도메인 컨트롤러가 오프라인인 경우 Windows 도메인 클라이언트는 어떻게 작동합니까?

Question 1

DC를 사용할 수 없으면 몇 가지 일이 발생합니다.

도메인 컨트롤러가 유일한 DNS 서버인 경우 가장 먼저 받게 되는 불만 사항은 클라이언트에 DNS가 없기 때문에 인터넷이 끊어졌다는 것입니다.
DC는 일반적으로 DHCP도 실행하므로 컴퓨터는 네트워크에 전혀 연결할 수 없습니다. 이미 연결된 컴퓨터는 잠시 동안 계속 작동합니다.
이미 연결되어 있는 파일 공유는 세션이 만료될 때까지 한동안(몇 시간 정도) 정상적으로 작동합니다. 파일 서버가 자격 증명의 유효성을 검사할 때 DC와 통신할 수 없으며 더 이상 누구도 연결할 수 없습니다.
Active Directory 인증에 의존하는 다른 모든 것(IIS 사이트, VPN 서버 등)에서는 사람들이 로그인할 수 없습니다. 설정에 따라 사람들을 즉시 쫓아낼 수도 있고, 기존 세션을 유지하고 새 세션을 허용하지 않을 수도 있습니다.
컴퓨터 자체의 경우, 최근에 컴퓨터를 사용한 사람들은 계속 로그인할 수 있습니다. 이전에 머신을 사용한 적이 없거나 오래 전에 사용한 사람들은 캐시된 비밀번호가 없으므로 DC 연결이 복원될 때까지 로그인할 수 없습니다.
DC와의 연결이 끊어지면 장기적인 결과가 발생합니다. 캐시된 비밀번호가 모두 만료되므로 결국 아무도 도메인 계정으로 로그인할 수 없게 됩니다. DC에 다시 연결할 수 없고 활성화된 로컬 계정이 없는 경우 NTPasswd와 같은 유틸리티를 사용하여 로컬 관리자 계정을 활성화해야 하는 상황이 발생할 수 있습니다.

도메인 컨트롤러에 대한 모범 사례는 최소한 두 개를 보유하는 것입니다. Windows 네트워크의 많은 부분이 Active Directory에 의존하므로 중복성이 필요합니다. 소규모 조직의 경우 파일 서버와 역할을 공유할 수 있지만 도메인 컨트롤러가 공유점 및 교환과 같은 기능과 서버를 공유하지 않도록 하십시오(복원 및 업그레이드를 적절하게 수행하기가 매우 까다롭습니다).

두 개의 도메인 컨트롤러가 있는 경우 하나가 죽으면 Windows 서버를 다시 설치하고 기존 도메인에 새 도메인 컨트롤러로 설정한 다음 바로 사용할 수 있습니다. 가동 중지 시간이 전혀 없습니다. 단일 도메인 컨트롤러를 사용하면 복원이 까다로울 수 있습니다. 그리고 복원하는 동안 사람들은 아무것도 할 수 없어서 화를 냅니다.

Answer

DC를 사용할 수 없으면 몇 가지 일이 발생합니다.

도메인 컨트롤러가 유일한 DNS 서버인 경우 가장 먼저 받게 되는 불만 사항은 클라이언트에 DNS가 없기 때문에 인터넷이 끊어졌다는 것입니다.
DC는 일반적으로 DHCP도 실행하므로 컴퓨터는 네트워크에 전혀 연결할 수 없습니다. 이미 연결된 컴퓨터는 잠시 동안 계속 작동합니다.
이미 연결되어 있는 파일 공유는 세션이 만료될 때까지 한동안(몇 시간 정도) 정상적으로 작동합니다. 파일 서버가 자격 증명의 유효성을 검사할 때 DC와 통신할 수 없으며 더 이상 누구도 연결할 수 없습니다.
Active Directory 인증에 의존하는 다른 모든 것(IIS 사이트, VPN 서버 등)에서는 사람들이 로그인할 수 없습니다. 설정에 따라 사람들을 즉시 쫓아낼 수도 있고, 기존 세션을 유지하고 새 세션을 허용하지 않을 수도 있습니다.
컴퓨터 자체의 경우, 최근에 컴퓨터를 사용한 사람들은 계속 로그인할 수 있습니다. 이전에 머신을 사용한 적이 없거나 오래 전에 사용한 사람들은 캐시된 비밀번호가 없으므로 DC 연결이 복원될 때까지 로그인할 수 없습니다.
DC와의 연결이 끊어지면 장기적인 결과가 발생합니다. 캐시된 비밀번호가 모두 만료되므로 결국 아무도 도메인 계정으로 로그인할 수 없게 됩니다. DC에 다시 연결할 수 없고 활성화된 로컬 계정이 없는 경우 NTPasswd와 같은 유틸리티를 사용하여 로컬 관리자 계정을 활성화해야 하는 상황이 발생할 수 있습니다.

도메인 컨트롤러에 대한 모범 사례는 최소한 두 개를 보유하는 것입니다. Windows 네트워크의 많은 부분이 Active Directory에 의존하므로 중복성이 필요합니다. 소규모 조직의 경우 파일 서버와 역할을 공유할 수 있지만 도메인 컨트롤러가 공유점 및 교환과 같은 기능과 서버를 공유하지 않도록 하십시오(복원 및 업그레이드를 적절하게 수행하기가 매우 까다롭습니다).

두 개의 도메인 컨트롤러가 있는 경우 하나가 죽으면 Windows 서버를 다시 설치하고 기존 도메인에 새 도메인 컨트롤러로 설정한 다음 바로 사용할 수 있습니다. 가동 중지 시간이 전혀 없습니다. 단일 도메인 컨트롤러를 사용하면 복원이 까다로울 수 있습니다. 그리고 복원하는 동안 사람들은 아무것도 할 수 없어서 화를 냅니다.

Question 2

기간에 따라 다릅니다. 네트워크에서 서비스를 제거하면 다음과 같은 상황이 발생합니다.신뢰할 수 없는그러나 깨지지 않을 수 있습니다. DC를 재부팅하려는 경우 인증/권한 부여가 실제로 중단되어서는 안 됩니다. 사람들은 캐시된 자격 증명을 사용하여 로그인하고 이미 통신 중인 상자는 기존 Kerberos 티켓 등을 사용하여 계속 로그인합니다.

따라서 사람들은 캐시된 계정으로 PC에 로그인할 수 있습니다. 비밀번호 등을 변경할 수 없습니다.

짧은 시간 동안(며칠은 아님) 모두 DC에 없는 파일 공유에 액세스할 수 있어야 하지만 결국에는 작동이 중지됩니다.

DC가 백업되면 상황이 자동으로 복구됩니다.

하지만 여기에는 큰 경고가 있습니다. 오프라인 상태가 되자마자 DNS용 DC를 사용하는 경우 클라이언트가 서버를 찾을 수 없기 때문에 대부분의 작업이 작동을 중지합니다. AD에 의존하지 않는 것조차도 이름 확인에 의존합니다.

가장 좋은 방법은 백업 DNS가 포함된 두 번째 DC를 구축하여 클라이언트가 장애 조치를 수행할 수 있도록 하는 것입니다. AD 부분은 자동으로 발생하며, DNS 부분은 클라이언트에서 또는 DHCP 등을 통해 2차 DNS 서버로 클라이언트에서 구성해야 합니다.

Answer