O que é um controlador de domínio?
Um domínio do Windows Server é um agrupamento lógico de computadores em rede com políticas de segurança compartilhadas e o mesmo banco de dados de contas de usuário. Um controlador de domínio (DC) centraliza e autentica todas as solicitações de acesso a recursos de rede dentro do mesmo domínio.
Um DC é crucial para a segurança da rede, pois armazena todos os dados para validar o acesso aos ativos da rede. Os servidores DC são guardiões eficazes para recursos vinculados ao domínio, além de concederem acesso aos Serviços de Domínio Active Directory (AD DS) da Microsoft.
Este artigo mostra tudo o que você precisa saber sobre controladores de domínio. Saiba como funcionam os controladores de domínio e como os servidores DC ajudam a manter uma postura de alta segurança cibernética.
O que é um controlador de domínio?
Um controlador de domínio é um servidor que verifica as identidades dos usuários e autoriza o acesso aos recursos de TI dentro de um domínio de rede. Os servidores DC autenticam usuários, armazenam informações de contas e aplicam políticas de segurança baseadas em domínio.
Os controladores de domínio são mais comumente usados em domínios do Windows Active Directory. No entanto, existem maneiras de estabelecer um DC em sistemas não Windows, normalmente por meio de software de gerenciamento de identidade e acesso (IAM). O exemplo mais comum é usar o Samba para criar um controlador de domínio baseado em Linux.
A principal função de um controlador de domínio é conceder acesso a recursos baseados em domínio (sistemas, aplicativos, sistemas de armazenamento de arquivos, etc.), mas os DCs têm mais alguns recursos. Aqui está uma visão mais detalhada das principais funções de um DC:
- Autenticação. O DC verifica a identidade de usuários e computadores que tentam acessar recursos baseados em domínio.
- Autorização. Uma vez autenticado, o DC determina o nível de acesso que o usuário ou computador tem dentro do domínio.
- Gerenciamento de contas. Os DCs cuidam da criação, modificação e exclusão de contas de usuários e computadores dentro do domínio do AD.
- Aplicação de políticas. Os DCs permitem que os administradores apliquem protocolos e regras de segurança relevantes ao domínio. Exemplos comuns são requisitos para senhas fortes, sites banidos e políticas de bloqueio de contas.
Todas as solicitações de acesso à rede devem passar pelo controlador de domínio, portanto, proteger o servidor DC é vital. Aqui estão as medidas de segurança e precauções para manter os DCs seguros:
- Uso de firewall.
- Criptografia de dados (em repouso, em trânsito e em uso).
- Uso restrito de protocolos arriscados (por exemplo, desktop remoto ou BGP).
- Gerenciamento proativo de patches.
- Medidas de segurança de confiança zero.
- Monitoramento e registro contínuos.
- Sistemas de detecção de intrusão (IDSes).
- Backups regulares de dados.
- Configuração de vários controladores de domínio sincronizados para redundância e alta disponibilidade.
Planeja adicionar um DC à sua rede? Lembre-se de descrever as configurações principais e os membros da equipe em sua política de segurança de rede.
Qual é a diferença entre o Active Directory e o controlador de domínio?
Active Directory e controladores de domínio são conceitos relacionados no ecossistema Microsoft Windows. No entanto, referem-se a diferentes componentes com funções distintas. AD é o serviço abrangente, enquanto um DC é um servidor que executa serviços AD.
Active Directory é o serviço de diretório da Microsoft que fornece um local centralizado para gerenciar e organizar recursos de rede. O AD serve como um banco de dados que armazena todas as informações relevantes sobre objetos de rede, incluindo:
- Contas de usuários (nomes de usuário, senhas, nomes completos, e-mails, departamentos, etc.).
- Contas de computador (nomes e endereços IP).
- Grupos de segurança usados para conceder permissões de acesso.
- Grupos de distribuição para listas de distribuição de email.
- Unidades Organizacionais (OUs) que permitem que um administrador organize e gerencie objetos em uma estrutura hierárquica.
- Objetos de Política de Grupo (GPOs) usados para gerenciar as definições e configurações de usuários e computadores baseados em domínio.
- Informações de DNS (nomes de domínio, registros relacionados a DNS, listas de domínios confiáveis, etc.).
- Pontos de conexão de serviço (SCPs) que definem a localização dos serviços no diretório.
O AD centraliza a autenticação, autorização e gerenciamento de todos os objetos baseados em domínio. Por outro lado, um controlador de domínio é um servidor que executa os serviços do Active Directory. A função principal de um DC é gerenciar solicitações de autenticação de segurança e aplicar políticas de segurança ditadas por instruções baseadas em AD.
Tipos de controlador de domínio
No contexto do Microsoft AD, existem dois tipos de controladores de domínio: somente leitura e leitura-gravação. Esses controladores de domínio atendem a finalidades diferentes na arquitetura de rede.
Um controlador de domínio somente leitura (RODC) mantém uma cópia somente leitura do banco de dados do Active Directory. A natureza somente leitura torna esse tipo de DC adequado para implantações em locais com mais riscos de segurança.
Como o nome sugere, os RODCs não permitem operações de gravação diretamente no banco de dados AD. Quaisquer alterações ou atualizações são replicadas para um controlador de domínio com privilégios de gravação. Aqui estão alguns cenários em que um RODC é uma escolha sensata:
- Implantação em filiais ou locais remotos onde a segurança física é uma preocupação.
- Cenários em que você armazena informações confidenciais no banco de dados do AD e está preocupado em ter muitos DCs de leitura e gravação.
- Situações em que um administrador deseja conceder acesso AD somente leitura a parceiros, consultores externos ou auditores.
- Sistemas com largura de banda limitada entre o local de implantação remota e o data center central.
Por outro lado, um controlador de domínio de leitura e gravação (RWDC) é o tipo padrão de controlador de domínio em um ambiente Microsoft AD. Ao contrário de um RODC, um RWDC tem acesso total de leitura e gravação ao AD DS. Portanto, esses DCs podem aceitar alterações, atualizações e modificações no diretório.
Quais são os principais componentes de um controlador de domínio?
Um controlador de domínio consiste em vários componentes, cada um servindo uma função específica no gerenciamento e autenticação de usuários e recursos baseados em domínio. Aqui estão os principais componentes de um controlador de domínio:
- Banco de dados do Active Directory. Esse banco de dados hierárquico armazena atributos e propriedades para cada objeto de rede dentro do domínio.
- Serviço de diretório. O serviço de diretório é um conjunto de processos e serviços responsáveis pelo gerenciamento do banco de dados do AD. O serviço de diretório inclui componentes que tratam de autenticação, autorização e operações relacionadas a diretório.
- Protocolo leve de acesso a diretórios (LDAP). O LDAP é um protocolo para acessar e gerenciar as informações armazenadas no banco de dados do AD. Os clientes usam o LDAP para realizar consultas e atualizações no serviço de diretório.
- O serviço NetLogon. Este serviço lida com serviços de autenticação e localização de controlador de domínio.
- Sistema de Nomes de Domínio (DNS). O DC fornece serviços DNS para traduzir nomes de domínio em endereços IP (e vice-versa). A configuração adequada e as práticas recomendadas de DNS são cruciais para a replicação e a funcionalidade do domínio.
- NT Directory Service (NTDS). O NTDS inclui a Autoridade de Segurança Local (LSA), que administra as políticas de segurança. O NTDS também inclui o mecanismo de replicação, que garante consistência em ambientes com vários controladores de domínio.
- Gerenciador de contas de segurança (SAM). O banco de dados SAM armazena informações de segurança para contas e grupos de usuários locais no controlador de domínio.
- Replicação do Sistema de Arquivos Distribuídos (DFSR). O DFSR é responsável pela replicação do SYSVOL, uma pasta compartilhada que contém arquivos importantes do sistema, scripts e objetos de Política de Grupo.
- Serviço de autenticação Kerberos. A autenticação Kerberos fornece um método seguro para verificar a identidade de usuários e computadores que acessam recursos de domínio.
A operação perfeita do controlador de domínio requer configuração adequada para cada componente. Configurações incorretas levam a problemas de autenticação e replicação, portanto, certifique-se de que sua equipe tenha o conhecimento técnico para configurar e usar o DC se você optar por implantar um.
Como funcionam os controladores de domínio
Quando um usuário tenta fazer login em um computador ou acessar um recurso de rede, o controlador de domínio inicia o processo de autenticação. O usuário fornece um nome de usuário e uma senha, enquanto o DC usa o Kerberos para verificar a identidade do usuário.
Depois de autenticado, o DC determina o nível de acesso do usuário com base nas seguintes informações no AD DS:
- Participações em grupos.
- Políticas relevantes.
- Configurações e restrições de controle de acesso.
Além da autenticação e autorização, o DC impõe políticas definidas no AD DS. O controlador de domínio aplica políticas de segurança aos usuários e computadores do domínio. As políticas mais comuns que as empresas aplicam com um controlador de domínio incluem:
- Políticas de senha (por exemplo, requisitos de complexidade, alterações regulares de senha, prazos de validade, etc.).
- Políticas para criação, uso e exclusão de contas de usuário.
- Políticas de configuração e segurança.
- Políticas de correção.
- Políticas de acesso remoto.
- Políticas relacionadas a dispositivos (por exemplo, uso de dispositivos de armazenamento removíveis, uso de dispositivos periféricos, políticas BYOD, etc.).
Grandes redes geralmente possuem vários controladores de domínio. Dois ou mais DCs melhoram a tolerância a falhas e garantem que os serviços AD permaneçam disponíveis mesmo se um controlador de domínio falhar.
Em um ambiente multi-DC, o DC de leitura e gravação primário replica as alterações feitas no banco de dados AD para outros DCs dentro do mesmo domínio. A replicação garante que todos os DCs tenham dados consistentes e atualizados.
Quem precisa de um controlador de domínio?
>A necessidade de uma organização de um controlador de domínio depende do tamanho e da complexidade da rede. As empresas interessadas em autenticação centralizada, gerenciamento eficiente de usuários e recursos e políticas de segurança consistentes são boas candidatas para um DC.
Aqui estão os adotantes típicos de controladores de domínio:
- Organizações com um número médio a grande de usuários, computadores e recursos de rede que operam sob o mesmo conjunto de regras.
- Empresas que exigem um sistema de autenticação centralizado que permite aos usuários fazer login com um único conjunto de credenciais.
- Empresas com diversos ativos de TI que desejam usar um DC para organizar e controlar o acesso aos recursos da rede.
- Organizações que desejam impor definições, configurações e políticas de segurança uniformes em uma rede ampla.
- Empresas com diversas filiais que desejam otimizar o tráfego de rede, reduzir a latência e fornecer serviços de autenticação localizados.
- Organizações que usam ou desejam começar a usar serviços e tecnologias de rede Microsoft (por exemplo, Exchange Server ou SharePoint).
- Empresas em setores rigorosos que desejam um CD para aplicar medidas de segurança e manter trilhas de auditoria.
- Equipes que desejam implantar uma nuvem híbrida e usar um controlador de domínio para integrar o AD local aos serviços de nuvem.
Interessado em nuvens híbridas? Confira as soluções de nuvem híbrida pNAP e veja como ajudamos nossos clientes a combinar de maneira econômica recursos de nuvem pública, nuvem privada e TI local.
Quais são as vantagens dos controladores de domínio?
Um controlador de domínio oferece uma série de benefícios de segurança e gerenciamento. A implantação de um DC torna as redes mais seguras, transparentes e fáceis de gerenciar.
Aqui estão os principais benefícios de usar um controlador de domínio:
- Verificação de identidade confiável. Um controlador de domínio autentica e autoriza de forma confiável cada usuário e computador antes de conceder acesso a recursos baseados em domínio.
- Autenticação centralizada. Um DC permite que os usuários façam login em qualquer computador do domínio com um único conjunto de credenciais. Essa centralização simplifica o processo de login do usuário final e aumenta a segurança geral.
- Gerenciamento centralizado. Um controlador de domínio economiza tempo e custos ao permitir que um administrador defina parâmetros de login e segurança a partir de um servidor centralizado. Os administradores de rede podem atualizar as regras da rede e gerenciar contas em um único local.
- Aplicação e gerenciamento de políticas. Um DC permite que os administradores definam e apliquem definições, configurações e políticas de segurança em todo o domínio.
- Alta escalabilidade. Organizações maiores normalmente usam vários DCs para distribuir a carga de autenticação e fornecer tolerância a falhas. Esta escalabilidade é essencial para grandes redes que adquirem regularmente novos utilizadores e dispositivos.
- Registro e auditoria. Os controladores de domínio geram registros que capturam eventos e atividades dentro do domínio. O registro e a auditoria são cruciais para monitorar uma rede e solucionar problemas.
Realize uma auditoria de segurança de rede e descubra se sua rede precisa de um aumento nos controles de segurança.
Quais são as desvantagens dos controladores de domínio?
Embora altamente benéficos para a segurança da rede, os controladores de domínio apresentam algumas desvantagens notáveis. Os administradores devem configurar e gerenciar cuidadosamente um DC. Erros durante a configuração ou manutenção diária podem levar a acesso não autorizado, violações de dados ou interrupções nos serviços de rede.
Aqui estão as deficiências mais comuns do uso de um controlador de domínio:
- Complexidade de configuração. Instalar e configurar um DC é demorado e requer um planejamento cuidadoso.
- Sobrecarga administrativa. Manter um controlador de domínio é complexo, o que representa um desafio para organizações com equipes menores ou administradores de rede menos experientes.
- Custos extras de TI. A implantação e a manutenção de um controlador de domínio geralmente envolvem custos associados a hardware, licenças de software e manutenção contínua.
- Riscos de segurança. Um controlador de domínio mal configurado ou mantido geralmente leva a configurações incorretas e vulnerabilidades. Uma falha ou exploração em um DC pode deixar toda a rede aberta a um ataque cibernético.
- Desafios de replicação. A replicação inconsistente entre vários controladores de domínio pode causar discrepâncias de dados e problemas operacionais.
- Suporte limitado para ambientes não Windows. Os controladores de domínio são projetados principalmente para ambientes Windows. As organizações com sistemas não Windows podem enfrentar limitações em termos de compatibilidade e suporte.
Você pode mitigar a maioria das desvantagens potenciais relacionadas ao DC por meio de planejamento adequado e treinamento de equipe. Certifique-se de que seus administradores de rede planejem as armadilhas discutidas acima para aproveitar ao máximo seu DC.
Como configurar um controlador de domínio
Configurar um controlador de domínio em um servidor que executa o Microsoft Windows Server 2022 é um processo de duas etapas. Primeiro, você deve instalar a função Serviços de Domínio Active Directory. Em seguida, você promove o servidor a controlador de domínio.
Antes de começar, existem alguns pré-requisitos. Você deve instalar o Microsoft Windows Server 2022 em uma máquina dedicada. Em seguida, atribua um endereço IP estático ao servidor e escolha um nome exclusivo para o servidor que esteja em conformidade com as convenções de nomenclatura DNS.
Etapa 1: instalar a função de serviços de domínio do Active Directory
Faça login no servidor Active Directory e abra o Gerenciador do Servidor. Siga estas etapas para instalar a função AD DS:
1. Clique em Gerenciar no canto superior direito da tela e selecione Adicionar funções e recursos.
Uma tela Antes de começar aparece a seguir. Este texto é meramente informativo, então leia-o e clique em Avançar.
2. Escolha o tipo de instalação. Se você planeja implantar um controlador de domínio em uma máquina virtual, escolha Instalação de serviços de área de trabalho remota. Caso contrário, opte pela instalação baseada em funções ou em recursos.
3. Selecione o servidor de destino no qual deseja instalar a função AD DS. Escolha o servidor com o endereço IP estático que você criou antes de iniciar o processo de instalação.
4. Selecione as funções que deseja instalar no servidor com base nas suas necessidades. As duas funções obrigatórias são Serviços de Domínio Active Directory e Servidor DNS.
Clique em Próximo para chegar à tela Recursos.
5. Marque o campo Gerenciamento de Política de Grupo e clique em Avançar.
6. As próximas duas telas (AD DS e Servidor DNS) apresentam algumas informações úteis, então passe por elas e clique em Avançar quando terminar de revisá-las.
7. Selecione o botão Reiniciar o servidor de destino automaticamente se necessário e clique em Instalar na tela final. O processo de instalação leva alguns minutos.
Etapa 2: promover o servidor a controlador de domínio
Depois de instalar a função AD DS, você verá um sinalizador de notificação ao lado do menu Gerenciar. Siga estas etapas para promover o servidor a controlador de domínio:
1. Abra o menu suspenso de notificações (que agora tem um pequeno sinal de exclamação próximo a ele) e selecione Promover este servidor a controlador de domínio para abrir a tela Configuração de implantação.
2. Clique em Adicionar uma nova floresta, digite o nome de domínio raiz de sua preferência e clique em Avançar.
3. Escolha um nível funcional de floresta e um nível funcional de domínio. Lembre-se que o nível funcional do domínio deve ser igual ou superior ao nível funcional da floresta.
Na seção Especificar recursos do controlador de domínio, selecione as seguintes opções:
- Servidor de Sistema de Nomes de Domínio (DNS).
- Catálogo Global (GC).
Marque Controlador de domínio somente leitura (RODC) se desejar implantar um DC somente leitura.
4. Insira uma senha exclusiva do Modo de restauração de serviços de diretório (DSRM), que você poderá usar posteriormente para restaurar dados do AD se algo der errado. Clique em Avançar.
5. A aba Opções de DNS informa que não há como criar uma delegação para este servidor DNS. Pule este menu clicando em Avançar.
6. Insira um nome NetBIOS para o domínio na próxima tela. Recomendamos combinar o nome NetBIOS com o nome de domínio raiz. Quando terminar, clique em Avançar.
7. Selecione as pastas onde deseja armazenar seu banco de dados, arquivos de log e SYSVOL. As configurações padrão normalmente são boas, então revise as sugestões de pastas e clique em Avançar.
8. A guia Opções de revisão apresenta uma visão geral do processo de configuração. Revise as informações apresentadas e clique em Avançar.
9. O Active Directory agora executa uma verificação de pré-requisitos. Assim que a verificação terminar, clique em Instalar. O assistente de configuração é reinicializado automaticamente diversas vezes durante a instalação.
Assim que a instalação terminar, execute o comando dcdiag /v na linha de comando para verificar a integridade do controlador de domínio.
DCs tornam as redes mais seguras, consistentes e fáceis de gerenciar
Um controlador de domínio é um investimento valioso para qualquer empresa com uma rede grande que exija segurança mais rígida e controle mais centralizado. Considere se sua empresa é uma boa candidata para implantação de DC e use o que você aprendeu aqui para começar bem sua adoção.