Comment les clients de domaine Windows se comportent-ils si le contrôleur de domaine est hors ligne?
Si j'ai des PC Windows joints à un domaine et que le contrôleur de domaine se déconnecte, à quel type de comportement puis-je m'attendre sur les clients (en supposant qu'il n'y ait pas de deuxième contrôleur de domaine?)
Les utilisateurs pourront-ils se connecter? Ou peut-être une meilleure question, comment la fonctionnalité de connexion change-t-elle, le cas échéant?
Évidemment, les partages de fichiers sur le DC ne fonctionneront pas, mais qu'en est-il des partages entre les clients, ou entre eux et un serveur membre?
Une fois le DC récupéré, les clients doivent-ils redémarrer, se déconnecter/se connecter? Y a-t-il des conséquences à long terme à être déconnecté du DC?
En fin de compte, je suis intéressé par quelles plaintes je dois m'attendre à recevoir des utilisateurs si le DC est hors ligne. N'hésitez pas à mentionner toute autre information importante que je n'ai pas couvert.
Beaucoup de choses se produiront sans DC disponible:
Si le contrôleur de domaine est le seul serveur DNS, la première plainte que vous obtiendrez est que l'Internet est cassé, car les clients n'ont pas de DNS.
Étant donné que les contrôleurs de domaine exécutent généralement DHCP, les ordinateurs ne pourront pas du tout se connecter au réseau. Les ordinateurs déjà connectés continueront de fonctionner pendant un certain temps.
Les partages de fichiers auxquels ils sont déjà connectés fonctionneront correctement pendant un certain temps (quelques heures probablement), jusqu'à l'expiration de leur session. Lorsque le serveur de fichiers va valider ses informations d'identification, il ne pourra pas parler au contrôleur de domaine et ne laissera plus personne se connecter.
Tout ce qui s'appuie sur l'authentification Active Directory (comme IIS, ou serveurs VPN, etc.) ne permet pas aux utilisateurs de se connecter. Selon la configuration, il peut immédiatement lancer des contacts ou conserver sessions existantes et ne pas en autoriser de nouvelles.
Pour les ordinateurs eux-mêmes, les personnes qui ont récemment utilisé l'ordinateur pourront toujours se connecter. Les personnes qui n'ont pas utilisé la machine auparavant ou qui l'ont utilisé il y a longtemps n'auront pas de mots de passe mis en cache, ils ne pourront donc pas se connecter tant que la connexion au DC est restauré.
Il y a des conséquences à long terme à être déconnecté du DC - finalement, personne ne pourra se connecter avec un compte de domaine, car les mots de passe mis en cache auront tous expiré. Si vous ne parvenez pas à vous reconnecter au DC et si aucun compte local n'est activé, vous pouvez vous retrouver dans une situation où vous devez utiliser des utilitaires comme NTPasswd pour activer le compte administrateur local.
La meilleure pratique pour les contrôleurs de domaine est d'en avoir au moins deux. Tant dans un réseau Windows repose sur Active Directory que vous avez besoin de la redondance. Pour une petite organisation, il peut partager des rôles avec des serveurs de fichiers, mais évitez qu'un contrôleur de domaine partage un serveur avec des choses comme sharepoint et exchange (cela rend leur restauration et leur mise à niveau très difficiles à faire correctement)
Avec deux contrôleurs de domaine, si l'un meurt, vous pouvez simplement réinstaller le serveur Windows, le configurer comme nouveau contrôleur de domaine dans un domaine existant, et c'est parti. Aucun temps d'arrêt du tout. Avec un seul contrôleur de domaine, la restauration peut être délicate. Et pendant que vous restaurez, vous avez des gens contrariés de ne pouvoir rien faire.
Dépend de la durée. Une fois que vous supprimez un service du réseau, les choses deviennent peu fiables mais ne peuvent pas se casser. Si vous voulez simplement redémarrer un DC alors l'authentification/autorisation ne devrait pas vraiment être interrompue. Les gens se connecteront avec des informations d'identification mises en cache, les boîtes qui communiquent déjà continueront de le faire avec leurs tickets Kerberos existants, etc. .
Ainsi, les gens peuvent se connecter à leur PC avec des comptes mis en cache. Ils ne peuvent pas changer les mots de passe, etc.
Pendant une courte période (des heures mais pas des jours) alors qu'ils devraient tous pouvoir accéder aux partages de fichiers non pas sur le DC également, mais finalement cela cessera de fonctionner.
Les choses devraient récupérer automatiquement une fois que le DC est de retour.
Il y a cependant une grosse mise en garde ici. Si vous utilisez votre DC pour DNS dès qu'il se déconnecte, la plupart des choses cesseront de fonctionner car les clients ne pourront pas trouver leurs serveurs. Même les choses qui ne dépendent pas d'AD dépendent de la résolution de noms .
La meilleure chose à faire est de créer un 2ème DC avec DNS de sauvegarde dessus pour que les clients puissent basculer. La partie AD se produira automatiquement, la partie DNS que vous devrez configurer sur les clients en tant que Serveur DNS secondaire sur le client ou via DHCP, etc.