我们正在设置一个培训环境,供暑假后使用。管理层希望我们在假期前设置客户端。由于客户端将被运走,因此在培训开始之前它们将处于离线状态。这意味着客户端将与 AD 失去联系大约 15 周。此外,由于这里没有人,服务器将关闭大约六到八周。墓碑寿命设置为 180 天。
这 15 周的时间会给客户带来任何问题吗?我们是否应该尝试说服管理层将客户安装推迟到假期之后?
答案1
一切都会好起来的。
以下是来自微软的 Sean Ivey 的一段简短介绍;他是一个非常聪明的人:
好的,只要我们谈论的是域成员,而不是域控制器,那么从所有实际目的来看,它们可以无限期地关闭而不会出现问题。当您最终将它们重新打开时,netlogon 清理程序将运行,联系域控制器并重置计算机帐户的密码。
需要记住的重要一点是,计算机帐户密码重置由客户端驱动,而不是域控制器。因此,只要客户端不尝试更改其密码,密码就不会更改。
有机会的话可以看看这个链接。我摘录了相关部分:
http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx “机器帐户密码在 Active Directory 中不会过期。它们不受域密码策略的约束。重要的是要记住,机器帐户密码更改是由客户端(计算机)而不是 AD 驱动的。只要没有人禁用或删除计算机帐户,也没有尝试将同名计算机添加到域(或其他破坏性操作),计算机将继续工作,无论其机器帐户密码启动和更改已有多长时间。
因此,如果计算机关闭三个月,则不会过期。当计算机启动时,它会注意到其密码已超过 30 天,并将启动更改操作。客户端计算机上的 Netlogon 服务负责执行此操作。这仅适用于机器关闭这么长时间的情况。
在本地设置新密码之前,我们确保我们有一个有效的安全通道到 DC。如果客户端从未能够连接到 DC(在尝试之前没有任何反应 - 刷新安全通道的时间),那么我们将不会在本地更改密码。
我们可以考虑更改的相关 Netlogon 参数包括:
ScavengeInterval(默认15分钟)、MaximumPasswordAge(默认30天)DisablePasswordChange(默认关闭)。”
我希望这有帮助!