Что произойдет, если мой единственный контроллер домена не работает?

В общем, вы потеряете две вещи.

1. Справочные службы
   • Все это зависит от среды, но, по крайней мере, мы говорим об услугах AAA.
     • Компьютеры, на которых хранятся кэшированные учетные данные, все равно позволят некоторым пользователям входить в систему (тем, кто находится в кеше), но помимо этого учетные записи домена не будут работать.
       
       
2. DNS
   • Поскольку Windows использует контроллеры домена для обеспечения разрешения доменных имен, вы потеряете возможность выполнять поиск в DNS как для локального домена, так и для любых внешних ресурсов, поскольку ваши машины настроены на использование контроллера домена для DNS.
     • Кэшированные записи DNS по-прежнему будут работать, поэтому у вас будет некоторая функциональность и возможность доступа к ресурсам по IP, но любые новые поиски DNS не будут работать (включая, например, перенаправления в Интернете).

Поскольку AAA и службы имен так важны для наличия функциональной сети (нельзя ожидать, что пользователи будут получать доступ ко всему по IP и использовать локальные учетные записи), вот почему Рекомендации Microsoft - всегда иметь как минимум два контроллера домена., и лучшие практики гласят, что по крайней мере один должен быть физической машиной (чтобы избежать единой точки отказа - если все ваши контроллеры домена виртуализированы, и ваш гипервизор выходит из строя, дополнительный контроллер (-ы) домена тоже выходит из строя).

Вы потеряете:

1. Логины. Кэшированные учетные данные будут работать, если пользователь ранее входил в систему, но вход в новый домен завершится ошибкой.
2. Сетевые ресурсы. Срок действия вашего билета Kerberos и его применение устанавливаются политикой домена, но доступ к общим сетевым ресурсам в вашей сети начнется с ошибкой.
3. DNS. Вы и / или ваша служба поддержки начали бы получать "без интернета" звонки. У них по-прежнему будет связь, но они не смогут решить проблемы, внутри или снаружи. Это также может привести к тому, что люди позвонят вам и / или в вашу службу поддержки, чтобы сообщить вам, что ваши серверы не работают.
4. DHCP. Если вы используете Windows DHCP, Если в этом поле включен DHCP, никто не сможет получить новый IP-адрес. (Игнорируйте этот момент, если вы используете что-то еще для DHCP.)
5. Ваш VPN, если он есть, если он использует учетные данные AD.
6. Любая другая служба, использующая учетные данные AD (контроль доступа к сети, веб-сайты со встроенной безопасностью и т. Д.).

TL; DR: Да, люди заметят.

Вне вашего вопроса, но стоит упомянуть: как указывает HopelessN00b, лучше всего иметь как минимум два контроллера домена. Также неплохо иметь физическое оборудование, как на случай, если узел VMware выйдет из строя, так и потому, что узел VMware может полагаться на AD для DNS, что создает проблему зависимости.

Все, что зависело от AD и DNS, больше не работало. Кэшированные учетные данные будут работать для интерактивного входа в систему, но не уверен, что они подойдут для сетевых учетных данных - не уверен, как долго билеты Curb подходят для этого сценария.

Это одна из причин, по которым вы не хотите иметь единственный DC в любом домене AD. Это черно-белые передовые практики Microsoft.

Это тоже не имеет отношения к VMware ESXi. С оговоркой, что если вы находитесь в среде с несколькими хостами и ее операции, такие как DRS и HA, зависят от DNS, они также не сработают.