ドメインコントローラーがオフラインの場合、Windowsドメインクライアントはどのように動作しますか?

9

ドメインに参加しているWindows PCがあり、ドメインコントローラーがオフラインになった場合、クライアントではどのような動作が期待できますか(2番目のDCがないと仮定して?)

  • ユーザーはログオンできますか?あるいは、より良い質問ですが、ログイン機能はどのように変更されますか?

  • 明らかにDC上のファイル共有は機能しませんが、クライアント間、またはクライアントとメンバーサーバー間の共有はどうでしょうか。

  • DCが回復したら、クライアントは再起動、ログオフ/ログインする必要がありますか?DCから切断されることによる長期的な影響はありますか?

最終的には、DCがオフラインの場合にユーザーから受け取るはずの苦情に興味があります。私がカバーしていない他の重要な情報があれば遠慮なく言ってください。

active-directory  domain  domain-controller 
logonserverが自動的に変更されるかどうかはわかりません。そうでない場合は、コマンドstrong text set logonserver = \\ workingDC strong textを発行して手動で設定する必要があります。コンピュータのログオンサーバーが自動的に動作しているサーバーに切り替わった場合の動作はわかりません。
janus 2017

回答:

15

DCが利用できない場合、かなりの数のことが起こります。

  • ドメインコントローラーが唯一のDNSサーバーである場合、クライアントがDNSを持っていないため、インターネットが切断されるという最初の不満があります。

  • DCは通常DHCPも実行するため、コンピュータはネットワークに接続できません。すでに接続されているコンピュータはしばらくの間動作し続けます。

  • すでに接続されているファイル共有は、セッションが期限切れになるまでしばらく(数時間と思われます)正常に動作します。ファイルサーバーが資格情報を検証しようとすると、DCと通信できなくなり、誰も接続できなくなります。

  • それ以外の場合(IISサイトやVPNサーバーなど)はActive Directory認証に依存しているため、ユーザーはログインできません。設定によっては、すぐにユーザーを開始する場合や、既存のセッションを保持して新しいセッションを許可しない場合があります。

  • コンピュータ自体については、最近コンピュータを使用したことがあるユーザーは引き続きログインできます。以前にマシンを使用したことがない人、またはマシンを以前に使用したことがない人は、キャッシュされたパスワードを持たないため、DCへの接続が復元されるまでログインできません。

  • DCから切断されることには長期的な影響があります-キャッシュされたパスワードがすべて期限切れになるため、最終的には誰もドメインアカウントでログインできなくなります。DCに再接続できず、ローカルアカウントを有効にしていない場合は、NTPasswdなどのユーティリティを使用してローカル管理者アカウントを有効にする必要がある場合があります。

ドメインコントローラーのベストプラクティスは、少なくとも2つあることです。WindowsネットワークではActive Directoryに依存しているため、冗長性が必要です。小規模な組織の場合、ファイルサーバーと役割を共有できますが、ドメインコントローラーがサーバーを共有ポイントや交換などと共有することは避けてください(適切に行うには、復元とアップグレードが非常に難しくなります)。

2つのドメインコントローラーを使用すると、1つが停止した場合、Windowsサーバーを再インストールし、既存のドメインで新しいドメインコントローラーとしてセットアップするだけで済みます。ダウンタイムはまったくありません。単一のドメインコントローラーでは、復元が難しい場合があります。そして、あなたが回復している間、あなたは人々が何もできないことに動揺しています。

付与
ソース
ドメインコントローラーでDHCPを実行する場合、何らかの理由でダウンタイムが発生する可能性があります...何らかの方法でHA用にDHCPを設定しない限り...
ETL
@ETL WindowsサーバーのDHCPサービスは、高可用性のために非常に簡単に設定できます。
Grant
5

期間によって異なります。ネットワークからサービスを削除すると、信頼性は失われますが、壊れることはありません。DCを再起動するだけの場合は、認証/承認が実際に中断されることはありません。人々はキャッシュされた資格情報でログインし、すでに通信しているボックスは既存のKerberosチケットなどでログインし続けます。

そのため、ユーザーはキャッシュされたアカウントでPCにログインできます。パスワードなどを変更することはできません。

短時間(数時間ではなく数時間)の間、すべてのユーザーがDC上ではなくファイル共有にアクセスできるはずですが、最終的には機能しなくなります。

DCがバックアップされると、物事は自動的に回復します。

ただし、ここには大きな注意事項があります。DNSがオフラインになるとすぐにDCをDNSに使用している場合、クライアントがサーバーを見つけることができないため、ほとんどのものが機能しなくなります。ADに依存しないものでさえ、名前解決に依存しています。

最善の方法は、バックアップDNSを備えた2つ目のDCを構築して、クライアントがフェイルオーバーできるようにすることです。ADの部分は自動的に行われ、DNSの部分は、クライアント上またはDHCPなどを介して、クライアント上で2次DNSサーバーとして構成する必要があります。

TheFiddlerWins
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.