Як поводяться клієнти домену Windows, якщо контролер домену офлайн?

9

Якщо у мене є ПК з Windows, які приєднані до домену, і контролер домену переходить в автономний режим, яку поведінку я можу очікувати від клієнтів (якщо вважати, що немає другого постійного струму?)

  • Чи зможуть користувачі увійти? Або, можливо, краще питання, як змінюється функціональність входу, якщо вона взагалі?

  • Очевидно, що файлові папки в DC не будуть працювати, але як бути з акціями між клієнтами або між ними та сервером-членом?

  • Після відновлення постійного струму, чи потрібно клієнтам перезапустити, увійти / увійти? Чи є якісь довгострокові наслідки від відключення від постійного струму?

Зрештою, мене цікавить, які скарги я повинен очікувати від користувачів, якщо DC не працює в режимі офлайн . Не соромтесь згадувати будь-яку іншу важливу інформацію, яку я не висвітлював.

active-directory  domain  domain-controller 
Я не впевнений, чи автоматично зміниться сервер для входу в систему. Якщо ні, то вам доведеться встановити це вручну, видавши команду сильного тексту logonserver = \\ workingDC сильний текст. Я не впевнений, що таке поведінка, якщо сервер для входу в систему автоматично переходить на робочий.
січень

Відповіді:

15

Доступно постійного струму: декілька речей:

  • Якщо контролер домену - єдиний DNS-сервер, першою скаргою ви будете, що Інтернет порушений, оскільки у клієнтів немає DNS.

  • Оскільки DC зазвичай також запускають DHCP, комп'ютери взагалі не зможуть підключитися до мережі. Комп'ютери, які вже підключені, ще деякий час працюватимуть.

  • Файли, до яких уже підключені, працюватимуть нормально (кілька годин), поки не закінчиться їх сеанс. Коли файловий сервер перейде на перевірку своїх облікових даних, він не зможе спілкуватися з постійним струмом і не дозволить нікому більше підключатися.

  • Все, що покладається на активну автентифікацію каталогів (наприклад, сайти IIS або VPN-сервери тощо), не дозволить людям входити в систему. Залежно від налаштувань, це може негайно виганяти людей або може тримати існуючі сеанси та просто не дозволяти нові.

  • Для самих комп’ютерів люди, які останнім часом користувались комп’ютером, все одно зможуть увійти в систему. Люди, які раніше не користувались машиною або не користувались нею, не матимуть кешованих паролів, тому вони не зможуть увійти, поки не відновиться з'єднання з постійним струмом.

  • Відключення від постійного струму є довгостроковими наслідками - врешті-решт ніхто не зможе увійти з обліковим записом домену, оскільки всі кешовані паролі втратили чинність. Якщо ви не в змозі підключитися до постійного струму та не маєте ввімкнених локальних облікових записів, ви можете потрапити в ситуацію, коли вам потрібно використовувати такі утиліти, як NTPasswd, щоб активувати локальний обліковий запис адміністратора.

Найкращою практикою для контролерів домену є наявність принаймні двох, якщо вони є. Так багато в мережі Windows покладається на активний каталог, що вам потрібно надмірність. Для меншої організації він може ділитися ролями з файловими серверами, хоча уникати того, щоб контролер домену поділяв сервер з такими речами, як sharepoint та exchange (це робить відновлення та модернізацію дуже складним, щоб зробити належним чином)

За допомогою двох контролерів домену, якщо один з них помер, ви можете просто перевстановити сервер Windows, встановити його як новий контролер домену в існуючому домені, і ви вийдете. Жодного простою немає. З одним контролером домену відновлення може бути складним. І коли ви відновлюєте, у вас люди засмучені, що вони нічого не можуть зробити.

Грант
джерело
Якщо ви запускаєте DHCP на контролері домену, у вас може бути час простою ... якщо ви не налаштуєте DHCP для HA якось ...
ETL
@ETL Служба DHCP на сервері Windows дуже легко може бути налаштована на високу доступність.
Грант
5

Залежить від тривалості. Після вилучення послуги з мережі речі стають ненадійними, але можуть не зламатися. Якщо ви просто хочете перезавантажити постійний струм, то автентифікацію / авторизацію дійсно не слід переривати. Люди ввійдуть у систему з кешованими обліковими даними, боки, які вже спілкуються, продовжуватимуть це робити за допомогою наявних квитків у Kerberos тощо.

Таким чином, люди можуть увійти на свій ПК за допомогою кешованих облікових записів. Вони не можуть змінювати паролі тощо.

Недовго (години, але не дні), поки всі вони мають змогу отримати доступ до спільних файлів не в DC, а в кінцевому підсумку це припинить роботу.

Речі мають відновитись автоматично, коли резервне копіювання постійного струму.

Тут є великий застереження. Якщо ви використовуєте DC для DNS, як тільки він перейде в режим офлайн, більшість матеріалів перестане працювати, оскільки клієнти не зможуть знайти свої сервери. Навіть речі, не залежні від AD, покладаються на роздільну здатність імені.

Найкраще зробити це - створити другий постійний струм із резервним DNS на ньому, щоб клієнти могли вийти з ладу. Частина AD відбудеться автоматично, частина DNS, яку вам потрібно буде налаштувати на клієнтах, як вторинний сервер DNS, або на клієнті, або через DHCP тощо.

TheFiddlerWins
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.