도메인 컨트롤러가 오프라인 인 경우 Windows 도메인 클라이언트는 어떻게 작동합니까?

9

도메인에 가입 한 Windows PC가 있고 도메인 컨트롤러가 오프라인 상태가되면 클라이언트에서 어떤 종류의 동작을 기대할 수 있습니까 (두 번째 DC가 없다고 가정)?

  • 사용자가 로그온 할 수 있습니까? 아니면 더 좋은 질문은 로그인 기능이 어떻게 바뀌는가?

  • DC의 파일 공유는 작동하지 않지만 클라이언트 간 또는 서버와 구성원 서버 간의 공유는 어떻습니까?

  • DC가 복구되면 클라이언트를 다시 시작해야합니까, 로그 오프 / 로그인해야합니까? DC와의 연결이 끊어지면 장기적인 결과가 있습니까?

궁극적으로 DC가 오프라인 상태 인 경우 사용자로부터 어떤 불만을 접수해야하는지 관심 있습니다. 내가 다루지 않은 다른 중요한 정보는 언제든지 언급하십시오.

active-directory  domain  domain-controller 
로그온 서버가 자동으로 변경되는지 확실하지 않습니다. 그렇지 않으면 strong text set logonserver = \\ workingDC strong text 명령을 실행하여 수동으로 설정해야 합니다. 컴퓨터의 로그온 서버가 자동으로 작동하는 경우 어떤 동작인지 확실하지 않습니다.
janus

답변:

15

DC를 사용할 수없는 경우 몇 가지 일이 발생합니다.

  • 도메인 컨트롤러가 유일한 DNS 서버 인 경우 클라이언트에 DNS가 없기 때문에 가장 먼저 인터넷에 문제가 생겼다는 점입니다.

  • DC는 일반적으로 DHCP도 실행하기 때문에 컴퓨터는 네트워크에 전혀 연결할 수 없습니다. 이미 연결된 컴퓨터는 잠시 동안 계속 작동합니다.

  • 이미 연결된 파일 공유는 세션이 만료 될 때까지 잠시 동안 (몇 시간 정도) 정상적으로 작동합니다. 파일 서버가 자격 증명의 유효성을 검사하면 DC와 통신 할 수 없으며 더 이상 누구와도 연결할 수 없습니다.

  • IIS 사이트 나 VPN 서버 등과 같은 활성 디렉토리 인증을 사용하는 다른 사용자는 로그인 할 수 없습니다. 설정에 따라 즉시 사람들을 시작하거나 기존 세션을 유지하고 새로운 세션을 허용하지 않을 수 있습니다.

  • 컴퓨터 자체의 경우 컴퓨터를 최근에 사용한 사용자는 여전히 로그인 할 수 있습니다. 이전에 컴퓨터를 사용하지 않았거나 오래 전에 사용했던 사람들은 캐시 된 비밀번호를 가지고 있지 않으므로 DC에 대한 연결이 복원 될 때까지 로그인 할 수 없습니다.

  • DC와의 연결이 끊어지면 장기적인 결과가 발생합니다. 캐시 된 비밀번호가 모두 만료되기 때문에 아무도 도메인 계정으로 로그인 할 수 없습니다. DC에 다시 연결할 수없고 로컬 계정이 활성화되어 있지 않으면 NTPasswd와 같은 유틸리티를 사용하여 로컬 관리자 계정을 활성화해야하는 상황이 발생할 수 있습니다.

도메인 컨트롤러의 모범 사례는 최소 두 개 이상있는 것입니다. Windows 네트워크의 많은 부분이 중복이 필요한 활성 디렉토리에 의존합니다. 소규모 조직의 경우 파일 서버와 역할을 공유 할 수 있지만 도메인 컨트롤러가 공유 지점 및 교환과 같은 서버를 공유하지 않도록하십시오 (복원 및 업그레이드를 수행하는 것이 매우 까다로워집니다)

두 개의 도메인 컨트롤러를 사용하면 하나가 죽으면 Windows 서버를 다시 설치하고 기존 도메인에서 새 도메인 컨트롤러로 설정하면됩니다. 가동 중지 시간이 전혀 없습니다. 단일 도메인 컨트롤러를 사용하면 복원이 까다로울 수 있습니다. 그리고 당신이 회복하는 동안, 사람들은 아무것도 할 수 없다는 것을 화나게합니다.

부여
소스
도메인 컨트롤러에서 DHCP를 실행하는 경우 HA에 대해 DHCP를 설정하지 않으면 다운 타임이 발생할 수 있습니다.
ETL
@ETL Windows 서버의 DHCP 서비스는 고 가용성을 위해 매우 쉽게 설정할 수 있습니다.
Grant
5

기간에 따라 다릅니다. 네트워크에서 서비스를 제거한 후에는 신뢰할 수 없지만 중단되지 않을 수 있습니다. DC를 재부팅하려는 경우 인증 / 권한이 실제로 중단되지 않아야합니다. 사람들은 캐시 된 자격 증명으로 로그인하고 이미 통신중인 상자는 기존 Kerberos 티켓 등으로 계속 로그인합니다.

따라서 사람들은 캐시 된 계정으로 PC에 로그인 할 수 있습니다. 비밀번호 등을 변경할 수 없습니다.

짧은 시간 동안 (시간이 아닌 며칠 동안) 모두 DC가 아닌 파일 공유에 액세스 할 수 있어야하지만 결국에는 작동이 중지됩니다.

DC가 백업되면 상황이 자동으로 복구됩니다.

그러나 여기에는 큰 경고가 있습니다. DNS가 오프라인 상태가 되 자마자 DNS에 DC를 사용하는 경우 클라이언트가 서버를 찾을 수 없기 때문에 대부분의 작업이 중지됩니다. AD에 의존하지 않는 것조차도 이름 확인에 의존합니다.

가장 좋은 방법은 백업 DNS가있는 2 차 DC를 구축하여 클라이언트가 페일 오버 할 수 있도록하는 것입니다. AD 부분은 자동으로 발생하며, 클라이언트에서 또는 DHCP 등을 통해 2 차 DNS 서버로 클라이언트에서 구성해야하는 DNS 부분입니다.

피들러 윈
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.