如果我的单个域控制器发生故障,会发生什么?

如果我的单个域控制器发生故障,会发生什么?

我有理解问题。假设我有一个大约 20 个正在运行的虚拟机的 ESXi 环境。20 个虚拟机中的一个是域控制器 (DC01),作为单个域控制器(未配置其他端)。域控制器 (DC01) 已安装 AD 和 DNS 服务器等角色。

其他 19 台虚拟机具有静态 DNS 配置,这意味着它们的 DNS 配置是静态的,并且与域控制器 (DC01) 的 IP 相同。

现在,如果我关闭域控制器会发生什么?哪些服务会关闭?如果我关闭该服务器一小时,有人会意识到域控制器已关闭吗?提前感谢您!

域控制器 = Windows Server 2008r2 其他服务器 = Windows Server 2008r2

答案1

总的来说,你会失去两样东西。

  1. 目录服务
    • 所有这些所包含的内容都是特定于环境的,但至少我们正在谈论 AAA 服务。
      • 存储了缓存凭据的计算机仍会允许某些用户登录(缓存中的用户),但除此之外,域帐户将无法运行。

  2. DNS
    • 由于 Windows 使用域控制器来提供域名解析,您将失去对本地域和任何外部资源进行 DNS 查找的能力,因为您的机器设置为使用域控制器进行 DNS。
      • 缓存的 DNS 条目仍然有效,因此您可以使用某些功能,并且能够通过 IP 访问资源,但任何新的 DNS 查找都会失败(包括网络上的重定向)。

因为 AAA 和名称服务对于拥有一个功能齐全的网络非常重要(您不能指望用户通过 IP 访问所有内容并使用本地帐户),这就是为什么Microsoft 建议始终至少拥有两个域控制器, 和最佳实践表明,至少有一台应该是物理机器(为了避免单点故障 - 如果您的所有 DC 都已虚拟化,并且您的虚拟机管理程序出现故障,则额外的域控制器也会出现故障)。

答案2

您将会失去:

  1. 登录。如果用户之前登录过,缓存的凭据将起作用,但新的域登录将失败。
  2. 网络共享。您的 Kerberos 票证有效期和执行情况由域策略设置,但访问网络共享将开始在您的网络上失败。
  3. DNS。您和/或您的服务台将开始接到“无互联网”电话。他们仍然可以连接,但无法解决问题,无论是内部还是外部。这也可能导致有人打电话给您和/或您的服务台,告诉您您的各种服务器已关闭。
  4. DHCP。 如果您使用的是 Windows DHCP,如果此框中有 DHCP,则没有人能够获取新的 IP 地址。(如果您使用其他 DHCP,请忽略这一点。)
  5. 您的 VPN(如果有)是否使用 AD 凭据。
  6. 任何其他使用 AD 凭据的服务(网络访问控制、集成安全性的网站等)。

TL;DR:是的,人们会注意到。

虽然超出了您的问题范围,但值得一提:正如 HopelessN00b 指出的那样,最佳做法是至少拥有两个域控制器。最好将其中一个设置为物理硬件,以防 VMware 主机发生故障,并且因为 VMware 主机可能依赖 AD 进行 DNS,这会产生依赖性问题。

答案3

任何依赖 AD 和 DNS 的东西都将不再起作用。缓存凭据将适用于交互式登录,但不确定它们是否适用于网络凭据 - 不确定在这种情况下 Kerb 票证的有效期是多久。

这是您不想在任何 AD 域中拥有单个 DC 的原因之一。这是黑白分明的 Microsoft 最佳实践。

这也与 VMware ESXi 无关。但需要注意的是,如果您处于多主机环境中,并且其 DRS 和 HA 等操作依赖于 DNS,则这些操作也会失败。

相关内容