Active Directory en los niveles funcionales del bosque 1 o 2". Soporte de Microsoft. 2006-10-27 . Consultado el 21 de noviembre de 2012 . [...] los cambios no se replican entre un servidor Active Directory de Windows Server 2003 (en el nivel funcional de bosque 1 o en el nivel funcional de bosque 2) y una computadora con Microsoft Exchange Server 5.5 [...]
17. Comentario marcado oficialmente como "respuesta" por el moderador del foro empleado por Microsoft, "Arthur_Li". Jorge Mederos (11-10-2010). "Servidor AD versus controlador de dominio versus servidor miembro, et al". Foros de Microsoft TechNet . Archivado desde el original el 3 de enero de 2013 . Consultado el 21 de noviembre de 2012 . [...] el término "Servidores AD" no es una frase que encontrará en ningún libro técnico y yo mismo no he oído ese término utilizado en la industria.

enlaces externos

• Cómo se ubican los controladores de dominio en Windows
• Controlador de dominio de código abierto preintegrado