Wenn ich Windows-PCs habe, die einer Domäne beigetreten sind, und der Domänencontroller offline geht, welches Verhalten kann ich bei den Clients erwarten (vorausgesetzt, es gibt keinen zweiten DC?)
Können sich Benutzer anmelden? Oder vielleicht eine bessere Frage: Wie ändert sich die Anmeldefunktionalität, wenn überhaupt?
Dateifreigaben auf dem DC funktionieren natürlich nicht, aber was ist mit Freigaben zwischen Clients oder zwischen ihnen und einem Mitgliedsserver?
Müssen die Clients nach der Wiederherstellung des DC neu gestartet werden und sich ab- und wieder anmelden? Hat die Trennung vom DC langfristige Konsequenzen?
Letztlich interessiert michmit welchen Beschwerden von Benutzern muss ich rechnen, wenn der DC offline ist?. Erwähnen Sie gerne weitere wichtige Informationen, die ich nicht behandelt habe.
Antwort1
Wenn kein DC verfügbar ist, können einige Dinge passieren:
Wenn der Domänencontroller der einzige DNS-Server ist, werden Sie sich zunächst beschweren, dass das Internet kaputt ist, weil die Clients kein DNS haben.
Da DCs normalerweise auch DHCP ausführen, können Computer überhaupt keine Verbindung zum Netzwerk herstellen. Computer, die bereits verbunden sind, funktionieren noch eine Weile weiter.
Dateifreigaben, mit denen sie bereits verbunden sind, funktionieren eine Zeit lang einwandfrei (wahrscheinlich einige Stunden), bis ihre Sitzung abläuft. Wenn der Dateiserver ihre Anmeldeinformationen überprüft, kann er nicht mehr mit dem DC kommunizieren und lässt niemanden mehr eine Verbindung herstellen.
Alles andere, was auf Active Directory-Authentifizierung basiert (wie IIS-Sites oder VPN-Server usw.), lässt keine Anmeldung zu. Je nach Konfiguration werden Benutzer möglicherweise sofort rausgeworfen oder bestehende Sitzungen werden beibehalten und neue werden einfach nicht zugelassen.
Bei den Computern selbst können sich Personen, die den Computer kürzlich verwendet haben, weiterhin anmelden. Personen, die den Computer noch nicht oder vor langer Zeit verwendet haben, verfügen über keine zwischengespeicherten Passwörter und können sich daher erst anmelden, wenn die Verbindung zum DC wiederhergestellt ist.
Die Trennung vom DC hat langfristige Konsequenzen: Irgendwann kann sich niemand mehr mit einem Domänenkonto anmelden, weil die zwischengespeicherten Passwörter alle abgelaufen sind. Wenn Sie sich nicht wieder mit dem DC verbinden können und keine lokalen Konten aktiviert haben, kann es passieren, dass Sie Dienstprogramme wie NTPasswd verwenden müssen, um das lokale Administratorkonto zu aktivieren.
Die beste Vorgehensweise für Domänencontroller ist, mindestens zwei davon zu haben. In einem Windows-Netzwerk hängt so viel von Active Directory ab, dass Sie die Redundanz benötigen. In einer kleineren Organisation können Rollen mit Dateiservern geteilt werden, vermeiden Sie jedoch, dass ein Domänencontroller einen Server mit Dingen wie SharePoint und Exchange teilt (da dies die ordnungsgemäße Wiederherstellung und Aktualisierung sehr schwierig macht).
Wenn bei zwei Domänencontrollern einer ausfällt, können Sie einfach Windows Server neu installieren, ihn als neuen Domänencontroller in einer vorhandenen Domäne einrichten und los geht‘s. Keine Ausfallzeit. Bei einem einzelnen Domänencontroller kann die Wiederherstellung schwierig sein. Und während Sie wiederherstellen, sind die Leute verärgert, weil sie nichts tun können.
Antwort2
Hängt von der Dauer ab. Sobald Sie einen Dienst aus dem Netzwerk entfernen, werden die Dingeunzuverlässigaber es muss nicht unterbrochen werden. Wenn Sie nur einen DC neu starten möchten, sollte die Authentifizierung/Autorisierung nicht wirklich unterbrochen werden. Die Leute melden sich mit zwischengespeicherten Anmeldeinformationen an, Boxen, die bereits kommunizieren, tun dies weiterhin mit ihren vorhandenen Kerberos-Tickets usw.
So können sich Benutzer mit zwischengespeicherten Konten bei ihren PCs anmelden. Sie können Passwörter usw. nicht ändern.
Für eine kurze Zeit (Stunden, aber nicht Tage) sollten sie alle auch auf Dateifreigaben zugreifen können, die sich nicht auf dem DC befinden, aber irgendwann wird das nicht mehr funktionieren.
Sobald der DC wieder aktiv ist, sollte die Wiederherstellung automatisch erfolgen.
Allerdings gibt es hier einen großen Vorbehalt. Wenn Sie Ihren DC für DNS verwenden, funktioniert das meiste nicht mehr, sobald er offline geht, weil die Clients ihre Server nicht finden können. Sogar Dinge, die nicht von AD abhängig sind, sind auf Namensauflösung angewiesen.
Am besten bauen Sie einen zweiten DC mit Backup-DNS darauf auf, damit Clients ein Failover durchführen können. Der AD-Teil erfolgt automatisch, den DNS-Teil müssen Sie auf den Clients als zweiten DNS-Server entweder auf dem Client oder über DHCP usw. konfigurieren.