如果我有连接到域的Windows PC,并且域控制器脱机,那么我可以在客户端上期望什么样的行为(假设没有第二个DC?)
用户可以登录吗?或者,也许是一个更好的问题,如果有的话,登录功能将如何改变?
显然,DC上的文件共享不起作用,但是客户端之间或客户端与成员服务器之间的共享又如何呢?
DC恢复后,客户端是否需要重新启动,注销/登录?与DC断开会带来长期后果吗?
最终,我对DC处于脱机状态时应该收到的用户投诉有兴趣。请随意提及我没有提到的其他重要信息。
Answers:
没有可用的DC将会发生很多事情:
如果域控制器是唯一的DNS服务器,您将收到的第一个投诉是Internet断开,因为客户端没有DNS。
由于DC通常也运行DHCP,因此计算机根本无法连接到网络。已连接的计算机将保持一段时间。
他们已经连接到的文件共享将在一段时间(可能几个小时)内正常工作,直到会话结束。当文件服务器验证其凭据时,它将无法与DC通信,也将不再允许任何人连接。
依赖于活动目录身份验证的任何其他内容(例如IIS站点或VPN服务器等)都不会让人们登录。根据设置的不同,它可能会立即将人们踢开,或者可能会保留现有的会话,只是不允许新的会话。
对于计算机本身,最近使用过计算机的人仍然可以登录。以前从未使用过计算机或很久以前没有使用过计算机的用户将没有任何缓存的密码,因此在恢复与DC的连接之前,他们将无法登录。
与DC断开连接会带来长期的后果-最终,任何人都无法使用域帐户登录,因为缓存的密码将全部过期。如果您无法重新连接到DC,并且没有启用任何本地帐户,则可能会遇到需要使用NTPasswd之类的实用程序来启用本地管理员帐户的情况。
域控制器的最佳做法是至少拥有两个。Windows网络中的大部分内容都依赖于活动目录,因此您需要冗余。对于较小的组织,它可以与文件服务器共享角色,尽管要避免让域控制器与共享点和交换之类的服务器共享服务器(这使得恢复和升级它们非常棘手,从而无法正常工作)
使用两个域控制器(如果一个死亡),您只需重新安装Windows Server,将其设置为现有域中的新域控制器,然后就可以使用了。根本没有停机时间。使用单个域控制器进行还原可能很棘手。当您恢复时,您会让人感到沮丧,因为他们无能为力。
取决于持续时间。从网络中删除服务后,一切将变得不可靠,但可能不会中断。如果您只想重新启动DC,则不应真正中断身份验证/授权。人们将使用缓存的凭据登录,已经进行通信的邮箱将继续使用其现有的Kerberos票证等进行登录。
因此,人们可以使用缓存的帐户登录其PC。他们无法更改密码等。
在短时间内(数小时而不是数天),他们都应该能够访问不在DC上的文件共享,但最终将停止工作。
备份DC后,事物应该会自动恢复。
这里有一个很大的警告。如果您要在DC脱机后立即将DC用于DNS,则大多数内容将停止工作,因为客户端将无法找到其服务器。即使不依赖于AD的东西也依赖于名称解析。
最好的办法是在其上建立带有备份DNS的第二个DC,以便客户端可以进行故障转移。AD部分将自动发生,您需要在客户端上将其配置为客户端或通过DHCP等作为第二DNS服务器的DNS部分。