nsa工具域控制器

① 什麼是域控

域控制器（Domain controller，簡稱DC）是指在計算機網路域內響應安全身份認證請求的網路伺服器，負責允許發出請求的主機訪問域內資源，以及對用戶進行身份驗證，存儲用戶賬戶信息，並執行域的安全策略。

域控制器( Domain controller，DC)是活動目錄的存儲位置,安裝了活動目錄的計算機稱為域控制器。在第一次安裝活動目錄時,安裝活動目錄的那台計算機就成為域控制器,簡稱「域控」。域控制器存儲著目錄數據並管理用戶域的交互關系,其中包括用戶登錄過程、身份驗證和目錄搜索等。

一個域可以有多個域控制器。為了獲得高可用性和容錯能力,規模較小的域只需兩個域控制器,一個實際使用,另一個用於容錯性檢査;規模較大的域可以使用多個域控制器。

在對等網模式下，任何一台電腦只要接入網路，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網路上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

不過在「域」模式下，至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作，相當於一個單位的門衛一樣，稱為「域控制器（Domain Controller，簡寫為DC）」。

域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時，域控制器首先要鑒別這台電腦是否是屬於這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。

如果以上信息有一樣不正確，那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄，用戶就不能訪問伺服器上有許可權保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網路上的資源。

要把一台電腦加入域，僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的，必須要由網路管理員進行相應的設置，把這台電腦加入到域中。這樣才能實現文件的共享。

一、軟體

用於運行域控制器的軟體和操作系統通常由幾個跨平台共享的關鍵組件組成。這包括操作系統（通常是Windows Server或Linux）、LDAP服務（Red Hat Directory Server等）、網路時間服務（ntpd、chrony等）和計算機網路身份驗證協議（通常是Kerberos）。

其他組件，例如公鑰基礎結構（Active Directory 證書服務、DogTag、OpenSSL）服務和域名系統（Windows DNS 或BIND) 也可能包含在同一台伺服器或另一個加入域的伺服器上。

二、實施

域控制器通常部署為集群，以確保高可用性並最大限度地提高可靠性。在 Windows 環境中，一個域控制器充當主域控制器 (PDC)，而在域伺服器中提升為域控制器狀態的所有其他伺服器作為備份域控制器 (BDC)。

在基於 Unix 的環境中，一台機器作為主域控制器，其他機器作為副本域控制器，定期從主域控制器復制資料庫信息並以只讀格式存儲。

以上內容參考網路-域控制器