ลูกค้าสามารถปิดโฆษณาได้นานเท่าใด

เรากำลังตั้งค่าสภาพแวดล้อมการฝึกอบรมที่จะใช้หลังจากวันหยุดฤดูร้อน ฝ่ายบริหารต้องการให้เราจัดตั้งลูกค้าทันทีก่อนวันหยุด เนื่องจากลูกค้าจะถูกส่งออกไปพวกเขาจะถูกปิดสายจนกว่าการฝึกอบรมจะเริ่มขึ้น นั่นหมายความว่าลูกค้าจะไม่ได้รับการติดต่อกับโฆษณาเป็นเวลาประมาณ 15 สัปดาห์ นอกจากนี้เนื่องจากไม่มีใครอยู่ที่นี่เซิร์ฟเวอร์จะปิดการทำงานประมาณหกถึงแปดสัปดาห์ อายุการใช้งานของ Tombstone ถูกกำหนดเป็น 180 วัน

ระยะเวลา 15 สัปดาห์นี้สามารถสร้างปัญหาให้กับลูกค้าได้หรือไม่? เราควรพยายามโน้มน้าวให้ฝ่ายบริหารเลื่อนการติดตั้งไคลเอนต์ออกไปจนกว่าจะถึงช่วงวันหยุด?

windows-server-2003 active-directory windows-xp

— Sandokan
แหล่งที่มา

ใช้เวลาในการตั้งค่านานเท่าใด คุณมีความกังวลเกี่ยวกับ patch / updates / av updates / etc ระหว่างหน้าต่างนั้น

— TheCleaner

แพทช์และดังกล่าวไม่ได้เป็นกังวล เนื่องจากเป็นเพียงระบบการฝึกอบรมสิ่งที่เราใส่ใจจริงๆคือลูกค้าไม่ต้องเข้าสู่โหมดหลุมฝังศพ

— Sandokan

ฉันเห็นด้วยกับ Ryan ด้านล่าง แต่หาก "การสร้าง" ไม่ต้องการ GPOs ฯลฯ เพื่อนำพวกเขาไปสู่สถานะที่พวกเขาต้องการสำหรับการฝึกอบรมคุณสามารถสร้างพวกเขาได้และรอที่จะเพิ่มพวกเขาในโดเมนจนกระทั่งหลังจากวันหยุดฤดูร้อน เมื่อคุณบู๊ตแบ็คอัพ

— TheCleaner

มันจะไม่เป็นไร

นี่คือการแจ้งเตือนเล็กน้อยจาก Sean Ivey จาก Microsoft; เป็นคนฉลาดสวย:

ตกลงตราบใดที่เรากำลังพูดถึงสมาชิกของโดเมนไม่ใช่ตัวควบคุมโดเมนดังนั้นเพื่อการใช้งานจริงพวกเขาอาจถูกปิดโดยไม่มีปัญหา เมื่อคุณเปิดใช้งานอีกครั้ง netlogon scavenger จะทำงานติดต่อผู้ควบคุมโดเมนและรีเซ็ตรหัสผ่านสำหรับบัญชีคอมพิวเตอร์

สิ่งสำคัญที่ต้องจำคือการรีเซ็ตรหัสผ่านของบัญชีคอมพิวเตอร์นั้นขับเคลื่อนโดยไคลเอนต์ไม่ใช่ตัวควบคุมโดเมน ดังนั้นตราบใดที่ลูกค้าไม่พยายามเปลี่ยนรหัสผ่านมันก็จะไม่เปลี่ยนรหัสผ่าน

ลองดูที่ลิงค์นี้เมื่อคุณมีโอกาส ฉันดึงส่วนที่เกี่ยวข้องออก:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "รหัสผ่านบัญชีเครื่องจักรดังกล่าวจะไม่หมดอายุใน Active Directory พวกเขาจะได้รับการยกเว้นจากนโยบายรหัสผ่านของโดเมนเป็นสิ่งสำคัญ เพื่อจดจำว่าการเปลี่ยนแปลงรหัสผ่านของบัญชีเครื่องจักรนั้นขับเคลื่อนโดยไคลเอนต์ (คอมพิวเตอร์) และไม่ใช่โฆษณาตราบใดที่ไม่มีใครได้ปิดใช้งานหรือลบบัญชีคอมพิวเตอร์หรือพยายามเพิ่มคอมพิวเตอร์ที่มีชื่อเดียวกันกับโดเมน (หรือ การดำเนินการทำลายล้างอื่น ๆ ) คอมพิวเตอร์จะยังคงทำงานต่อไปไม่ว่าจะนานเท่าใดเนื่องจากรหัสผ่านของบัญชีเครื่องเริ่มต้นและเปลี่ยนแปลง

ดังนั้นหากคอมพิวเตอร์ถูกปิดเป็นเวลาสามเดือนไม่มีอะไรหมดอายุ เมื่อคอมพิวเตอร์เริ่มทำงานมันจะสังเกตเห็นว่ารหัสผ่านนั้นเก่ากว่า 30 วันและจะเริ่มดำเนินการเปลี่ยนแปลง บริการ Netlogon บนคอมพิวเตอร์ไคลเอนต์รับผิดชอบในการทำเช่นนี้ สิ่งนี้ใช้ได้เฉพาะเมื่อปิดเครื่องเป็นเวลานาน

ก่อนที่เราจะตั้งรหัสผ่านใหม่ในพื้นที่เรามั่นใจว่าเรามีช่องทางที่ปลอดภัยที่ถูกต้องไปยัง DC หากลูกค้าไม่สามารถเชื่อมต่อกับ DC (ไม่เคยมีอะไรมาก่อนเวลาของความพยายาม - เวลาในการรีเฟรชช่องทางที่ปลอดภัย) จากนั้นเราจะไม่เปลี่ยนรหัสผ่านในพื้นที่

พารามิเตอร์ Netlogon ที่เกี่ยวข้องที่เข้ามาเล่นและเราสามารถคิดเกี่ยวกับการเปลี่ยนแปลงที่นี่คือ:

ScavengeInterval (ค่าเริ่มต้น 15 นาที), MaximumPasswordAge (ค่าเริ่มต้น 30 วัน) DisablePasswordChange (ค่าเริ่มต้นปิด) "

ฉันหวังว่านี่จะช่วยได้!

— Ryan Ries
แหล่งที่มา

ซึ่งหมายความว่าลูกค้าและเซิร์ฟเวอร์ไม่เพียง แต่ตกอยู่ภายใต้แนวคิดหลุมฝังศพ?

— Sandokan

ไม่จริงทั้งหมดที่คุณต้องกังวลคือตัวควบคุมโดเมน สมาชิกโดเมนสามารถปิดได้อย่างไม่มีกำหนดและยังคงถูกนำกลับมาใช้

— Ryan Ries

@Sandokan ไม่ใช่สำหรับบัญชีเครื่องจักรที่ใช้งานอยู่ หลุมฝังศพจะมีการตั้งค่าสถานะบัญชีที่ถูกลบเพื่อประโยชน์ในการจำลอง (เพื่อให้การดำเนินการลบสามารถทำซ้ำระหว่าง DCs) ปัญหาที่เกิดขึ้นหลังจากDCถูกปิดนานกว่า TombstoneLifeTime ก็คือมันอาจไม่ประมวลผลการลบทั้งหมดที่เกิดขึ้นเนื่องจากมันถูกปิดเนื่องจากมันถูกปิด (เนื่องจากคนเก่าอาจถูกตัด) ดังนั้นแบบจำลองไดเรกทอรีอาจหมด -ซิงค์. นี่คือสิ่งที่คุณไม่ต้องกังวลกับลูกค้าหรือในกรณีที่คุณลูกเหม็นทั้งโดเมนเป็นเวลานาน

— the-wabbit