Como os clientes de domínio do Windows se comportam se o controlador de domínio está offline?

9

Se eu tiver PCs com Windows ingressados ​​em um domínio e o controlador de domínio ficar offline, que tipo de comportamento posso esperar nos clientes (supondo que não haja um segundo controlador de domínio?)

  • Os usuários poderão fazer logon? Ou talvez uma pergunta melhor, como a funcionalidade de login muda, se é que existe?

  • Obviamente, os compartilhamentos de arquivos no DC não funcionarão, mas e os compartilhamentos entre clientes ou entre eles e um servidor membro?

  • Após a recuperação do controlador de domínio, os clientes precisam reiniciar, efetuar logoff / logon? Existe alguma conseqüência a longo prazo de ser desconectado do CD?

Por fim, estou interessado em quais reclamações devo receber dos usuários se o controlador de domínio estiver offline . Sinta-se livre para mencionar qualquer outra informação importante que não tenha coberto.

active-directory  domain  domain-controller 
Não tenho certeza se o servidor de logon será alterado automaticamente. Caso contrário, será necessário configurá-lo manualmente, emitindo o comando texto forte conjunto logonserver = \\ workingDC texto forte Não tenho certeza de qual é o comportamento, se o servidor de logon de um computador alternar automaticamente para o de trabalho.
Janus

Respostas:

15

Algumas coisas acontecerão sem o controlador de domínio disponível:

  • Se o controlador de domínio for o único servidor DNS, a primeira reclamação que você terá é que a Internet está quebrada, porque os clientes não têm DNS.

  • Como os controladores de domínio geralmente também executam DHCP, os computadores não poderão se conectar à rede. Os computadores que já estão conectados continuarão funcionando por algum tempo.

  • Os compartilhamentos de arquivos aos quais eles já estão conectados funcionarão bem por um tempo (algumas horas provavelmente), até que a sessão expire. Quando o servidor de arquivos validar suas credenciais, não poderá conversar com o controlador de domínio e não permitirá que mais ninguém se conecte.

  • Qualquer outra coisa que dependa da autenticação do diretório ativo (como sites IIS, servidores VPN etc.) não permitirá que as pessoas façam login. Dependendo da configuração, ele pode iniciar imediatamente as pessoas ou manter as sessões existentes e simplesmente não permitir novas.

  • Para os próprios computadores, as pessoas que usaram o computador recentemente ainda poderão fazer login. As pessoas que não usaram a máquina antes ou a utilizaram há muito tempo não terão senhas em cache, portanto não poderão fazer login até que a conexão com o DC seja restaurada.

  • Há conseqüências de longo prazo em se desconectar do controlador de domínio - eventualmente ninguém poderá fazer login com uma conta de domínio, porque as senhas em cache terão expirado. Se você não conseguir se reconectar ao controlador de domínio e não tiver nenhuma conta local ativada, poderá acabar em uma situação em que precisará usar utilitários como NTPasswd para ativar a conta de administrador local.

A melhor prática para controladores de domínio é ter pelo menos dois se eles. Tanto em uma rede Windows depende do diretório ativo que você precisa da redundância. Para uma organização menor, ela pode compartilhar funções com servidores de arquivos, embora evite que um controlador de domínio compartilhe um servidor com coisas como compartilhamento e troca (isso facilita muito a restauração e a atualização dos mesmos)

Com dois controladores de domínio, se um deles morrer, você pode apenas reinstalar o servidor Windows, configurá-lo como um novo controlador de domínio em um domínio existente e pronto. Sem tempo de inatividade. Com um único controlador de domínio, a restauração pode ser complicada. E enquanto você está restaurando, as pessoas ficam chateadas porque elas não podem fazer nada.

Conceder
fonte
Se você executar o DHCP no controlador de domínio, você pode ter algum tempo de inatividade ... a menos que você configure DHCP para HA de alguma forma ...
ETL
@ETL O serviço DHCP no servidor Windows pode ser facilmente configurado para alta disponibilidade.
Grant
5

Depende da duração. Depois de remover um serviço da rede, as coisas não são confiáveis, mas podem não quebrar. Se você deseja apenas reiniciar um controlador de domínio, a autenticação / autorização não deve realmente ser interrompida. As pessoas farão login com credenciais em cache, as caixas que já estão se comunicando continuarão fazendo isso com seus tíquetes Kerberos existentes etc.

Assim, as pessoas podem acessar seus PCs com contas em cache. Eles não podem alterar senhas etc.

Por um curto período de tempo (horas, mas não dias), todos devem poder acessar os compartilhamentos de arquivos que não estão no DC também, mas eventualmente isso deixará de funcionar.

As coisas devem se recuperar automaticamente assim que o controlador de domínio voltar.

Há uma grande ressalva aqui. Se você estiver usando o seu DC para DNS assim que ficar offline, a maioria das coisas deixará de funcionar porque os clientes não poderão encontrar seus servidores. Até coisas que não dependem do AD dependem da resolução de nomes.

A melhor coisa a fazer é criar um segundo controlador de domínio com DNS de backup para que os clientes possam realizar failover. A parte do AD ocorrerá automaticamente, a parte do DNS que você precisará configurar nos clientes como um servidor DNS secundário, no cliente ou via DHCP, etc.

TheFiddlerWins
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.