Comment les clients de domaine Windows se comportent-ils si le contrôleur de domaine est hors ligne?

Si j'ai des PC Windows joints à un domaine et que le contrôleur de domaine se déconnecte, à quel type de comportement puis-je m'attendre sur les clients (en supposant qu'il n'y ait pas de deuxième contrôleur de domaine?)

• Les utilisateurs pourront-ils se connecter? Ou peut-être une meilleure question, comment la fonctionnalité de connexion change-t-elle, le cas échéant?

• De toute évidence, les partages de fichiers sur le contrôleur de domaine ne fonctionneront pas, mais qu'en est-il des partages entre les clients, ou entre eux et un serveur membre?

• Une fois le contrôleur de domaine récupéré, les clients doivent-ils redémarrer, se déconnecter / se connecter? Y a-t-il des conséquences à long terme à être déconnecté du DC?

En fin de compte, je suis intéressé par les plaintes que je dois attendre des utilisateurs si le contrôleur de domaine est hors ligne . N'hésitez pas à mentionner toute autre information importante que je n'ai pas couverte.

Il se passera pas mal de choses sans DC disponible:

• Si le contrôleur de domaine est le seul serveur DNS, la première plainte que vous obtiendrez est que l'Internet est cassé, car les clients n'ont pas de DNS.

• Étant donné que les contrôleurs de domaine exécutent généralement également DHCP, les ordinateurs ne pourront pas du tout se connecter au réseau. Les ordinateurs déjà connectés continueront de fonctionner pendant un certain temps.

• Les partages de fichiers auxquels ils sont déjà connectés fonctionneront correctement pendant un certain temps (quelques heures probablement), jusqu'à l'expiration de leur session. Lorsque le serveur de fichiers va valider ses informations d'identification, il ne pourra pas parler au contrôleur de domaine et ne laissera plus personne se connecter.

• Tout ce qui repose sur l'authentification Active Directory (comme les sites IIS ou les serveurs VPN, etc.) ne permettra pas aux gens de se connecter. Selon la configuration, il peut immédiatement lancer des personnes ou conserver les sessions existantes et ne pas en autoriser de nouvelles.

• Pour les ordinateurs eux-mêmes, les personnes qui ont récemment utilisé l'ordinateur pourront toujours se connecter. Les personnes qui n'ont pas utilisé la machine auparavant ou qui l'ont utilisée il y a longtemps n'auront pas de mots de passe mis en cache, ils ne pourront donc pas se connecter jusqu'à ce que la connexion au contrôleur de domaine soit rétablie.

• La déconnexion du contrôleur de domaine a des conséquences à long terme - à terme, personne ne pourra se connecter avec un compte de domaine, car les mots de passe mis en cache auront tous expiré. Si vous ne parvenez pas à vous reconnecter au contrôleur de domaine et si aucun compte local n'est activé, vous pouvez vous retrouver dans une situation où vous devez utiliser des utilitaires comme NTPasswd pour activer le compte d'administrateur local.

La meilleure pratique pour les contrôleurs de domaine est d'en avoir au moins deux. Tant dans un réseau Windows repose sur Active Directory que vous avez besoin de la redondance. Pour une petite organisation, il peut partager des rôles avec des serveurs de fichiers, mais évitez qu'un contrôleur de domaine partage un serveur avec des choses comme sharepoint et exchange (cela rend leur restauration et leur mise à niveau très difficiles à faire correctement)

Avec deux contrôleurs de domaine, si l'un meurt, vous pouvez simplement réinstaller le serveur Windows, le configurer en tant que nouveau contrôleur de domaine dans un domaine existant, et c'est parti. Aucun temps d'arrêt du tout. Avec un seul contrôleur de domaine, la restauration peut être délicate. Et pendant que vous restaurez, vous avez des gens contrariés de ne pouvoir rien faire.

Dépend de la durée. Une fois que vous supprimez un service du réseau, les choses ne sont plus fiables mais peuvent ne pas se rompre. Si vous souhaitez simplement redémarrer un contrôleur de domaine, l'authentification / autorisation ne doit pas vraiment être interrompue. Les gens se connecteront avec des informations d'identification mises en cache, les boîtes qui communiquent déjà continueront de le faire avec leurs tickets Kerberos existants, etc.

Ainsi, les gens peuvent se connecter à leur PC avec des comptes mis en cache. Ils ne peuvent pas changer les mots de passe, etc.

Pendant une courte période (des heures mais pas des jours) alors qu'ils devraient tous pouvoir accéder aux partages de fichiers non pas sur le contrôleur de domaine également, mais finalement cela cessera de fonctionner.

Les choses devraient récupérer automatiquement une fois que le DC est de retour.

Il y a cependant une grosse mise en garde ici. Si vous utilisez votre contrôleur de domaine pour DNS dès qu'il se déconnecte, la plupart des éléments cesseront de fonctionner car les clients ne pourront pas trouver leurs serveurs. Même les choses qui ne dépendent pas d'AD dépendent de la résolution de noms.

La meilleure chose à faire est de construire un 2ème DC avec DNS de sauvegarde afin que les clients puissent basculer. La partie AD se produira automatiquement, la partie DNS que vous devrez configurer sur les clients en tant que serveur DNS secondaire soit sur le client ou via DHCP, etc.