Etki alanı denetleyicisi çevrimdışı olduğunda Windows etki alanı istemcileri nasıl davranır?

9

Bir etki alanına katılmış Windows bilgisayarlarım varsa ve etki alanı denetleyicisi çevrimdışı olursa, istemcilerde ne tür bir davranış bekleyebilirim (ikinci bir DC olmadığı varsayılarak?)

  • Kullanıcılar oturum açabilecek mi? Ya da belki daha iyi bir soru, eğer giriş işlevselliği, hiç değişmezse?

  • Açıkçası DC'deki dosya paylaşımları çalışmaz, ancak istemciler arasındaki veya onlarla üye sunucu arasındaki paylaşımlar ne olacak?

  • DC kurtarıldıktan sonra istemcilerin yeniden başlatılması, oturumu kapatması / oturum açması gerekiyor mu? DC bağlantısının kesilmesinin uzun vadeli sonuçları var mı?

Sonuçta , DC çevrimdışı ise kullanıcılardan hangi şikayetleri almam gerektiğini bekliyorum . Temin etmediğim diğer önemli bilgileri belirtmekten çekinmeyin.

active-directory  domain  domain-controller 
Logonserver'ın otomatik olarak değişip değişmeyeceğinden emin değilim. Değilse güçlü metin seti komutunu vererek manuel olarak ayarlamanız gerekecektir logonserver = \\ workingDC güçlü metin Bir bilgisayarın logonserver otomatik olarak çalışan olana geçerse, davranış ne olsa emin değilim.
Janus

Yanıtlar:

15

DC yokken oldukça az şey olur:

  • Etki alanı denetleyicisi tek DNS sunucusuysa, istemcilerin DNS'si olmadığı için alacağınız ilk şikayet internetin bozuk olmasıdır.

  • DC'ler genellikle DHCP de çalıştırdığından, bilgisayarlar ağa hiç bağlanamaz. Zaten bağlı olan bilgisayarlar bir süre çalışmaya devam eder.

  • Zaten bağlı oldukları dosya paylaşımları, oturumları sona erene kadar bir süre (birkaç saat olası) iyi çalışır. Dosya sunucusu kimlik bilgilerini doğrulamaya gittiğinde, DC ile konuşamaz ve artık kimsenin bağlanmasına izin vermez.

  • Etkin dizin kimlik doğrulamasına dayanan herhangi bir şey (IIS siteleri veya VPN sunucuları vb. Gibi) kullanıcıların oturum açmasına izin vermez. Kuruluma bağlı olarak, insanları hemen başlatabilir veya mevcut oturumları koruyabilir ve yenilerine izin vermeyebilir.

  • Bilgisayarların kendileri için, bilgisayarı son zamanlarda kullanan kişiler hala oturum açabilecektir. Makineyi daha önce kullanmayan veya uzun zaman önce kullanmayan kişilerin önbelleğe alınmış parolaları olmaz, bu nedenle DC bağlantısı yeniden kurulana kadar giriş yapamazlar.

  • DC ile bağlantısının kesilmesinin uzun vadeli sonuçları vardır - nihayetinde hiç kimse bir etki alanı hesabıyla oturum açamaz, çünkü önbelleğe alınan şifrelerin tümü sona erer. DC'ye yeniden bağlanamıyorsanız ve etkin yerel hesaplarınız yoksa, yerel yönetici hesabını etkinleştirmek için NTPasswd gibi yardımcı programları kullanmanız gereken bir durumla karşılaşabilirsiniz.

Etki alanı denetleyicileri için en iyi uygulama, eğer en az iki tane olması. Bir windows ağında o kadar çok fazlalık gerekir aktif dizine dayanır. Daha küçük bir kuruluş için, rolleri dosya sunucularıyla paylaşabilir, ancak bir etki alanı denetleyicisinin bir sunucuyu paylaşım noktası ve değişim gibi şeylerle paylaşmasını önleyin (düzgün bir şekilde yapmak için onları geri yüklemeyi ve yükseltmeyi çok zorlaştırır)

İki etki alanı denetleyicisiyle, biri ölürse, Windows sunucusunu yeniden yükleyebilir, varolan bir etki alanında yeni bir etki alanı denetleyicisi olarak ayarlayabilir ve kullanmaya başlayabilirsiniz. Kesinti yok. Tek bir etki alanı denetleyicisi ile geri yükleme zor olabilir. Ve geri yüklerken, hiçbir şey yapamayacakları için üzülüyorsunuz.

hibe
kaynak
Etki alanı denetleyicisinde DHCP'yi çalıştırırsanız, bir şekilde HA için DHCP'yi ayarlamadığınız sürece bir süre
ETL
@ETL Windows sunucusundaki DHCP hizmeti, yüksek kullanılabilirlik için kolayca kurulabilir.
Hibe
5

Süreye bağlıdır. Bir hizmeti ağdan kaldırdığınızda, işler güvenilmez hale gelir , ancak kesilmeyebilir. Sadece bir DC'yi yeniden başlatmak istiyorsanız, kimlik doğrulama / yetkilendirme gerçekten kesintiye uğratılmamalıdır. Kullanıcılar önbelleğe alınmış kimlik bilgileriyle giriş yapacak, zaten iletişim halinde olan kutular mevcut Kerberos biletleri vb. İle bunu yapmaya devam edecek.

Böylece insanlar PC'lerine önbelleğe alınmış hesaplarla giriş yapabilir. Parolaları değiştiremezler.

Kısa bir süre için (saatler değil günler), hepsi DC'deki değil aynı zamanda çalışmayı durduracak dosya paylaşımlarına erişebilmelidir.

DC yedeklendiğinde işler otomatik olarak iyileşmelidir.

Yine de burada büyük bir uyarı var. DNS için DC'nizi çevrimdışı olur olmaz kullanıyorsanız, istemciler sunucularını bulamayacağı için çoğu şey artık çalışmaz. AD'ye bağımlı olmayan şeyler bile ad çözümlemesine dayanır.

Yapılacak en iyi şey, istemcilerin başarısız olabilmesi için üzerinde yedek DNS bulunan 2. bir DC oluşturmaktır. AD bölümü otomatik olarak gerçekleşir, istemcilerde istemcide veya DHCP vb. Aracılığıyla 2ndary DNS sunucusu olarak yapılandırmanız gereken DNS bölümü.

TheFiddlerWins
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.