如果我的单个域控制器关闭，会发生什么？

Question

我有理解问题。让我们假设我有一个大约有 20 个正在运行的虚拟机的 ESXi 环境。20 个虚拟机之一是作为单个域控制器的域控制器 (DC01)（未配置其他方）。域控制器 (DC01) 已安装 AD 和 DNS-Server 等角色。

其他 19 个虚拟机具有静态 DNS 配置，这意味着它们的 DNS 配置与域控制器 (DC01) 的 IP 是静态的。

现在，如果我关闭域控制器会发生什么？哪些服务会中断？如果我应该关闭此服务器一个小时，有人会意识到域控制器已关闭吗？先谢谢了！

域控制器 = Windows Server 2008r2 其他服务器 = Windows Server 2008r2

Answer 1

一般来说，你会失去两件事。

1. 目录服务
   • 所有这些都包含特定于环境的内容，但至少，我们谈论的是 AAA 服务。
     • 存储缓存凭据的计算机仍然可以让某些用户登录（那些在缓存中的用户），但除此之外，域帐户将无法运行。
       
       
2. 域名系统
   • 由于 Windows 使用域控制器来提供域名解析，因此您将无法对本地域和任何外部资源进行 DNS 查找，因为您的计算机设置为使用域控制器进行 DNS。
     • 缓存的 DNS 条目仍然可以工作，因此您可以在那里获得一些功能，并且可以通过 IP 访问资源，但是任何新的 DNS 查找都会失败（例如，在 Web 上进行重定向）。

因为 AAA 和名称服务对于拥有功能性网络非常重要（您不能很好地期望用户通过 IP 访问所有内容并使用本地帐户），这就是为什么Microsoft 建议始终至少有两个域控制器，并且最佳实践指出，至少一台应该是一台物理机（为了避免单点故障——如果你所有的 DC 都是虚拟化的，并且你的虚拟机管理程序出现故障，额外的域控制器也会出现故障）。

Answer 2

你会失去：

1. 登录。如果用户之前登录过，则缓存凭据会起作用，但新的域登录会失败。
2. 网络共享。您的 Kerberos 票证持续时间和实施由域策略设置，但访问网络共享将开始在您的网络中失败。
3. DNS。您和/或您的服务台将开始接到“无互联网”电话。他们仍然可以连接，但他们将无法解决内部或外部的问题。这也可能导致人们打电话给您和/或您的服务台，告诉您您的各种服务器已关闭。
4. DHCP。 如果您使用的是 Windows DHCP，如果此框上有DHCP，则没有人能够获得新的 IP 地址。（如果您对 DHCP 使用其他东西，请忽略这一点。）
5. 您的 VPN（如果有），如果它使用 AD 凭据。
6. 使用 AD 凭据的任何其他服务（网络访问控制、具有集成安全性的网站等）。

TL;DR：是的，人们会注意到。

在您的问题范围之外但值得一提的是：正如 HopelessN00b 指出的那样，最佳实践是至少拥有两个域控制器。使用物理硬件也是一个好主意，以防 VMware 主机出现故障，并且因为 VMware 主机可能依赖 AD 获取 DNS，这会产生依赖性问题。