如果域控制器处于离线状态,Windows 域客户端将如何表现?

如果域控制器处于离线状态,Windows 域客户端将如何表现?

如果我的 Windows PC 加入到域并且域控制器脱机,我可以预期客户端会出现什么样的行为(假设没有第二个 DC?)

  • 用户能登录吗?或者更好的问题是,登录功能会如何变化(如果有的话)?

  • 显然,DC 上的文件共享不起作用,但是客户端之间或客户端与成员服务器之间的共享又如何呢?

  • 一旦 DC 恢复,客户端是否需要重新启动、注销/登录?断开与 DC 的连接会产生任何长期后果吗?

最终我感兴趣的是如果 DC 处于离线状态,我应该收到用户的哪些投诉。请随意提及我尚未涉及的任何其他重要信息。

答案1

如果没有 DC 可用,则会发生很多事情:

  • 如果域控制器是唯一的 DNS 服务器,您收到的第一个投诉就是互联网中断,因为客户端没有 DNS。

  • 由于 DC 通常也运行 DHCP,因此计算机根本无法连接到网络。已连接的计算机将继续工作一段时间。

  • 他们已经连接的文件共享将在一段时间内(可能几个小时)正常工作,直到他们的会话过期。当文件服务器去验证他们的凭证时,它将无法与 DC 通信,并且不会再让任何人连接。

  • 任何其他依赖活动目录身份验证的东西(如 IIS 站点或 VPN 服务器等)都不会让人们登录。根据设置,它可能会立即踢出用户,或者可能会保留现有会话而不允许新会话。

  • 对于计算机本身,最近使用过计算机的人仍然可以登录。以前没有使用过该机器或很久以前使用过该机器的人不会有任何缓存的密码,因此他们将无法登录,直到与 DC 的连接恢复。

  • 断开与 DC 的连接会产生长期后果 - 最终没有人能够使用域帐户登录,因为缓存的密码将全部过期。如果您无法重新连接到 DC,并且没有启用任何本地帐户,则最终可能会遇到需要使用 NTPasswd 等实用程序来启用本地管理员帐户的情况。

域控制器的最佳做法是至少有两个。Windows 网络中的很多东西都依赖于 Active Directory,因此您需要冗余。对于较小的组织,它可以与文件服务器共享角色,但要避免让域控制器与 SharePoint 和 Exchange 等共享服务器(这会使恢复和升级它们变得非常棘手)

如果有两个域控制器,如果其中一个坏了,您只需重新安装 Windows 服务器,将其设置为现有域中的新域控制器,然后就可以开始使用了。完全没有停机时间。如果只有一个域控制器,恢复可能很棘手。而且在恢复过程中,人们可能会因为无法做任何事情而感到沮丧。

答案2

取决于持续时间。一旦你从网络中删除一项服务,事情就会变得不可靠但可能不会中断。如果您只是想重新启动 DC,那么身份验证/授权实际上不应该中断。人们将使用缓存的凭据登录,已经进行通信的框将继续使用其现有的 Kerberos 票证等。

因此人们可以使用缓存的账户登录他们的电脑。他们无法更改密码等。

在短时间内(几小时而不是几天),他们都应该能够访问不在 DC 上的文件共享,但最终将停止工作。

一旦 DC 恢复,一切就会自动恢复。

不过,这里有一个很大的警告。如果您将 DC 用于 DNS,一旦它离线,大多数东西都会停止工作,因为客户端将无法找到他们的服务器。即使不依赖于 AD 的东西也依赖于名称解析。

最好的办法是构建第二个 DC,并在其上安装备份 DNS,以便客户端可以进行故障转移。AD 部分将自动发生,DNS 部分则需要在客户端上配置为第二个 DNS 服务器,无论是在客户端上还是通过 DHCP 等方式。

相关内容