Làm thế nào để máy khách miền Windows hoạt động nếu bộ điều khiển miền ngoại tuyến?

9

Nếu tôi có các PC Windows được kết nối với một miền và bộ điều khiển miền sẽ ngoại tuyến, tôi có thể mong đợi loại hành vi nào đối với các máy khách (giả sử không có DC thứ hai?)

  • Người dùng sẽ có thể đăng nhập? Hoặc có lẽ một câu hỏi tốt hơn, chức năng đăng nhập thay đổi như thế nào, nếu có?

  • Rõ ràng tập tin chia sẻ trên DC sẽ không hoạt động, nhưng còn chia sẻ giữa các khách hàng, hoặc giữa họ và một máy chủ thành viên thì sao?

  • Khi DC đã phục hồi, các máy khách có cần khởi động lại, đăng xuất / đăng nhập không? Có bất kỳ hậu quả lâu dài nào từ việc ngắt kết nối với DC không?

Cuối cùng, tôi quan tâm đến những khiếu nại mà tôi sẽ nhận được từ người dùng nếu DC ngoại tuyến . Vui lòng đề cập đến bất kỳ thông tin quan trọng khác mà tôi đã không được bảo hiểm.

active-directory  domain  domain-controller 
Tôi không chắc chắn nếu logonserver sẽ tự động thay đổi. Nếu không, bạn sẽ phải thiết lập thủ công bằng cách phát lệnh lệnh bộ văn bản mạnh logonserver = \\ workDC văn bản mạnh Tôi không chắc hành vi đó là gì, nếu máy chủ logonserver của máy tính tự động chuyển sang chế độ làm việc.
janus

Câu trả lời:

15

Một vài điều sẽ xảy ra khi không có sẵn DC:

  • Nếu bộ điều khiển miền là máy chủ DNS duy nhất, khiếu nại đầu tiên bạn sẽ nhận được là internet bị hỏng, vì các máy khách không có DNS.

  • Vì DC thường cũng chạy DHCP, nên máy tính sẽ không thể kết nối với mạng. Máy tính đã được kết nối sẽ tiếp tục hoạt động trong một thời gian.

  • Các tệp chia sẻ mà chúng đã được kết nối sẽ hoạt động tốt trong một thời gian (có thể vài giờ), cho đến khi phiên của chúng hết hạn. Khi máy chủ tệp xác thực thông tin đăng nhập của họ, nó sẽ không thể nói chuyện với DC và sẽ không cho phép bất kỳ ai kết nối nữa.

  • Bất cứ điều gì khác liên quan đến xác thực thư mục hoạt động (như các trang IIS hoặc máy chủ VPN, v.v.) sẽ không cho phép mọi người đăng nhập. Tùy thuộc vào thiết lập, nó có thể ngay lập tức bắt đầu mọi người hoặc có thể giữ các phiên hiện có và chỉ không cho phép các phiên mới.

  • Đối với bản thân máy tính, những người đã sử dụng máy tính gần đây vẫn có thể đăng nhập. Những người trước đây chưa sử dụng máy hoặc đã sử dụng nó từ lâu sẽ không có bất kỳ mật khẩu được lưu trong bộ nhớ cache nào, vì vậy họ sẽ không thể đăng nhập cho đến khi kết nối với DC được khôi phục.

  • Có những hậu quả lâu dài khi bị ngắt kết nối với DC - cuối cùng sẽ không ai có thể đăng nhập bằng tài khoản miền, vì mật khẩu được lưu trong bộ nhớ cache sẽ hết hạn. Nếu bạn không thể kết nối lại với DC và không bật bất kỳ tài khoản cục bộ nào, bạn có thể gặp phải tình huống cần sử dụng các tiện ích như NTPasswd để kích hoạt tài khoản quản trị viên cục bộ.

Cách thực hành tốt nhất cho bộ điều khiển miền là có ít nhất hai nếu chúng. Quá nhiều trong một mạng windows phụ thuộc vào thư mục hoạt động mà bạn cần dự phòng. Đối với một tổ chức nhỏ hơn, nó có thể chia sẻ vai trò với các máy chủ tệp, mặc dù tránh việc bộ điều khiển miền chia sẻ máy chủ với những thứ như sharepoint và trao đổi (điều này khiến việc khôi phục và nâng cấp chúng rất khó khăn để thực hiện đúng cách)

Với hai bộ điều khiển miền, nếu một cái chết, bạn có thể cài đặt lại máy chủ windows, thiết lập nó như một bộ điều khiển miền mới trong một tên miền hiện có và tắt đi. Không có thời gian chết nào cả. Với một bộ điều khiển miền duy nhất khôi phục có thể là khó khăn. Và trong khi bạn khôi phục, bạn có người buồn vì họ không thể làm gì được.

Ban cho
nguồn
Nếu bạn chạy DHCP trên bộ điều khiển miền, bạn có thể có một số thời gian chết ... trừ khi bạn thiết lập DHCP cho HA bằng cách nào đó ...
ETL
@ETL Dịch vụ DHCP trong máy chủ Windows có thể dễ dàng được thiết lập để có tính sẵn sàng cao.
Cấp
5

Phụ thuộc vào thời lượng. Khi bạn xóa dịch vụ khỏi mạng, mọi thứ trở nên không đáng tin cậy nhưng có thể không bị hỏng. Nếu bạn chỉ muốn khởi động lại DC thì xác thực / ủy quyền không thực sự bị gián đoạn. Mọi người sẽ đăng nhập bằng thông tin lưu trữ, các hộp đã liên lạc sẽ tiếp tục làm như vậy với vé Kerberos hiện tại của họ, v.v.

Vì vậy, mọi người có thể đăng nhập vào PC của họ bằng tài khoản được lưu trữ. Họ không thể thay đổi mật khẩu, v.v.

Trong một thời gian ngắn (vài giờ chứ không phải vài ngày) trong khi tất cả họ sẽ có thể truy cập vào các chia sẻ tệp không phải trên DC nhưng cuối cùng điều đó sẽ ngừng hoạt động.

Mọi thứ sẽ tự động phục hồi khi DC được sao lưu.

Có một cảnh báo lớn ở đây mặc dù. Nếu bạn đang sử dụng DC cho DNS ngay khi nó ngoại tuyến, hầu hết mọi thứ sẽ ngừng hoạt động vì khách hàng sẽ không thể tìm thấy máy chủ của họ. Ngay cả những thứ không phụ thuộc vào AD dựa vào độ phân giải tên.

Điều tốt nhất để làm là xây dựng một DC thứ 2 với DNS dự phòng trên đó để khách hàng có thể thất bại. Phần AD sẽ tự động xảy ra, phần DNS bạn sẽ cần định cấu hình trên máy khách dưới dạng máy chủ DNS thứ hai trên máy khách hoặc qua DHCP, v.v.

TheFiddlerWins
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.