Как ведут себя клиенты домена Windows, если контроллер домена отключен?

9

Если у меня есть ПК с Windows, которые присоединены к домену, и контроллер домена отключается, какое поведение я могу ожидать от клиентов (при условии, что второго DC нет)?

  • Смогут ли пользователи войти в систему? Или, возможно, лучший вопрос, как меняется функциональность входа в систему, если она вообще меняется?

  • Очевидно, что файловые ресурсы на DC не будут работать, но как насчет общих ресурсов между клиентами или между ними и рядовым сервером?

  • Как только DC восстановлен, клиенты должны перезагрузить, выйти / войти? Есть ли какие-либо долгосрочные последствия от отключения от постоянного тока?

В конечном итоге меня интересует, какие жалобы я должен ожидать от пользователей, если DC отключен . Не стесняйтесь упоминать любую другую важную информацию, которую я не освещал.


источник
Я не уверен, что логонсервер изменится автоматически. Если нет, то вам придется установить его вручную, введя команду strong text set logonserver = \\ workingDC strong text Я не уверен, каково это, если компьютерный сервер входа автоматически переключается на рабочий.
Янв

Ответы:

15

Немного вещей случится без доступных DC:

  • Если контроллер домена является единственным DNS-сервером, первая жалоба, которую вы получите, это то, что интернет не работает, потому что у клиентов нет DNS.

  • Поскольку DC обычно также используют DHCP, компьютеры вообще не смогут подключаться к сети. Компьютеры, которые уже подключены, будут работать некоторое время.

  • Файловые ресурсы, к которым они уже подключены, будут нормально работать некоторое время (вероятно, несколько часов), пока не истечет срок их сеанса. Когда файловый сервер проверяет свои учетные данные, он не сможет общаться с контроллером домена и больше никому не подключается.

  • Все, что зависит от аутентификации в активном каталоге (например, сайты IIS, VPN-серверы и т. Д.), Не позволит пользователям войти в систему. В зависимости от настроек, он может сразу же пнуть людей или оставить существующие сессии и просто не допустить новых.

  • Для самих компьютеров люди, которые недавно использовали компьютер, все еще смогут войти в систему. Люди, которые ранее не пользовались машиной или использовали ее давным-давно, не будут иметь никаких кэшированных паролей, поэтому они не смогут войти в систему, пока не будет восстановлено соединение с DC.

  • Отключение от DC приводит к долгосрочным последствиям - в конечном итоге никто не сможет войти в систему с учетной записью домена, поскольку срок действия кэшированных паролей истечет. Если вы не можете повторно подключиться к контроллеру домена, и у вас не включены локальные учетные записи, вы можете оказаться в ситуации, когда вам нужно использовать такие утилиты, как NTPasswd, чтобы включить учетную запись локального администратора.

Для контроллеров домена лучше всего иметь как минимум два, если их. В сети Windows так много зависит от активной директории, что вам нужна избыточность. Для небольшой организации он может делиться ролями с файловыми серверами, хотя избегайте, чтобы контроллер домена разделял сервер с такими вещами, как sharepoint и exchange (это делает восстановление и обновление их очень сложным для правильной работы)

С двумя контроллерами домена, если один из них умирает, вы можете просто переустановить Windows Server, настроить его в качестве нового контроллера домена в существующем домене, и все готово. Нет простоев вообще. С одним контроллером домена восстановление может быть сложно. И пока вы восстанавливаете, люди расстраиваются из-за того, что они ничего не могут сделать.

Грант
источник
Если вы запускаете DHCP на контроллере домена, у вас может быть некоторое время простоя ... если вы не настроите DHCP для HA каким-либо образом ...
ETL
@ETL Службу DHCP на сервере Windows можно легко настроить для обеспечения высокой доступности.
Грант
5

Зависит от продолжительности. После удаления службы из сети все становится ненадежным, но может не сломаться. Если вы просто хотите перезагрузить контроллер домена, то аутентификация / авторизация не должна прерываться. Люди будут входить в систему с кэшированными учетными данными, ящики, которые уже обмениваются данными, будут продолжать делать это со своими существующими билетами Kerberos и т. Д.

Таким образом, люди могут войти в свои ПК с кэшированными учетными записями Они не могут менять пароли и т. Д.

В течение короткого (часы, но не дня) времени все они должны иметь доступ к файловым ресурсам не только на DC, но в конечном итоге это перестанет работать.

Вещи должны восстановиться автоматически после того, как DC восстановлен.

Здесь есть большая оговорка. Если вы используете DC для DNS, как только он отключится, большинство вещей перестанет работать, потому что клиенты не смогут найти свои серверы. Даже вещи, не зависящие от AD, полагаются на разрешение имен.

Лучше всего создать второй DC с резервным DNS, чтобы клиенты могли переключаться при сбое. Часть AD будет происходить автоматически, часть DNS, которую вам нужно будет настроить на клиентах как дополнительный DNS-сервер, либо на клиенте, либо через DHCP и т. Д.

TheFiddlerWins
источник