Как долго клиент может быть отключен в AD?

12

Мы создаем условия для тренировок, которые будут использоваться после летних каникул. Менеджмент хочет, чтобы мы установили клиентов прямо перед отпуском. Поскольку клиенты должны быть отправлены, они будут отключены до начала обучения. Это означает, что клиенты будут вне связи с AD в течение примерно 15 недель. Кроме того, поскольку здесь никого не будет, серверы будут отключены примерно на шесть-восемь недель. Срок службы надгробия установлен на 180 дней.

Может ли этот 15-недельный период создать проблемы для клиентов? Должны ли мы попытаться убедить руководство отложить установку клиента до окончания отпуска?

Sandokan
источник
1
Сколько времени у вас занимает настройка? Вы обеспокоены патчами / обновлениями / обновлениями av / и т. Д. во время этого окна?
TheCleaner
Патчи и тому подобное не вызывают беспокойства. Так как это всего лишь система обучения, все, что нас действительно волнует, это то, что клиенты не переходят в какой-либо режим захоронения.
Сандокан
1
Я согласен с Райаном ниже, но если для «сборки» не требуются объекты групповой политики и т. Д., Чтобы привести их в состояние, в котором они нуждаются для обучения, вы также можете создать их, а затем подождать, чтобы добавить их в домен до окончания летних каникул. когда вы загрузите их обратно.
TheCleaner

Ответы:

21

Все будет хорошо

Вот небольшая реклама Шона Айви из Microsoft; довольно умный парень

Хорошо, если мы говорим о членах домена, а не о контроллерах домена, то для всех практических целей они могут быть отключены на неопределенный срок без проблем. Когда вы, наконец, включите их снова, запустится утилита очистки сети, свяжется с контроллером домена и сбросит пароль для учетной записи компьютера.

Важно помнить, что сброс пароля учетной записи компьютера осуществляется КЛИЕНТОМ, а не контроллером домена. Таким образом, пока клиент не пытается изменить свой пароль, пароль не будет изменен.

Посмотрите на эту ссылку, когда вы получите шанс. Я вытащил соответствующие части:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Пароли учетных записей компьютеров как таковые не истекают в Active Directory. Они освобождены от политики паролей домена. Это важно помнить, что изменения пароля учетной записи компьютера инициируются КЛИЕНТОМ (компьютером), а не AD. Пока никто не отключил или не удалил учетную запись компьютера, а также не пытался добавить компьютер с тем же именем в домен, (или некоторые другие разрушительные действия), компьютер будет продолжать работать независимо от того, сколько времени прошло с тех пор, как пароль его учетной записи компьютера был инициирован и изменен.

Так что, если компьютер выключен в течение трех месяцев, ничего не истекает. Когда компьютер запускается, он заметит, что его пароль старше 30 дней, и инициирует действие для его изменения. За это отвечает служба Netlogon на клиентском компьютере. Это применимо, только если машина выключена на такое длительное время.

Прежде чем мы установим новый пароль локально, мы гарантируем, что у нас есть действующий безопасный канал к DC. Если клиенту никогда не удавалось подключиться к контроллеру домена (где никогда ничего не было до момента попытки - время обновить защищенный канал), мы не будем менять пароль локально.

Соответствующие параметры Netlogon, которые вступают в игру, и мы можем подумать об изменении здесь:

ScavengeInterval (по умолчанию 15 минут), MaximumPasswordAge (по умолчанию 30 дней) DisablePasswordChange (по умолчанию отключено). "

Надеюсь, это поможет!

Райан Райс
источник
Что означает, что клиенты, а не только серверы подпадают под концепцию надгробной плиты?
Сандокан
4
Нет, действительно, все, что вам нужно беспокоиться, это контроллеры домена. Члены домена могут быть отключены на неопределенное время и все же могут быть возвращены.
Райан Райс
4
@Sandokan Не для активных учетных записей компьютеров. Надгробия предназначены для пометки удаленных учетных записей для репликации (поэтому операция удаления может быть реплицирована между контроллерами домена). Проблема, которая возникает после того, как контроллер домена был отключен дольше, чем TombstoneLifeTime, заключается в том, что он может не обрабатывать все удаления, произошедшие после его отключения (так как старые могут быть удалены), поэтому реплики каталога могут оказаться вне -sync. Это не то, о чем вам нужно беспокоиться с клиентами или в случае, когда вы намекаете на весь домен в течение длительного периода времени.
the-wabbit