ไคลเอนต์โดเมน Windows จะทำงานอย่างไรหากตัวควบคุมโดเมนออฟไลน์อยู่

หากฉันมีพีซี Windows ที่เชื่อมต่อกับโดเมนและตัวควบคุมโดเมนทำงานแบบออฟไลน์ฉันจะคาดหวังพฤติกรรมแบบไหนในไคลเอนต์ (สมมติว่าไม่มี DC ตัวที่สอง)

• ผู้ใช้จะสามารถเข้าสู่ระบบได้หรือไม่ หรืออาจเป็นคำถามที่ดีกว่าฟังก์ชันการลงชื่อเข้าใช้จะเปลี่ยนไปอย่างไร

• เห็นได้ชัดว่าการแชร์ไฟล์ใน DC จะไม่ทำงาน แต่สิ่งที่เกี่ยวกับการแบ่งปันระหว่างลูกค้าหรือระหว่างพวกเขาและเซิร์ฟเวอร์สมาชิก?

• เมื่อ DC กู้คืนมาได้ไคลเอนต์จำเป็นต้องรีสตาร์ทออกจากระบบ / เข้าสู่ระบบหรือไม่? มีผลกระทบระยะยาวจากการถูกตัดการเชื่อมต่อจาก DC หรือไม่?

ท้ายที่สุดฉันสนใจสิ่งที่ฉันควรคาดหวังว่าจะได้รับจากผู้ใช้หาก DC ออฟไลน์อยู่ อย่าลังเลที่จะพูดถึงข้อมูลสำคัญอื่น ๆ ที่ฉันไม่ได้กล่าวถึง

จะมีบางสิ่งเกิดขึ้นโดยไม่มี DC:

• หากตัวควบคุมโดเมนเป็นเซิร์ฟเวอร์ DNS เดียวการร้องเรียนแรกที่คุณจะได้รับคืออินเทอร์เน็ตใช้งานไม่ได้เนื่องจากไคลเอนต์ไม่มี DNS

• เนื่องจาก DC มักจะเรียกใช้ DHCP คอมพิวเตอร์จึงไม่สามารถเชื่อมต่อกับเครือข่ายได้เลย คอมพิวเตอร์ที่เชื่อมต่ออยู่แล้วจะใช้งานได้นาน

• แชร์ไฟล์ที่พวกเขาเชื่อมต่ออยู่แล้วจะทำงานได้ดีในชั่วขณะหนึ่ง (น่าจะเป็นสองสามชั่วโมง) จนกระทั่งเซสชันหมดอายุ เมื่อเซิร์ฟเวอร์ไฟล์ไปตรวจสอบข้อมูลรับรองพวกเขาจะไม่สามารถพูดคุยกับ DC และจะไม่อนุญาตให้ใครเชื่อมต่ออีกต่อไป

• สิ่งอื่นใดที่ต้องใช้การรับรองความถูกต้องของไดเรกทอรีที่ใช้งานอยู่ (เช่นไซต์ IIS หรือเซิร์ฟเวอร์ VPN ฯลฯ ) จะไม่อนุญาตให้บุคคลอื่นลงชื่อเข้าใช้ ขึ้นอยู่กับการตั้งค่ามันอาจเตะคนออกทันทีหรืออาจเก็บเซสชันที่มีอยู่และไม่อนุญาตให้มีคนใหม่

• สำหรับคอมพิวเตอร์ของตัวเองคนที่ใช้คอมพิวเตอร์เมื่อเร็ว ๆ นี้จะยังสามารถเข้าสู่ระบบได้ ผู้ที่ไม่เคยใช้เครื่องมาก่อนหรือเคยใช้มานานแล้วจะไม่มีรหัสผ่านแคชดังนั้นจึงไม่สามารถเข้าสู่ระบบได้จนกว่าการเชื่อมต่อกับ DC จะได้รับการกู้คืน

• มีผลกระทบระยะยาวที่จะถูกตัดการเชื่อมต่อจาก DC - ในที่สุดก็ไม่มีใครสามารถเข้าสู่ระบบด้วยบัญชีโดเมนได้เพราะรหัสผ่านที่แคชจะหมดอายุทั้งหมด หากคุณไม่สามารถเชื่อมต่อ DC อีกครั้งและไม่ได้เปิดใช้งานบัญชีในเครื่องคุณสามารถสิ้นสุดในสถานการณ์ที่คุณต้องใช้โปรแกรมอรรถประโยชน์เช่น NTPasswd เพื่อเปิดใช้งานบัญชีผู้ดูแลระบบภายใน

แนวทางปฏิบัติที่ดีที่สุดสำหรับตัวควบคุมโดเมนคือต้องมีอย่างน้อยสองตัว มากในเครือข่าย windows อาศัยไดเรกทอรีที่ใช้งานอยู่ที่คุณต้องการความซ้ำซ้อน สำหรับองค์กรขนาดเล็กสามารถแชร์บทบาทกับไฟล์เซิร์ฟเวอร์ได้ แต่หลีกเลี่ยงการมีโดเมนคอนโทรลเลอร์แชร์เซิร์ฟเวอร์กับสิ่งต่าง ๆ เช่น SharePoint และ Exchange

ด้วยสองตัวควบคุมโดเมนถ้ามีคนตายคุณสามารถติดตั้งเซิร์ฟเวอร์ windows ใหม่ตั้งค่าเป็นตัวควบคุมโดเมนใหม่ในโดเมนที่มีอยู่แล้วออกไป ไม่มีการหยุดทำงานเลย ด้วยการคืนค่าตัวควบคุมโดเมนเดียวอาจเป็นเรื่องยุ่งยาก และในขณะที่คุณกำลังกู้คืนคุณมีคนอารมณ์เสียที่พวกเขาไม่สามารถทำอะไรได้

ขึ้นอยู่กับระยะเวลา เมื่อคุณลบบริการจากเครือข่ายสิ่งที่ไม่น่าเชื่อถือแต่อาจไม่ทำลาย หากคุณต้องการรีบูต DC การรับรองความถูกต้อง / การอนุญาตไม่ควรถูกขัดจังหวะ ผู้คนจะเข้าสู่ระบบด้วยข้อมูลประจำตัวที่แคชกล่องที่กำลังสื่อสารอยู่แล้วจะทำเช่นนั้นกับตั๋ว Kerberos ที่มีอยู่เป็นต้น

ดังนั้นผู้คนสามารถเข้าสู่ระบบพีซีด้วยบัญชีที่แคชไว้ พวกเขาไม่สามารถเปลี่ยนรหัสผ่าน ฯลฯ

เป็นเวลาสั้น ๆ (ชั่วโมง แต่ไม่กี่วัน) ในขณะที่ทุกคนสามารถเข้าถึงไฟล์ที่แชร์ไม่ได้อยู่ใน DC เช่นกัน แต่ในที่สุดจะหยุดทำงาน

สิ่งที่ควรกู้คืนโดยอัตโนมัติเมื่อ DC ถูกสำรอง

แม้ว่าจะมีข้อแม้ขนาดใหญ่ที่นี่ หากคุณใช้ DC สำหรับ DNS ของคุณทันทีที่ออฟไลน์สิ่งส่วนใหญ่จะหยุดทำงานเนื่องจากลูกค้าจะไม่สามารถค้นหาเซิร์ฟเวอร์ของพวกเขาได้ แม้แต่สิ่งที่ไม่ขึ้นอยู่กับโฆษณาก็ขึ้นอยู่กับการแก้ไขชื่อ

สิ่งที่ดีที่สุดที่ต้องทำคือสร้าง DC ที่สองพร้อม DNS สำรองไว้เพื่อให้ลูกค้าสามารถล้มเหลวได้ ส่วนโฆษณาจะเกิดขึ้นโดยอัตโนมัติส่วน DNS ที่คุณจะต้องกำหนดค่าบนไคลเอนต์เป็นเซิร์ฟเวอร์ DNS ที่สองไม่ว่าจะบนไคลเอนต์หรือผ่าน DHCP เป็นต้น