Wenn ich Windows-PCs habe, die einer Domäne beigetreten sind und der Domänencontroller offline geschaltet wird, welches Verhalten kann ich auf den Clients erwarten (vorausgesetzt, es gibt keinen zweiten DC?)
Können sich Benutzer anmelden? Oder vielleicht eine bessere Frage: Wie ändert sich die Anmeldefunktion, wenn überhaupt?
Offensichtlich funktionieren Dateifreigaben auf dem Domänencontroller nicht, aber was ist mit Freigaben zwischen Clients oder zwischen ihnen und einem Mitgliedsserver?
Müssen die Clients nach der Wiederherstellung des Domänencontrollers neu starten, sich abmelden / anmelden? Gibt es langfristige Konsequenzen, wenn die Verbindung zum DC getrennt wird?
Letztendlich interessiert mich, welche Beschwerden ich von Benutzern erwarten sollte, wenn der DC offline ist . Fühlen Sie sich frei, andere wichtige Informationen zu erwähnen, die ich nicht behandelt habe.
Antworten:
Nicht wenige Dinge werden passieren, wenn kein DC verfügbar ist:
Wenn der Domänencontroller der einzige DNS-Server ist, erhalten Sie als erstes die Beschwerde, dass das Internet defekt ist, da die Clients kein DNS haben.
Da DCs normalerweise auch DHCP ausführen, können Computer überhaupt keine Verbindung zum Netzwerk herstellen. Computer, die bereits verbunden sind, funktionieren noch eine Weile.
Dateifreigaben, mit denen sie bereits verbunden sind, funktionieren für eine Weile (wahrscheinlich einige Stunden) einwandfrei, bis ihre Sitzung abläuft. Wenn der Dateiserver seine Anmeldeinformationen überprüft, kann er nicht mehr mit dem DC kommunizieren und lässt niemanden mehr eine Verbindung herstellen.
Bei allen anderen Funktionen, die auf der Active Directory-Authentifizierung beruhen (z. B. IIS-Sites, VPN-Server usw.), können sich keine Personen anmelden. Abhängig vom Setup werden möglicherweise sofort Leute gestartet oder vorhandene Sitzungen beibehalten und neue nicht zugelassen.
Für die Computer selbst können sich Personen, die den Computer kürzlich verwendet haben, weiterhin anmelden. Personen, die den Computer noch nicht oder vor langer Zeit verwendet haben, haben keine zwischengespeicherten Kennwörter, sodass sie sich erst anmelden können, wenn die Verbindung zum DC wiederhergestellt ist.
Das Trennen der Verbindung zum DC hat langfristige Konsequenzen. Schließlich kann sich niemand mit einem Domänenkonto anmelden, da alle zwischengespeicherten Kennwörter abgelaufen sind. Wenn Sie keine Verbindung zum Domänencontroller herstellen können und keine lokalen Konten aktiviert sind, kann es vorkommen, dass Sie Dienstprogramme wie NTPasswd verwenden müssen, um das lokale Administratorkonto zu aktivieren.
Die beste Vorgehensweise für Domänencontroller besteht darin, mindestens zwei zu haben. In einem Windows-Netzwerk ist so viel von Active Directory abhängig, dass Sie die Redundanz benötigen. In einer kleineren Organisation können Rollen für Dateiserver freigegeben werden. Vermeiden Sie jedoch, dass ein Domänencontroller einen Server für Sharepoint und Exchange freigibt (dies macht das Wiederherstellen und Aktualisieren sehr schwierig).
Wenn zwei Domänencontroller ausfallen, können Sie Windows Server einfach neu installieren, als neuen Domänencontroller in einer vorhandenen Domäne einrichten und loslegen. Überhaupt keine Ausfallzeiten. Mit einem einzelnen Domänencontroller kann das Wiederherstellen schwierig sein. Und während Sie restaurieren, sind die Leute verärgert, dass sie nichts tun können.
quelle
Kommt auf die Dauer an. Sobald Sie einen Dienst aus dem Netzwerk entfernen, werden die Dinge unzuverlässig , können aber nicht kaputt gehen. Wenn Sie nur einen DC neu starten möchten, sollte die Authentifizierung / Autorisierung nicht wirklich unterbrochen werden. Die Benutzer melden sich mit zwischengespeicherten Anmeldeinformationen an. Boxen, die bereits kommunizieren, tun dies weiterhin mit ihren vorhandenen Kerberos-Tickets usw.
So können sich Benutzer mit zwischengespeicherten Konten bei ihren PCs anmelden. Sie können keine Passwörter usw. ändern.
Für eine kurze Zeit (Stunden, aber nicht Tage) sollten alle in der Lage sein, auf Dateifreigaben zuzugreifen, die sich nicht auf dem DC befinden, aber irgendwann funktioniert das nicht mehr.
Die Dinge sollten sich automatisch erholen, sobald der DC wieder gesichert ist.
Hier gibt es jedoch eine große Einschränkung. Wenn Sie Ihren DC für DNS verwenden, sobald er offline geschaltet wird, funktionieren die meisten Dinge nicht mehr, da Clients ihre Server nicht finden können. Sogar Dinge, die nicht von AD abhängig sind, hängen von der Namensauflösung ab.
Am besten erstellen Sie einen zweiten DC mit Backup-DNS, damit Clients ein Failover durchführen können. Der AD-Teil erfolgt automatisch, der DNS-Teil, den Sie auf den Clients als sekundären DNS-Server entweder auf dem Client oder über DHCP usw. konfigurieren müssen.
quelle