Wie lange kann ein Client in AD heruntergefahren werden?

12

Wir richten eine Trainingsumgebung ein, die nach den Sommerferien genutzt werden soll. Das Management möchte, dass wir Kunden jetzt vor den Ferien einrichten. Da die Kunden abtransportiert werden sollen, sind sie bis zum Beginn des Trainings offline. Das bedeutet, dass die Kunden ungefähr 15 Wochen lang keinen Kontakt zur AD haben. Da niemand hier sein wird, werden die Server für etwa sechs bis acht Wochen heruntergefahren. Die Tombstone-Lebensdauer beträgt 180 Tage.

Kann dieser Zeitraum von 15 Wochen Probleme für die Kunden verursachen? Sollten wir versuchen, das Management davon zu überzeugen, die Client-Installation auf die Zeit nach dem Urlaub zu verschieben?

Sandokan
quelle
1
Wie lange dauert das Einrichten? Sind Sie besorgt über Patches / Updates / Av - Updates / etc. während dieses Fensters?
TheCleaner
Patches und ähnliches sind kein Problem. Da es sich nur um ein Schulungssystem handelt, kümmern wir uns nur darum, dass Kunden nicht in eine Art Tombstone-Modus wechseln.
Sandokan
1
Ich stimme Ryan weiter unten zu, aber wenn für den "Build" keine GPOs usw. erforderlich sind, um sie in den für das Training erforderlichen Zustand zu versetzen, können Sie sie auch aufbauen und warten, bis sie nach den Sommerferien zur Domain hinzugefügt werden wenn Sie sie wieder hochfahren.
TheCleaner

Antworten:

21

Es wird gut.

Hier ist ein kleiner Klappentext von Sean Ivey von Microsoft. ein ziemlich kluger Typ:

Okay, solange es sich um Domänenmitglieder und nicht um Domänencontroller handelt, können sie für alle praktischen Zwecke ohne Probleme auf unbestimmte Zeit ausgeschaltet werden. Wenn Sie sie endlich wieder einschalten, wird der Netlogon-Scavenger ausgeführt, ein Domänencontroller kontaktiert und das Kennwort für das Computerkonto zurückgesetzt.

Beachten Sie, dass das Zurücksetzen des Computerkontokennworts vom KUNDEN und nicht vom Domänencontroller gesteuert wird. Solange der Client nicht versucht, sein Kennwort zu ändern, wird das Kennwort nicht geändert.

Werfen Sie einen Blick auf diesen Link, wenn Sie eine Chance bekommen. Ich habe die relevanten Teile herausgezogen:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Computerkontokennwörter als solche laufen in Active Directory nicht ab. Sie sind von der Kennwortrichtlinie der Domäne ausgenommen. Dies ist wichtig Beachten Sie, dass das Ändern des Computerkontokennworts vom KUNDEN (Computer) und nicht vom AD gesteuert wird, solange niemand das Computerkonto deaktiviert oder gelöscht hat oder versucht hat, der Domäne einen Computer mit demselben Namen hinzuzufügen (oder Bei einer anderen destruktiven Aktion arbeitet der Computer weiter, egal wie lange es her ist, seit sein Computerkontokennwort initiiert und geändert wurde.

Wenn also ein Computer drei Monate lang ausgeschaltet bleibt, läuft nichts ab. Wenn der Computer gestartet wird, stellt er fest, dass sein Kennwort älter als 30 Tage ist, und leitet Maßnahmen ein, um es zu ändern. Der Netlogon-Dienst auf dem Clientcomputer ist dafür verantwortlich. Dies gilt nur, wenn die Maschine so lange ausgeschaltet war.

Bevor wir das neue Passwort lokal festlegen, stellen wir sicher, dass wir einen gültigen sicheren Kanal zum DC haben. Wenn der Client nie eine Verbindung zum DC herstellen konnte (wo sich vor dem Versuch nie etwas befand - Zeit zum Aktualisieren des sicheren Kanals), wird das Kennwort nicht lokal geändert.

Die relevanten Netlogon-Parameter, die ins Spiel kommen und über die wir uns Gedanken machen können, sind:

ScavengeInterval (Standard 15 Minuten), MaximumPasswordAge (Standard 30 Tage) DisablePasswordChange (Standard aus). "

Ich hoffe das hilft!

Ryan Ries
quelle
Was bedeutet, dass Clients und nicht nur Server unter das Tombstone-Konzept fallen?
Sandokan
4
Nein, wirklich, alles, worüber Sie sich Sorgen machen müssen, sind die Domänencontroller. Domain-Mitglieder können auf unbestimmte Zeit ausgeschaltet und trotzdem zurückgebracht werden.
Ryan Ries
4
@ Sandokan Nicht für aktive Computerkonten. Tombstones dienen dazu, gelöschte Konten für die Replikation zu kennzeichnen (sodass der Löschvorgang zwischen Domänencontrollern repliziert werden kann). Das Problem , das auftritt , nachdem ein DC länger als tombstoneLifetime ausgeschaltet wurde , ist , dass es nicht alle Löschungen verarbeiten könnte , die aufgetreten sind , da sie ausgeschaltet war (wie die älteren beschnitten werden könnte), so Verzeichnisreplikate werden könnten out-of -sync. Dies ist nichts, worüber Sie sich bei Kunden Gedanken machen müssen, oder in einem Fall, in dem Sie die gesamte Domain für einen längeren Zeitraum eingemottet haben.
the-wabbit