Berapa lama klien dapat dimatikan dalam AD?

12

Kami menyiapkan lingkungan pelatihan untuk digunakan setelah liburan musim panas. Manajemen ingin kami menyiapkan klien sekarang sebelum liburan. Karena klien akan dikirim pergi, mereka akan keluar jalur sampai pelatihan dimulai. Itu berarti bahwa klien akan tidak terhubung dengan AD selama sekitar 15 minggu. Juga, karena tidak ada orang di sini, server akan dimatikan sekitar enam hingga delapan minggu. Masa hidup batu nisan diatur ke 180 hari.

Bisakah periode 15 minggu ini menimbulkan masalah bagi klien? Haruskah kita mencoba membujuk manajemen untuk menunda instalasi klien sampai setelah liburan?

windows-server-2003  active-directory  windows-xp 
Sandokan
sumber
1
Berapa lama waktu yang Anda butuhkan untuk setup? Apakah Anda khawatir tentang tambalan / pembaruan / pembaruan av / etc. selama jendela itu?
TheCleaner
Tambalan dan semacamnya bukan masalah. Karena ini hanya sistem pelatihan, yang benar-benar kami pedulikan adalah bahwa klien tidak masuk ke semacam mode batu nisan.
Sandokan
1
Saya setuju dengan Ryan di bawah ini, tetapi jika "membangun" tidak memerlukan GPO, dll. Untuk membawanya ke negara yang mereka butuhkan untuk pelatihan, Anda juga dapat membangunnya dan kemudian menunggu untuk menambahkannya ke domain sampai setelah liburan musim panas ketika Anda boot kembali.
TheCleaner

Jawaban:

21

Itu akan baik-baik saja.

Berikut sedikit uraian dari Sean Ivey dari Microsoft; pria yang cukup pintar:

Ok, selama kita berbicara tentang anggota domain, dan bukan pengontrol domain maka untuk semua tujuan praktis mereka dapat dimatikan tanpa batas tanpa masalah. Ketika Anda akhirnya menyalakannya kembali, pemulung netlogon akan berjalan, hubungi pengontrol domain, dan setel ulang kata sandi untuk akun komputer.

Yang penting untuk diingat adalah bahwa reset kata sandi akun komputer didorong oleh KLIEN, bukan pengontrol domain. Jadi, selama klien tidak mencoba mengubah kata sandinya, maka kata sandi tidak akan diubah.

Lihatlah tautan ini saat Anda mendapat kesempatan. Saya telah mengeluarkan bagian yang relevan:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Kata sandi akun mesin tidak kedaluwarsa dalam Direktori Aktif. Kata sandi tersebut dibebaskan dari kebijakan kata sandi domain. Penting untuk mengingat bahwa perubahan kata sandi akun mesin didorong oleh KLIEN (komputer), dan bukan AD. Selama tidak ada yang menonaktifkan atau menghapus akun komputer, atau mencoba menambahkan komputer dengan nama yang sama ke domain, (atau beberapa tindakan destruktif lainnya), komputer akan terus bekerja tidak peduli berapa lama sejak kata sandi akun mesin dimulai dan diubah.

Jadi jika komputer dimatikan selama tiga bulan tidak ada yang kedaluwarsa. Ketika komputer dinyalakan, ia akan melihat bahwa kata sandinya lebih tua dari 30 hari dan akan melakukan tindakan untuk mengubahnya. Layanan Netlogon di komputer klien bertanggung jawab untuk melakukan ini. Ini hanya berlaku jika mesin dimatikan untuk waktu yang lama.

Sebelum kami menetapkan kata sandi baru secara lokal, kami memastikan kami memiliki saluran aman yang valid ke DC. Jika klien tidak pernah dapat terhubung ke DC (di mana tidak ada apa pun sebelum waktu upaya - waktu untuk menyegarkan saluran aman), maka kami tidak akan mengubah kata sandi secara lokal.

Parameter Netlogon yang relevan yang ikut bermain dan kita dapat pikirkan tentang perubahan di sini adalah:

ScavengeInterval (default 15 menit), MaximumPasswordAge (default 30 hari) DisablePasswordChange (default off). "

Saya harap ini membantu!

Ryan Ries
sumber
Yang berarti bahwa klien dan bukan hanya server yang berada di bawah konsep batu nisan?
Sandokan
4
Tidak, sungguh, yang perlu Anda khawatirkan adalah pengontrol domain. Anggota domain dapat dimatikan tanpa batas waktu dan masih dapat dikembalikan.
Ryan Ries
4
@Sandokan Bukan untuk akun mesin aktif. Batu nisan ada di sana untuk menandai akun yang dihapus demi replikasi (sehingga operasi penghapusan dapat direplikasi di antara DC). Masalah yang terjadi setelah DC dimatikan lebih lama dari TombstoneLifeTime adalah bahwa ia mungkin tidak memproses semua penghapusan yang telah terjadi sejak dimatikan (karena yang lebih tua mungkin dipangkas), sehingga replika direktori mungkin menjadi keluar dari -sync. Ini bukan hal yang perlu Anda khawatirkan dengan klien atau dalam kasus di mana Anda melakukan mothball seluruh domain untuk jangka waktu yang lama.
the-wabbit
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.