Como devo configurar meus servidores do Active Directory para que, caso um deles seja desativado, os usuários não sejam iniciados no SQL?

Hoje, encerramos um dos nossos servidores do Active Directory durante o horário comercial para verificar o carregamento em um no-break. Como tudo o que o servidor fez foi fornecer o Active Directory em um prédio separado, caso o prédio principal pegasse fogo, ou o que quer que seja, não achamos que isso afetaria nossos usuários.

Segundos após o encerramento do servidor, recebemos uma dúzia de telefonemas de usuários com esse problema: [Login do Microsoft SQL Server] SQLState: '28000' [Microsoft] [Driver do ODBC SQL Server] [SQL Server] Falha no logon. O login é de um domínio não confiável e não pode ser usado com autenticação.

Quando percebemos o que aconteceu, reiniciamos rapidamente o servidor do Active Directory. Problema resolvido.

Mas por que isso aconteceu? E se um dia um servidor tiver uma falha e ficar off-line por horas ou dias? Os outros servidores do Active Directory nas solicitações de autenticação do serviço de domínio não devem ser interrompidos para os usuários?

Temos três servidores Windows Server 2003 Standard executando o Active Directory como controladores de domínio com catálogos globais, todos localizados fisicamente na mesma rede em velocidades Gigabit.

Eu acredito que o domínio era originalmente o Windows Server 2000, ou talvez até mesmo o NT 4.0. O problema poderia estar nas antigas políticas de grupo herdadas desses sistemas operacionais antigos do servidor ou em alguma configuração padrão no Active Directory que precisa ser alterada?