Come si comportano i client di dominio Windows se il controller di dominio non è in linea?

9

Se ho PC Windows collegati a un dominio e il controller di dominio non è in linea, che tipo di comportamento posso aspettarmi sui client (supponendo che non ci sia un secondo controller di dominio?)

  • Gli utenti potranno accedere? O forse una domanda migliore, come cambia la funzionalità di accesso, se non del tutto?

  • Ovviamente le condivisioni di file sul controller di dominio non funzioneranno, ma per quanto riguarda le condivisioni tra client o tra loro e un server membro?

  • Una volta ripristinato il controller di dominio, i client devono riavviarsi, disconnettersi / accedere? Ci sono conseguenze a lungo termine derivanti dalla disconnessione dalla DC?

In definitiva, sono interessato a quali reclami dovrei aspettarmi di ricevere dagli utenti se DC è offline . Sentiti libero di menzionare qualsiasi altra informazione importante che non ho trattato.

active-directory  domain  domain-controller 
Non sono sicuro se il logonserver cambierà automaticamente. Altrimenti dovrai impostarlo manualmente emettendo il comando strong text set logonserver = \\ workingDC strong text Non sono sicuro di quale sia il comportamento, se il logonserver di un computer passa automaticamente a quello funzionante.
gennaio

Risposte:

15

Accadranno molte cose senza DC disponibile:

  • Se il controller di dominio è l'unico server DNS, la prima lamentela che riceverai è che Internet è rotto, perché i client non hanno DNS.

  • Poiché i controller di dominio di solito eseguono anche DHCP, i computer non saranno in grado di connettersi alla rete. I computer già connessi continueranno a funzionare per un po '.

  • Le condivisioni di file a cui sono già collegati funzioneranno bene per un po '(alcune ore probabilmente), fino alla scadenza della loro sessione. Quando il file server va a convalidare le proprie credenziali, non sarà in grado di comunicare con il controller di dominio e non consentirà più a nessuno di connettersi.

  • Qualsiasi altra cosa che si basa sull'autenticazione della directory attiva (come siti IIS o server VPN, ecc.) Non consentirà alle persone di accedere. A seconda della configurazione, potrebbe immediatamente dare il via alle persone o mantenere le sessioni esistenti e non consentirne di nuove.

  • Per i computer stessi, le persone che hanno utilizzato il computer di recente potranno comunque accedere. Le persone che non hanno mai usato la macchina prima o l'hanno usata molto tempo fa non avranno alcuna password memorizzata nella cache, quindi non saranno in grado di accedere fino al ripristino della connessione al controller di dominio.

  • Ci sono conseguenze a lungo termine per la disconnessione dal controller di dominio: alla fine nessuno sarà in grado di accedere con un account di dominio, poiché le password memorizzate nella cache saranno tutte scadute. Se non riesci a riconnetterti al controller di dominio e non hai account locali abilitati, puoi finire in una situazione in cui devi utilizzare utility come NTPasswd per abilitare l'account dell'amministratore locale.

La migliore pratica per i controller di dominio è di averne almeno due. Tanto in una rete Windows si basa su active directory che è necessaria la ridondanza. Per un'organizzazione più piccola, può condividere i ruoli con i file server, anche se evita che un controller di dominio condivida un server con cose come sharepoint e scambio (rende molto difficile ripristinarli e aggiornarli per farlo correttamente)

Con due controller di dominio, se uno muore, puoi semplicemente reinstallare Windows Server, configurarlo come nuovo controller di dominio in un dominio esistente e il gioco è fatto. Nessun tempo morto. Con un controller di dominio singolo il ripristino può essere complicato. E mentre stai ripristinando, hai le persone arrabbiate che non possono fare nulla.

Concedere
fonte
Se si esegue DHCP sul controller di dominio, è possibile che si verifichino dei tempi di inattività ... a meno che non si configuri DHCP per HA in qualche modo ...
ETL
@ETL Il servizio DHCP nel server Windows può essere facilmente configurato per l'alta disponibilità.
Concedi il
5

Dipende dalla durata. Una volta rimosso un servizio dalla rete, le cose diventano inaffidabili ma potrebbero non rompersi. Se si desidera solo riavviare un controller di dominio, l'autenticazione / autorizzazione non dovrebbe essere realmente interrotta. Le persone accederanno con le credenziali memorizzate nella cache, le caselle che stanno già comunicando continueranno a farlo con i loro biglietti Kerberos esistenti ecc.

In questo modo le persone possono accedere ai propri PC con account memorizzati nella cache. Non possono cambiare password ecc.

Per un breve periodo (ore ma non giorni) mentre dovrebbero essere tutti in grado di accedere alle condivisioni di file non sul controller di dominio, ma alla fine questo smetterà di funzionare.

Le cose dovrebbero riprendersi automaticamente dopo il backup della DC.

C'è un grande avvertimento qui però. Se si utilizza DC per DNS non appena si disconnette, la maggior parte delle cose smetterà di funzionare perché i client non saranno in grado di trovare i propri server. Anche le cose che non dipendono da AD si basano sulla risoluzione dei nomi.

La cosa migliore da fare è costruire un secondo controller di dominio con DNS di backup su di esso in modo che i client possano eseguire il failover. La parte AD avverrà automaticamente, la parte DNS che dovrai configurare sui client come server DNS secondario sul client o tramite DHCP ecc.

TheFiddlerWins
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.