ドメイン コントローラーがオフラインの場合、Windows ドメイン クライアントはどのように動作しますか?

DC が利用できない場合、次のようなことが起こります。

• ドメイン コントローラーが唯一の DNS サーバーである場合、クライアントに DNS がないためインターネットが機能していないという最初の苦情が寄せられます。

• DC は通常 DHCP も実行するため、コンピューターはネットワークにまったく接続できなくなります。すでに接続されているコンピューターは、しばらく動作し続けます。

• すでに接続しているファイル共有は、セッションの有効期限が切れるまで、しばらくの間 (おそらく数時間) 正常に動作します。ファイル サーバーが資格情報を検証すると、DC と通信できなくなり、誰も接続できなくなります。

• アクティブ ディレクトリ認証に依存するその他のもの (IIS サイトや VPN サーバーなど) では、ユーザーはログインできません。設定によっては、すぐにユーザーをログアウトさせたり、既存のセッションを維持して新しいセッションを許可しない場合があります。

• コンピュータ自体については、最近コンピュータを使用したユーザーは引き続きログインできます。以前にマシンを使用したことがない、またはかなり前に使用したユーザーは、キャッシュされたパスワードがないため、DC への接続が復元されるまでログインできません。

• DC から切断されると、長期的には影響があります。キャッシュされたパスワードがすべて期限切れになるため、最終的には誰もドメイン アカウントでログインできなくなります。DC に再接続できず、ローカル アカウントが有効になっていない場合は、NTPasswd などのユーティリティを使用してローカル管理者アカウントを有効にする必要がある状況に陥る可能性があります。

ドメイン コントローラのベスト プラクティスは、少なくとも 2 つ用意することです。Windows ネットワークでは Active Directory に大きく依存しているため、冗長性が必要です。小規模な組織では、ファイル サーバーと役割を共有できますが、ドメイン コントローラが SharePoint や Exchange などのサーバーを共有することは避けてください (復元やアップグレードを適切に行うのが非常に難しくなります)。

ドメイン コントローラーが 2 つある場合、1 つが故障しても、Windows Server を再インストールし、既存のドメインに新しいドメイン コントローラーとしてセットアップするだけで、すぐに使用できます。ダウンタイムはまったく発生しません。ドメイン コントローラーが 1 つの場合、復元は難しい場合があります。復元中は、何もできないことにユーザーはイライラします。

期間によって異なります。ネットワークからサービスを削除すると、状況は変わります信頼できないただし、壊れない可能性があります。DC を再起動するだけであれば、認証/承認は実際には中断されません。ユーザーはキャッシュされた資格情報を使用してログインし、すでに通信しているボックスは既存の Kerberos チケットなどを使用して通信を続けます。

つまり、ユーザーはキャッシュされたアカウントで PC にログインできます。パスワードなどを変更することはできません。

短期間 (数時間、数日ではありません) は、DC 上だけでなく、すべてのファイル共有にアクセスできるはずですが、最終的には機能しなくなります。

DC が復旧すると、自動的に回復するはずです。

ただし、ここには大きな注意点があります。DC を DNS に使用している場合、DC がオフラインになると、クライアントがサーバーを見つけられなくなるため、ほとんどの機能が停止します。AD に依存しないものでも、名前解決に依存します。

最善の方法は、クライアントがフェイルオーバーできるように、バックアップ DNS を備えた 2 番目の DC を構築することです。AD 部分は自動的に実行されますが、DNS 部分は、クライアント上または DHCP などを介して、2 番目の DNS サーバーとしてクライアント上で構成する必要があります。