9 active-directory domain domain-controller
如果我有加入域的 Windows PC 并且域控制器脱机,我可以在客户端上期望什么样的行为(假设没有第二个 DC?)
用户可以登录吗?或者也许是一个更好的问题,登录功能如何改变,如果有的话?
显然 DC 上的文件共享不起作用,但是客户端之间或它们与成员服务器之间的共享呢?
DC 恢复后,客户端是否需要重新启动、注销/登录?与 DC 断开连接是否有任何长期后果?
最终,我感兴趣的是如果 DC 离线,我应该从用户那里收到什么投诉。请随意提及我未涵盖的任何其他重要信息。
Gra*_*ant 15
在没有可用 DC 的情况下,会发生很多事情:
如果域控制器是唯一的 DNS 服务器,您将收到的第一个抱怨是 Internet 坏了,因为客户端没有 DNS。
由于 DC 通常也运行 DHCP,因此计算机根本无法连接到网络。已经连接的计算机将继续工作一段时间。
他们已经连接到的文件共享将正常工作一段时间(可能几个小时),直到他们的会话过期。当文件服务器去验证他们的凭据时,它将无法与 DC 通信,并且不会再让任何人连接。
任何其他依赖于活动目录身份验证的东西(如 IIS 站点或 VPN 服务器等)都不允许人们登录。根据设置,它可能会立即让人们离开,或者可能保留现有会话而不允许新会话。
对于计算机本身,最近使用过计算机的人仍然可以登录。以前没有使用过机器的人,或者很久以前使用过它的人不会有任何缓存的密码,所以他们将无法登录,直到与 DC 的连接恢复。
与 DC 断开连接会产生长期后果 - 最终没有人能够使用域帐户登录,因为缓存的密码将全部过期。如果您无法重新连接到 DC,并且没有启用任何本地帐户,则最终可能需要使用 NTPasswd 等实用程序来启用本地管理员帐户。
域控制器的最佳做法是至少有两个。在 Windows 网络中如此依赖活动目录,您需要冗余。对于较小的组织,它可以与文件服务器共享角色,但避免让域控制器与诸如 sharepoint 和 exchange 之类的东西共享服务器(这使得正确地恢复和升级它们变得非常棘手)
使用两个域控制器,如果其中一个死机,您只需重新安装 Windows 服务器,将其设置为现有域中的新域控制器,然后就可以了。完全没有停机时间。使用单个域控制器进行恢复可能会很棘手。当你在恢复时,你让人们感到不安,因为他们无能为力。
取决于持续时间。一旦您从网络中删除服务,事情就会变得不可靠,但可能不会中断。如果您只想重新启动 DC,则不应真正中断身份验证/授权。人们将使用缓存的凭据登录,已经在通信的框将继续使用他们现有的 Kerberos 票证等进行登录。
因此人们可以使用缓存帐户登录到他们的 PC。他们不能更改密码等。
在短时间内(数小时而不是数天),他们都应该能够访问不在 DC 上的文件共享,但最终将停止工作。
一旦 DC 备份,事情应该会自动恢复。
不过,这里有一个很大的警告。如果您将 DC 用于 DNS,一旦它脱机,大多数东西将停止工作,因为客户端将无法找到他们的服务器。即使不依赖于 AD 的东西也依赖于名称解析。
最好的办法是建立一个带有备份 DNS 的第二个 DC,这样客户端就可以进行故障转移。AD 部分将自动发生,您需要在客户端上将 DNS 部分配置为客户端或通过 DHCP 等作为第二个 DNS 服务器。
| 归档时间: |
|
| 查看次数: |
57882 次 |
| 最近记录: |