網域控制器

位於 Windows 網路中心的網域控制器

當使用者使用網域帳號登入公司 PC、列印至共用印表機或開啟檔案伺服器時，有一個元件會默默地決定「允許」或「拒絕」：它就是網域帳號。 域控制器.

它儲存使用者身分、驗證密碼，並為整個 Windows 網域執行安全規則。.
如果網域控制器停止運作，登入會停滯不前，即使資料仍存在於磁碟上，也很難存取共用資源。.

核心概念：網域、目錄和驗證

A 領域 是一種安全邊界，可將使用者、電腦和資源歸類為一組規則。.
描述它們的目錄是 活動目錄網域服務 (AD DS).

A 域控制器 是執行 AD DS 並回答驗證請求的 Windows 伺服器。.
它持有目錄資料庫的可寫副本，並在用戶端詢問 「這個使用者是誰？」和 「這個使用者可以做什麼？」時作出回應。“

網域控制器的日常工作

每次有人使用網路時，網域控制器都會處理幾項關鍵任務。.

主要功能：

• 在互動登入和單一登入時驗證憑證

• 簽發 Kerberos 票據和管理安全標記

• 將群組政策套用至使用者和電腦

• 儲存和複製 AD 物件，例如使用者、群組和 OU

• 記錄稽核人員稍後檢閱的安全事件

由於 DC 位於信任路徑上，因此會直接影響使用者如何安全地存取檔案伺服器、應用程式和備份系統。.

網域控制器、活動目錄和 DNS：它們的關係

網域控制器對 Active Directory

Active Directory 是目錄服務和資料庫。.
網域控制器是為網域託管此服務的伺服器。.

您可以將 AD DS 視為資訊、模式和規則，而網域控制器則是儲存和複製這些資訊並回答用戶端要求的機器。.

網域控制器 vs. DNS 伺服器

網域控制器依賴 DNS 來尋找服務。.
在許多環境中，同一個 Windows Server 實例會同時執行 AD DS 和 DNS。.

DNS 角色會將主機名稱轉譯為 IP 位址，並發佈服務記錄 (SRV)，以協助用戶端找到網域控制器。.
DC 處理身分；DNS 服務處理名稱解析。.

網域控制器類型

管理員使用多種功能類型的網域控制器，即使底層作業系統仍然是 Windows Server。.

常見類別包括

• 可寫的網域控制器： 接受變更並將其複製的標準 DC。.

• 唯讀網域控制器 (RODC)： 保存唯讀目錄資料，通常用於實體安全性較弱的分支機搆。.

• FSMO 角色持有人： 擁有特殊角色的 DC，例如 PDC 模擬器、RID 主控員或模式主控員。.

• 全球目錄伺服器： 儲存森林中每個物件的部分複本，以便快速搜尋和登入。.

設計選擇取決於安全性、WAN 品質以及組織營運的網站數量。.

規劃您需要多少台網域控制器

您通常會為每個網域部署至少兩個網域控制器，以提供備援。.
如果其中一台伺服器發生故障，另一台伺服器會繼續驗證使用者和套用政策。.

影響 DC 計數的因素：

• 使用者和電腦數量

• 實體網站和 WAN 連線的數量

• 登入與應用程式載入

• 容許停機時間

小型組織通常會在一個網站中執行兩個 DC。.
較大型的環境會為每個網站增加 DC，並分散 FSMO 角色，以避免單點故障。.

網域控制器與資料保護

網域控制器不儲存使用者文件，但可以控制誰可以存取這些文件。.
如果 DC 發生故障，檔案伺服器可能會保持在線，但網域使用者卻無法驗證。.

從復原的角度來看，您的計劃是

• 系統狀態備份 每個網域控制器的

• 測試還原 DC 和處理 USN 回滾的程序

• 保護 AD 整合的 DNS 區域

在端點層級，工具如 Amagicsoft 資料復原 在使用者遺失本機或共用檔案時提供協助，而 DC 則繼續提供身分和存取控制。.
身分復原和檔案復原共同構成完整的復原計劃。.