Если у меня есть ПК с Windows, которые присоединены к домену, и контроллер домена переходит в автономный режим, какого поведения я могу ожидать от клиентов (при условии, что второго контроллера домена нет?)
Смогут ли пользователи войти в систему? Или, возможно, лучший вопрос: как изменится функциональность входа в систему, если вообще изменится?
Очевидно, что общие файловые ресурсы на DC не будут работать, но как насчет общих папок между клиентами или между ними и рядовым сервером?
После восстановления контроллера домена нужно ли перезапускать клиентов, выходить из системы / входить в систему? Есть ли какие-либо долгосрочные последствия отключения от постоянного тока?
В конечном итоге меня интересует какие жалобы я должен ожидать от пользователей, если DC отключен. Не стесняйтесь упоминать любую другую важную информацию, которую я не затронул.
При отсутствии постоянного тока произойдет несколько вещей:
Если контроллер домена является единственным DNS-сервером, первое, что вы получите, это то, что Интернет не работает, потому что у клиентов нет DNS.
Поскольку DC обычно также используют DHCP, компьютеры вообще не смогут подключиться к сети. Компьютеры, которые уже подключены, будут работать некоторое время.
Общие файлы, к которым они уже подключены, некоторое время (вероятно, несколько часов) будут работать нормально, пока не истечет их сеанс. Когда файловый сервер проверяет их учетные данные, он не сможет общаться с контроллером домена и больше никому не позволит подключиться.
Все остальное, что полагается на активную аутентификацию каталога (например, сайты IIS, VPN-серверы и т. Д.), Не позволит людям войти в систему. В зависимости от настройки он может сразу же отключать людей или может сохранить существующие сеансы и просто не разрешить новые.
Что касается самих компьютеров, люди, которые недавно использовали компьютер, по-прежнему смогут войти в систему. Люди, которые не использовали машину раньше или использовали ее давным-давно, не будут иметь кэшированных паролей, поэтому они не смогут войти в систему, пока не будет восстановлено соединение с DC.
Отсоединение от контроллера домена влечет за собой долгосрочные последствия - в конечном итоге никто не сможет войти в систему с учетной записью домена, поскольку срок действия всех кэшированных паролей истек. Если вы не можете повторно подключиться к контроллеру домена и у вас не включены какие-либо локальные учетные записи, вы можете оказаться в ситуации, когда вам необходимо использовать такие утилиты, как NTPasswd, для включения учетной записи локального администратора.
Лучшая практика для контроллеров домена - иметь хотя бы два, если они. В сети Windows так много зависит от Active Directory, что вам нужна избыточность. Для небольшой организации он может разделять роли с файловыми серверами, хотя избегайте того, чтобы контроллер домена делил сервер с такими вещами, как sharepoint и exchange (это делает их восстановление и обновление очень сложным для правильного выполнения)
С двумя контроллерами домена, если один из них умирает, вы можете просто переустановить сервер Windows, настроить его как новый контроллер домена в существующем домене, и вперед. Никаких простоев. С одним контроллером домена восстановление может быть непростым. И пока вы восстанавливаете, вы расстраиваете людей, что они ничего не могут сделать.
Зависит от продолжительности. После удаления службы из сети все становится ненадежный но не может сломаться. Если вы просто хотите перезагрузить контроллер домена, аутентификацию / авторизацию не следует прерывать. Люди будут входить в систему с кэшированными учетными данными, ящики, которые уже обмениваются данными, будут продолжать делать это со своими существующими билетами Kerberos и т. Д.
Таким образом, люди могут входить на свои ПК с кэшированными учетными записями. Они не могут менять пароли и т. Д.
На короткое время (часы, но не дни), пока все они должны иметь доступ к общим файловым ресурсам не на DC, но в конечном итоге это перестанет работать.
Все должно автоматически восстановиться после резервного копирования DC.
Однако здесь есть большая оговорка. Если вы используете свой DC для DNS, как только он перейдет в автономный режим, большинство вещей перестанут работать, потому что клиенты не смогут найти свои серверы. Даже вещи, не зависящие от AD, зависят от разрешения имен.
Лучше всего создать 2-й DC с резервным DNS на нем, чтобы клиенты могли переключаться при отказе. Часть AD будет происходить автоматически, часть DNS вам нужно будет настроить на клиентах в качестве второго DNS-сервера либо на клиенте, либо через DHCP и т. Д.