如果網域控制器離線，Windows 網域用戶端將如何表現？

Question 1

如果沒有可用的 DC，將會發生很多事情：

如果網域控制器是唯一的 DNS 伺服器，您收到的第一個抱怨是網路中斷，因為用戶端沒有 DNS。
由於 DC 通常也運行 DHCP，因此電腦根本無法連接到網路。已連接的電腦將繼續工作一段時間。
他們已經連接到的文件共享將在一段時間內正常工作（可能是幾個小時），直到其會話過期。當文件伺服器驗證其憑證時，它將無法與 DC 通信，並且不會再讓任何人連接。
任何其他依賴 Active Directory 驗證的內容（如 IIS 網站或 VPN 伺服器等）都不允許人們登入。根據設定的不同，它可能會立即將人們踢走，或者可能會保留現有會話但不允許新會話。
對於計算機本身來說，最近使用過該計算機的人仍然可以登入。以前沒有使用過該機器或很久以前使用過該機器的人不會有任何快取的密碼，因此在與 DC 的連接恢復之前他們將無法登入。
與 DC 斷開連接會產生長期後果 - 最終沒有人能夠使用網域帳戶登錄，因為快取的密碼將全部過期。如果您無法重新連線至 DC，且未啟用任何本機帳戶，則最終可能會遇到需要使用 NTPasswd 等公用程式來啟用本機管理員帳戶的情況。

網域控制器的最佳實務是至少有兩個。 Windows 網路中的大部分內容都依賴活動目錄，因此您需要冗餘。對於較小的組織，它可以與檔案伺服器共享角色，但要避免讓網域控制器與共享點和交換之類的東西共享伺服器（這使得正確恢復和升級它們變得非常棘手）

對於兩個網域控制器，如果其中一個失效，您只需重新安裝 Windows Server，將其設定為現有網域中的新網域控制器，然後就可以開始使用了。根本沒有停機時間。使用單一網域控制器進行復原可能會很棘手。當你在恢復的時候，人們卻因為無能為力而感到沮喪。

Answer

如果沒有可用的 DC，將會發生很多事情：

如果網域控制器是唯一的 DNS 伺服器，您收到的第一個抱怨是網路中斷，因為用戶端沒有 DNS。
由於 DC 通常也運行 DHCP，因此電腦根本無法連接到網路。已連接的電腦將繼續工作一段時間。
他們已經連接到的文件共享將在一段時間內正常工作（可能是幾個小時），直到其會話過期。當文件伺服器驗證其憑證時，它將無法與 DC 通信，並且不會再讓任何人連接。
任何其他依賴 Active Directory 驗證的內容（如 IIS 網站或 VPN 伺服器等）都不允許人們登入。根據設定的不同，它可能會立即將人們踢走，或者可能會保留現有會話但不允許新會話。
對於計算機本身來說，最近使用過該計算機的人仍然可以登入。以前沒有使用過該機器或很久以前使用過該機器的人不會有任何快取的密碼，因此在與 DC 的連接恢復之前他們將無法登入。
與 DC 斷開連接會產生長期後果 - 最終沒有人能夠使用網域帳戶登錄，因為快取的密碼將全部過期。如果您無法重新連線至 DC，且未啟用任何本機帳戶，則最終可能會遇到需要使用 NTPasswd 等公用程式來啟用本機管理員帳戶的情況。

網域控制器的最佳實務是至少有兩個。 Windows 網路中的大部分內容都依賴活動目錄，因此您需要冗餘。對於較小的組織，它可以與檔案伺服器共享角色，但要避免讓網域控制器與共享點和交換之類的東西共享伺服器（這使得正確恢復和升級它們變得非常棘手）

對於兩個網域控制器，如果其中一個失效，您只需重新安裝 Windows Server，將其設定為現有網域中的新網域控制器，然後就可以開始使用了。根本沒有停機時間。使用單一網域控制器進行復原可能會很棘手。當你在恢復的時候，人們卻因為無能為力而感到沮喪。

Question 2

取決於持續時間。一旦從網路中刪除服務，事情就會變得不可靠的但可能不會破裂。如果您只想重新啟動 DC，則身份驗證/授權不應真正中斷。人們將使用快取的憑證登錄，已經進行通信的盒子將繼續使用現有的 Kerberos 票證等進行通訊。

因此人們可以使用快取帳戶登入他們的電腦。他們無法更改密碼等。

在短時間內（幾小時而不是幾天），他們都應該能夠存取不在 DC 上的文件共享，但最終會停止工作。

DC 恢復後，一切都會自動恢復。

但這裡有一個很大的警告。如果您使用 DC 進行 DNS，一旦它離線，大多數東西都會停止工作，因為客戶端將無法找到他們的伺服器。即使不依賴 AD 的事物也依賴名稱解析。

最好的方法是建立一個具有備份 DNS 的第二個 DC，以便客戶端可以進行故障轉移。 AD 部分將自動發生，DNS 部分您需要在用戶端上設定為第二個 DNS 伺服器，無論是在用戶端上還是透過 DHCP 等。