Como os clientes de domínio do Windows se comportam se o DC estiver offline?

Algumas coisas acontecerão sem DC disponível:

• Se o controlador de domínio for o único servidor DNS, a primeira reclamação você vai conseguir é que a internet está quebrada, porque os clientes têm sem DNS.

• Como o DC normalmente também executa o DHCP, os computadores não conseguirão se conectar à rede. Computadores que já estão conectados continuarão trabalhando por algum tempo.

• Os compartilhamentos de arquivos aos quais eles já estão conectados funcionarão bem por algum tempo (algumas horas provavelmente), até que sua sessão expire. Quando o arquivo servidor vai validar suas credenciais, ele não será capaz de falar para o DC, e não vai deixar ninguém se conectar mais.

• Qualquer outra coisa que dependa da autenticação de diretório ativo (como sites do IIS, servidores VPN, etc.) não permitirá que as pessoas façam login. Dependendo da configuração, ele pode expulsar imediatamente as pessoas ou manter as sessões existentes e simplesmente não permitir novas.

• Para os próprios computadores, as pessoas que usaram o computador recentemente ainda poderá fazer o login. Pessoas que não usaram o máquina antes, ou usado há muito tempo atrás não terá nenhum cache senhas, para que eles não possam fazer login até a conexão com o DC é restaurado.

• Há consequências a longo prazo para se desconectar do DC - Eventualmente, ninguém poderá fazer login com uma conta de domínio. porque as senhas armazenadas em cache terão todas expiradas. Se você é não é possível se reconectar ao DC e não possui contas locais ativado, você pode acabar em uma situação onde você precisa usar utilitários como o NTPasswd para ativar a conta do administrador local.

A melhor prática para controladores de domínio é ter pelo menos dois deles. Tanto em uma rede do Windows depende do diretório ativo que você precisa da redundância. Para uma organização menor, ele pode compartilhar funções com servidores de arquivos, mas evitar que um controlador de domínio compartilhe um servidor com coisas como sharepoint e exchange (isso torna a restauração e a atualização muito difíceis de serem feitas corretamente)

Com dois controladores de domínio, se um deles morre, você pode reinstalar o servidor do Windows, configurá-lo como um novo controlador de domínio em um domínio existente e pronto. Sem tempo de inatividade. Com um único controlador de domínio, a restauração pode ser complicada. E enquanto você está restaurando, você tem pessoas chateadas que não podem fazer nada.

Depende da duração. Depois de remover um serviço da rede, as coisas tornam-se não confiáveis , mas não podem ser interrompidas. Se você quiser apenas reinicializar um DC, a autenticação / autorização não deve ser realmente interrompida. As pessoas farão login com credenciais em cache, as caixas que já estão se comunicando continuarão fazendo isso com seus tíquetes Kerberos existentes, etc.

Para que as pessoas possam fazer login em seus PCs com contas armazenadas em cache. Eles não podem mudar senhas, etc.

Por um curto período (mas não dias), eles devem poder acessar os compartilhamentos de arquivos que não estão no CD, mas que acabarão parando de funcionar.

As coisas devem se recuperar automaticamente assim que o CD estiver de volta.

Há uma grande advertência aqui. Se você estiver usando seu DC para DNS assim que ficar offline, a maioria das coisas vai parar de funcionar porque os clientes não conseguirão encontrar seus servidores. Mesmo as coisas que não dependem do AD dependem da resolução de nomes.

A melhor coisa a fazer é construir um segundo DC com DNS de backup para que os clientes possam fazer o failover. A parte do AD acontecerá automaticamente, a parte do DNS que você precisará configurar nos clientes como um servidor DNS secundário no cliente ou via DHCP, etc.