[科普中国]-网域控制器

在Microsoft服务器上，网域控制器（DC）是服务器计算机，它响应Windows域中的安全身份验证请求（登录，检查权限等）。 域是Windows NT中引入的概念，通过使用单个用户名和密码组合，可以授予用户访问许多计算机资源的权限。

历史使用Windows NT 4 Server，每个域一个域控制器配置为主域控制器（PDC）;所有其他域控制器都是备份域控制器（BDC）。

由于PDC的关键性质，最佳实践规定PDC应仅专用于域服务，而不用于可能减慢或崩溃系统的文件，打印或应用程序服务。一些网络管理员采取了额外的步骤，在线使用专用的BDC，以便在PDC失败时可以进行促销。

BDC可以对域中的用户进行身份验证，但域的所有更新（新用户，更改的密码，组成员资格等）只能通过PDC进行，然后PDC会将这些更改传播到域中的所有BDC。如果PDC不可用（或无法与请求更改的用户通信），则更新将失败。如果PDC永久不可用（例如，如果机器发生故障），则可以将现有BDC升级为PDC。

Windows 2000及更高版本引入了Active Directory（“AD”），它在很大程度上消除了PDC和BDC的概念，转而支持多主复制。但是，仍有几个角色只有一个域控制器可以执行，称为灵活单主机操作角色。其中一些角色必须由每个域的一个DC填充，而其他角色每个AD林只需要一个DC。如果执行这些角色之一的服务器丢失，则域仍然可以运行，并且如果服务器将不再可用，则管理员可以指定备用DC以在称为“占用”该角色的过程中承担该角色。

主域控制器在Windows NT 4中，一个DC充当主域控制器（PDC）。其他如果存在，通常是备份域控制器（BDC）。 PDC通常被称为“第一”。“域用户管理器”是用于维护用户/组信息的实用程序。它使用主控制器上的域安全数据库。 PDC具有可以访问和修改的用户帐户数据库的主副本。 BDC计算机具有此数据库的副本，但这些副本是只读的。 PDC将定期将其帐户数据库复制到BDC。[6]存在BDC是为了向PDC提供备份，还可以用于验证登录到网络的用户。如果PDC失败，则可以提升其中一个BDC来取代它。 PDC通常是第一个创建的域控制器，除非它被升级的BDC替换。

PDC仿真在Windows的现代版本中，域使用Active Directory服务进行了补充。在Active Directory域中，主域控制器关系和辅助域控制器关系的概念不再适用。 PDC模拟器拥有帐户数据库和管理工具。因此，繁重的工作负载可能会降低系统速度。 DNS服务可以安装在辅助仿真器计算机上，以减轻PDC仿真器上的工作负载。同样的规则适用;域中只能存在一个PDC，但仍可能使用多个复制服务器。

如果域中存在Windows NT 4.0域控制器（BDC），PDC模拟器主机代替PDC，充当它们从中复制的源。
PDC模拟器主服务器接收域中密码更改的优先复制。由于密码更改需要时间来复制Active Directory域中的所有域控制器，PDC模拟器主机会立即收到密码更改通知，如果登录尝试在另一个域控制器上失败，则该域控制器会将登录请求转发给PDC模拟器主机在拒绝它之前。

PDC模拟器主服务器还充当域中所有域控制器将同步其时钟的机器。反过来，它应配置为与外部NTP时间源同步。

SambaPDC已经在Microsoft的SMB客户端/服务器系统的Samba模拟中忠实地重新创建。 Samba能够在Linux机器上模拟NT 4.0域以及现代Active Directory域服务。

备份域控制器在Windows NT 4域中，备份域控制器（BDC）是具有用户帐户数据库副本的计算机。与PDC上的帐户数据库不同，BDC数据库是只读副本。当对PDC上的主帐户数据库进行更改时，PDC会将更新推送到BDC。存在这些额外的域控制器以提供容错。如果PDC失败，则可以由BDC替换。在这种情况下，管理员将BDC升级为新的PDC。 BDC还可以对用户登录请求进行身份验证，并从PDC获取一些身份验证负载。

当Windows 2000发布时，NT 4及之前版本中的NT域被Active Directory取代。在以纯模式运行的Active Directory域中，PDC和BDC的概念不存在。在这些域中，所有域控制器都被视为等于。此更改的副作用是无法创建“只读”域控制器。 Windows Server 2008重新引入了此功能1。

命名法Windows Server可以是以下三种类型之一：Active Directory“域控制器”（提供身份和身份验证的域控制器），Active Directory“成员服务器”（提供诸如文件存储库和架构之类的免费服务的那些）和Windows Workgroup“独立服务器”服务器”。微软有时将术语“Active Directory服务器”用作“域控制器”的同义词，但不建议使用该术语。

本词条内容贡献者为:

李嘉骞 - 博士 - 同济大学