Pendant combien de temps un client peut-il être arrêté dans AD?

12

Nous mettons en place un environnement de formation à utiliser après les vacances d'été. La direction veut que nous installions des clients maintenant avant les vacances. Étant donné que les clients doivent être expédiés, ils seront hors ligne jusqu'au début de la formation. Cela signifie que les clients seront déconnectés de la DA pendant environ 15 semaines. De plus, comme personne ne sera là, les serveurs seront fermés pendant environ six à huit semaines. La durée de vie de la pierre tombale est fixée à 180 jours.

Cette période de 15 semaines peut-elle générer des problèmes pour les clients? Devrions-nous essayer de persuader la direction de reporter l'installation du client après les vacances?

windows-server-2003  active-directory  windows-xp 
Sandokan
source
1
Combien de temps vous faut-il pour configurer? Êtes-vous préoccupé par les correctifs / mises à jour / mises à jour av / etc. pendant cette fenêtre?
TheCleaner
Les correctifs et autres ne sont pas un problème. Puisqu'il ne s'agit que d'un système de formation, tout ce qui nous tient vraiment à cœur, c'est que les clients ne passent pas en mode tombstone.
Sandokan
1
Je suis d'accord avec Ryan ci-dessous, mais si la "build" ne nécessite pas de GPO, etc. pour les amener à l'état dont ils ont besoin pour la formation, vous pouvez également les construire et attendre ensuite de les ajouter au domaine après les vacances d'été lorsque vous les redémarrez.
TheCleaner

Réponses:

21

Tout ira bien.

Voici un petit texte de présentation de Sean Ivey de Microsoft; un gars assez intelligent:

Ok, tant que nous parlons de membres de domaine, et non de contrôleurs de domaine, ils peuvent être désactivés à toutes fins pratiques sans problème. Lorsque vous les réactivez enfin, le nettoyeur de netlogon s'exécute, contacte un contrôleur de domaine et réinitialise le mot de passe du compte d'ordinateur.

La chose importante à retenir est qu'une réinitialisation du mot de passe du compte d'ordinateur est pilotée par le CLIENT, pas par le contrôleur de domaine. Donc, tant que le client n'essaye pas de changer son mot de passe, le mot de passe ne sera pas modifié.

Jetez un œil à ce lien lorsque vous en aurez l'occasion. J'ai retiré les parties pertinentes:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Les mots de passe de compte d'ordinateur en tant que tels n'expirent pas dans Active Directory. Ils sont exemptés de la stratégie de mot de passe du domaine. Il est important de se rappeler que les modifications du mot de passe du compte d'ordinateur sont effectuées par le CLIENT (ordinateur) et non par AD. Tant que personne n'a désactivé ou supprimé le compte d'ordinateur, ni essayé d'ajouter un ordinateur portant le même nom au domaine, (ou autre action destructrice), l'ordinateur continuera de fonctionner, peu importe le temps écoulé depuis le lancement et la modification du mot de passe de son compte d'ordinateur.

Donc, si un ordinateur est éteint pendant trois mois, rien n'expire. Lorsque l'ordinateur démarre, il remarquera que son mot de passe date de plus de 30 jours et lancera une action pour le modifier. Le service Netlogon sur l'ordinateur client est responsable de cette opération. Ceci n'est applicable que si la machine est éteinte pendant si longtemps.

Avant de définir le nouveau mot de passe localement, nous nous assurons que nous avons un canal sécurisé valide vers le contrôleur de domaine. Si le client n'a jamais pu se connecter au contrôleur de domaine (où il n'y a jamais rien avant l'heure de la tentative - le temps de rafraîchir le canal sécurisé), alors nous ne changerons pas le mot de passe localement.

Les paramètres Netlogon pertinents qui entrent en jeu et nous pouvons penser à changer ici sont:

ScavengeInterval (par défaut 15 minutes), MaximumPasswordAge (par défaut 30 jours) DisablePasswordChange (par défaut désactivé). "

J'espère que ça aide!

Ryan Ries
source
Ce qui signifie que les clients et pas seulement les serveurs relèvent du concept de pierre tombale?
Sandokan
4
Non, vraiment, tout ce dont vous avez besoin, ce sont les contrôleurs de domaine. Les membres du domaine peuvent être désactivés indéfiniment et toujours être ramenés.
Ryan Ries
4
@Sandokan Pas pour les comptes d'ordinateur actifs. Les pierres tombales sont là pour signaler les comptes supprimés à des fins de réplication (afin que l'opération de suppression puisse être répliquée entre les contrôleurs de domaine). Le problème qui se produit après qu'un DC a été éteint plus longtemps que TombstoneLifeTime est qu'il peut ne pas traiter toutes les suppressions qui se sont produites depuis qu'il a été éteint (car les plus anciennes peuvent être élaguées), de sorte que les répliques d'annuaire peuvent devenir hors de -sync. Ce n'est rien dont vous devez vous soucier auprès des clients ou dans le cas où vous mettez en veilleuse l'ensemble du domaine pendant une période de temps prolongée.
le-wabbit
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.