none
Caida o apagado de Domain Controller (W2012 R2), impacto en los clientes RRS feed

  • Pregunta

  • Hola a todos!

    Primero, gracias por responder estupendamente a mi anterior consulta.

    Desaría haceros una nueva cuestión; en nuestra organización el Active Directory (sobre Win2012 R2) está soportado por dos DC's. No tenemos servicio de mail establecido, sólo GPO's relativas a recursos compartidos (con Drive Map para recursos dentro de nuestro dominio, y con scripts para acceder a recursos de otro dominio con el que no hay relación de confianza).

    Nos surge la duda de, en el caso hipotético e improbable (sería difícil, pero...) de caída o apagado de ambos Controladores de Dominio.... cuál sería el impacto en los clientes?

    Entendiendo que son clientes que están desde hace tiempo logoneados en el dominio y con las políticas aplicadas, y que el apagado/caída de los DC's ha sucedido de manera no controlada y durante la producción normal;

    - ¿Se podrían seguir logoneando en el dominio los clientes?

    - ¿Se aplicarían las políticas de máquina y usuario?

    - (lo más importante) ¿Se mantendría el acceso a los recursos compartidos? ¿Y si se reinicia el equipo?

    - Por último, cuando se recuperara ó volviera a estar online un DC, ¿sería necesario reiniciar los clientes?

    Nos preocupan bastante éstas cuestiones, dado que en nuestra organización las máquinas son de alta disponibilidad, y sería muy complicado tener que hacer reinicios no planificados de las mismas, o perder el acceso a recursos compartidos.

    Muchas gracias por anticipado,

    Un Enorme Saludo





    • Editado RamorayB lunes, 1 de agosto de 2016 13:18
    lunes, 1 de agosto de 2016 13:12

Respuestas

  • Hola RamorayB, sin ningún Controlador de Dominio al que los clientes puedan acceder la situación se complica

    Si un usuario ya ha iniciado sesión interactiva (desde teclado) en un equipo podrá seguir haciéndolo normalmente, porque tiene "credenciales cacheadas" en su perfil. Las GPOs se seguirán aplicando porque tiene copia localmente

    Lo que no va a poder es acceder a recursos compartidos si tiene que requerir un nuevo "Kerberos Ticket"

    Si el cliente ya está conectado, o tiene un "Kerberos Ticket" válido podrá acceder, pero no puede solicitar nuevos porque no hay Controlador de Dominio

    Teniendo dos Controladores de Dominio la posibilidad de que ambos estén fuera de línea es poca, pero como dices, no es imposible

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta RamorayB lunes, 1 de agosto de 2016 14:39
    lunes, 1 de agosto de 2016 14:06
    Moderador
  • Funcionará todo normalmente en local. Cuando se tenga que conectar a algún compartido no podrá solicitar "Kerberos Ticket" y por lo tanto no podrá autenticarse

    Si cuando todo vuelva a la normalidad no va a ser necesario reiniciar, puede ser, pero puede llevar tiempo, por ejemplo los clientes a partir de W7 revisan por nuevos DCs cada 30 minutos (según documentado)

    También entra a jugar una respuesta negativa de DNS que por omisión es "cacheada" por 5 minutos, aunque eso se puede borrar desde un CMD como administrador

    Yo pienso que si faltan todos los Controladores de Dominio del Dominio, va a haber una interrupción de servicio, aunque todo depende del tiempo que dure, y de lo que tenga que hacer el usuario

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Miguel Torres C lunes, 1 de agosto de 2016 16:28
    • Marcado como respuesta RamorayB martes, 2 de agosto de 2016 12:57
    lunes, 1 de agosto de 2016 16:22
    Moderador

Todas las respuestas

  • Hola RamorayB, sin ningún Controlador de Dominio al que los clientes puedan acceder la situación se complica

    Si un usuario ya ha iniciado sesión interactiva (desde teclado) en un equipo podrá seguir haciéndolo normalmente, porque tiene "credenciales cacheadas" en su perfil. Las GPOs se seguirán aplicando porque tiene copia localmente

    Lo que no va a poder es acceder a recursos compartidos si tiene que requerir un nuevo "Kerberos Ticket"

    Si el cliente ya está conectado, o tiene un "Kerberos Ticket" válido podrá acceder, pero no puede solicitar nuevos porque no hay Controlador de Dominio

    Teniendo dos Controladores de Dominio la posibilidad de que ambos estén fuera de línea es poca, pero como dices, no es imposible

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta RamorayB lunes, 1 de agosto de 2016 14:39
    lunes, 1 de agosto de 2016 14:06
    Moderador
  • Muchas gracias de nuevo, Guillermo.

    Entiendo entonces por tu respuesta, que los clientes que ya estén funcionando con normalidad no notarán el impacto del apagado de los DCs, pero sí tendrá problemas con los recursos compartidos un cliente que reinicie ó que se intente logar en ése momento en el dominio.

    Cuando vuelva a estar online algún DC, ¿los clientes que ya estaban trabajando con normalidad notarán algo? Es decir, ¿será necesario algún tipo de reinicio de los mismos para seguir trabajando con normalidad, ó por el contrario no habría ningún problema?

    Gracias de nuevo por anticipado y por la paciencia.

    Un gran saludo


    • Editado RamorayB lunes, 1 de agosto de 2016 14:43
    lunes, 1 de agosto de 2016 14:43
  • Funcionará todo normalmente en local. Cuando se tenga que conectar a algún compartido no podrá solicitar "Kerberos Ticket" y por lo tanto no podrá autenticarse

    Si cuando todo vuelva a la normalidad no va a ser necesario reiniciar, puede ser, pero puede llevar tiempo, por ejemplo los clientes a partir de W7 revisan por nuevos DCs cada 30 minutos (según documentado)

    También entra a jugar una respuesta negativa de DNS que por omisión es "cacheada" por 5 minutos, aunque eso se puede borrar desde un CMD como administrador

    Yo pienso que si faltan todos los Controladores de Dominio del Dominio, va a haber una interrupción de servicio, aunque todo depende del tiempo que dure, y de lo que tenga que hacer el usuario

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Miguel Torres C lunes, 1 de agosto de 2016 16:28
    • Marcado como respuesta RamorayB martes, 2 de agosto de 2016 12:57
    lunes, 1 de agosto de 2016 16:22
    Moderador
  • Muchas gracias Guillermo, de nuevo! La información me es de mucha utilidad.

    Un gran Saludo!

    martes, 2 de agosto de 2016 12:58