Active-Directory
如果域控制器處於離線狀態,Windows 域客戶端的行為如何?
如果我有加入域的 Windows PC 並且域控制器離線,我可以在客戶端上期待什麼樣的行為(假設沒有第二個 DC?)
- 使用者可以登錄嗎?或者也許是一個更好的問題,登錄功能如何改變(如果有的話)?
- 顯然,DC 上的文件共享不起作用,但是客戶端之間或它們與成員伺服器之間的共享呢?
- DC 恢復後,客戶端是否需要重新啟動、註銷/登錄?與 DC 斷開連接是否有任何長期後果?
最終,我感興趣的是如果 DC 離線,我應該期望從使用者那裡收到什麼投訴。隨意提及我未涵蓋的任何其他重要資訊。
在沒有可用 DC 的情況下會發生很多事情:
- 如果域控制器是唯一的 DNS 伺服器,您將得到的第一個投訴是網際網路已損壞,因為客戶端沒有 DNS。
- 由於 DC 通常也執行 DHCP,因此電腦根本無法連接到網路。已經連接的電腦將繼續工作一段時間。
- 他們已經連接到的文件共享將在一段時間內正常工作(可能幾個小時),直到他們的會話到期。當文件伺服器去驗證他們的憑據時,它將無法與 DC 通信,並且不會再讓任何人連接。
- 任何其他依賴於活動目錄身份驗證的東西(如 IIS 站點或 VPN 伺服器等)都不會讓人們登錄。根據設置,它可能會立即讓人們離開,或者可能會保留現有會話而不允許新會話。
- 對於電腦本身,最近使用過電腦的人仍然可以登錄。以前沒有使用過機器,或者很久以前使用過機器的人不會有任何記憶體的密碼,所以在與DC的連接恢復之前他們將無法登錄。
- 與 DC 斷開連接會產生長期後果 - 最終沒有人能夠使用域帳戶登錄,因為記憶體的密碼將全部過期。如果您無法重新連接到 DC,並且沒有啟用任何本地帳戶,則最終可能會遇到需要使用 NTPasswd 等實用程序來啟用本地管理員帳戶的情況。
域控制器的最佳做法是至少有兩個。Windows 網路中的很多內容都依賴於您需要冗餘的活動目錄。對於較小的組織,它可以與文件伺服器共享角色,儘管避免讓域控制器與共享點和交換之類的東西共享伺服器(這使得恢復和升級它們變得非常棘手)
使用兩個域控制器,如果一個死了,您只需重新安裝 windows 伺服器,將其設置為現有域中的新域控制器,然後就可以了。完全沒有停機時間。使用單個域控制器進行還原可能會很棘手。當你在恢復的時候,你會讓人們感到不安,因為他們無能為力。