什麼是網域控制站？概念、運作方式

網路百科全書中域控制器的定義。

什麼是網域控制站？

網域控制站是管理網域安全性原則的 Microsoft Windows Server。需要取得網域內網路資源存取權的使用者和電腦，必須由網域中的網域控制站進行驗證。Windows NT 網域控制站是 Windows NT 目錄服務 （NTDS） 的基礎，而 Windows 2000 網域控制站則以 Active Directory 為基礎。

在 Windows NT 型網路中，網域控制站會形成階層。Windows NT 網域控制站有兩種類型：

• 主要網域控制站 （PDC） ，其中包含網域目錄資料庫的可寫入主要複本。網域只能有一個 PDC，它位於網域控制站階層的頂端。目錄資訊 （例如使用者帳戶或密碼） 的所有變更都必須在 PDC 上進行。

• 備份網域控制站 （BDC） ，其中包含儲存在 PDC 上的網域目錄資料庫的唯讀複本。每個網域可以有零個或多個 BDC。BDC 為網域提供備援和負載平衡。網域中的 BDC 會定期與 PDC 進行目錄同步處理，以確保 BDC 包含網域目錄資料庫的正確複本。此複寫可確保 NTDS 的正常運作。

網域控制站

Windows 2000 網域控制站是任何已安裝選擇性 Active Directory 服務的 Windows 2000 伺服器。Windows 2000 網域控制站包含安裝它們之網域之 Active Directory 資訊的完整、可寫入複本。執行 Active Directory 安裝精靈，將任何 Windows 2000 成員伺服器升級為網域控制站的角色。網域控制站會管理 Active Directory 資料庫中的資訊，並讓使用者登入網域、進行驗證以存取網域中的資源，以及搜尋目錄以取得使用者和網路資源的相關資訊。Windows 2000 網域控制站包含網域目錄資料庫的可寫入複本。

不同於以 Windows NT 為基礎的網路，其中網域控制站位於階層中，Windows 2000 型網路中的所有網域控制站都是相等的，而且可以在任何網域控制站上變更網域目錄資料庫。Windows 2000 網域控制站之間的目錄資訊複寫遵循多重主機模型。在此設定中，每個網域控制站都會作為所有其他網域控制站的對等。換句話說，Windows 2000 中沒有主要或備份網域控制站，只有網域控制站。

在純 Windows 2000 網路環境中，所有網域控制站都可以設定為以原生模式執行。如果您混合使用 Windows NT 4 和 Windows 2000 網域控制站，則必須將 Windows 2000 網域控制站設定為以混合模式執行。

移動 Windows NT 網域控制站

如果您需要將 Windows NT 網域控制站移至新的網域，則必須重新安裝 Windows NT。網域控制站無法從一個網域移轉至另一個網域，因為當您建立網域時，會建立唯一的安全性識別碼 （SID） 來識別網域，而網域控制站會將此 SID 硬式編碼到其網域目錄資料庫中。

您可以使用系統管理工具 Active Directory 使用者和電腦，將 Windows 2000 網域控制站從混合模式轉換成原生模式。不過，以原生模式執行的網域控制站無法變更為混合模式。

如果您為現有的 Windows 2000 網域建立新的網域控制站，則此新的網域控制站稱為複本網域控制站。建立複本網域控制站通常是為了提供容錯能力，並為透過網路存取資源的使用者提供更好的支援。

升級 Windows NT 型網路

若要將 Windows NT 型網路升級至 Windows 2000，請先升級 PDC。這可讓網域立即加入網域樹狀結構，而系統管理員可以使用 Windows 2000 的系統管理工具來管理網域，並在 Active Directory 中建立和設定物件。

Windows 2000 型網路中網域控制站的重要問題是放置它們的位置。在系統管理員實作 Active Directory 並填入其初始資訊之後，大部分的 Active Directory 相關流量將來自查詢網路資源的使用者。

優化使用者查詢的關鍵在於如何在網路上尋找網域控制站和通用類別目錄伺服器。在每個實體月臺放置網域控制站可最佳化查詢流量，但會增加月臺之間的複寫流量。不過，最佳設定通常是在每個月臺上放置至少一個網域控制站，其中包含大量使用者和電腦。