Per quanto tempo è possibile arrestare un client in AD?

12

Stiamo creando un ambiente di allenamento da utilizzare dopo le vacanze estive. La direzione vuole che ora creiamo clienti prima della vacanza. Poiché i clienti devono essere spediti via, saranno fuori linea fino all'inizio della formazione. Ciò significa che i clienti rimarranno in contatto con l'AD per circa 15 settimane. Inoltre, poiché nessuno sarà qui, i server verranno chiusi per circa 6-8 settimane. La durata della lapide è di 180 giorni.

Questo periodo di 15 settimane può generare problemi per i clienti? Dovremmo cercare di convincere il management a rimandare l'installazione del client fino a dopo le vacanze?

windows-server-2003  active-directory  windows-xp 
Sandokan
fonte
1
Quanto tempo impieghi per l'installazione? Sei preoccupato per patch / aggiornamenti / aggiornamenti av / ecc. durante quella finestra?
TheCleaner
Patch e simili non sono un problema. Dal momento che è solo un sistema di allenamento, tutto ciò che ci interessa davvero è che i clienti non entrino in una sorta di modalità tombstone.
Sandokan,
1
Sono d'accordo con Ryan di seguito, ma se la "build" non richiede oggetti Criteri di gruppo, ecc. Per portarli nello stato di cui hanno bisogno per l'addestramento, puoi anche crearli e quindi attendere di aggiungerli al dominio fino a dopo le vacanze estive quando li riavvii.
TheCleaner,

Risposte:

21

Andrà bene.

Ecco un po 'di blurb da Sean Ivey di Microsoft; un ragazzo piuttosto intelligente:

Ok, purché si parli di membri di dominio e non di controller di dominio, a tutti gli effetti pratici potrebbero essere disattivati ​​indefinitamente senza problemi. Quando li riaccendi, verrà eseguito lo scavenger di netlogon, contatterà un controller di dominio e reimposterà la password per l'account del computer.

La cosa importante da ricordare è che una reimpostazione della password dell'account del computer è guidata dal CLIENTE, non dal controller di dominio. Quindi, fintanto che il client non tenta di cambiare la sua password, la password non verrà modificata.

Dai un'occhiata a questo link quando ne hai la possibilità. Ho estratto le parti rilevanti:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Le password degli account macchina in quanto tali non scadono in Active Directory. Sono esentate dalla politica delle password del dominio. È importante ricordare che le modifiche alla password dell'account del computer sono guidate dal CLIENTE (computer) e non dall'AD. Finché nessuno ha disabilitato o eliminato l'account del computer, né ha tentato di aggiungere un computer con lo stesso nome al dominio, (o qualche altra azione distruttiva), il computer continuerà a funzionare indipendentemente da quanto tempo è stato avviato e modificato la password dell'account del computer.

Quindi se un computer viene spento per tre mesi non scade nulla. All'avvio del computer, noterà che la sua password è più vecchia di 30 giorni e avvierà un'azione per cambiarla. Il servizio Netlogon sul computer client è responsabile per questo. Ciò è applicabile solo se la macchina è spenta per così tanto tempo.

Prima di impostare la nuova password localmente, ci assicuriamo di disporre di un canale sicuro valido per il controller di dominio. Se il client non è mai stato in grado di connettersi al controller di dominio (dove non è mai accaduto nulla prima dell'orario del tentativo, l'ora di aggiornare il canale protetto), non cambieremo la password localmente.

I parametri Netlogon rilevanti che entrano in gioco e possiamo pensare di cambiare qui sono:

ScavengeInterval (impostazione predefinita 15 minuti), MaximumPasswordAge (impostazione predefinita 30 giorni) DisablePasswordChange (impostazione predefinita disattivata). "

Spero che questo possa essere d'aiuto!

Ryan Ries
fonte
Ciò significa che i client e non solo i server rientrano nel concetto di lapide?
Sandokan,
4
No, davvero, tutto ciò di cui devi preoccuparti sono i controller di dominio. I membri del dominio possono essere spenti a tempo indeterminato e possono ancora essere riportati.
Ryan Ries,
4
@Sandokan Non per account macchina attivi. Le pietre tombali sono lì per contrassegnare gli account eliminati per motivi di replica (quindi l'operazione di eliminazione può essere replicata tra i controller di dominio). Il problema che si verifica dopo che un controller di dominio è stato spento più a lungo di TombstoneLifeTime è che potrebbe non elaborare tutte le eliminazioni che si sono verificate da quando è stato spento (poiché quelli più vecchi potrebbero essere eliminati), quindi le repliche di directory potrebbero diventare out-of -sync. Non devi preoccuparti di questo con i clienti o nel caso in cui mothball l'intero dominio per un periodo di tempo prolungato.
the-wabbit
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.