Дело вот в чем. Если нет соединения с контроллером домена, но при этом пользователь ранее выполнял вход на рабочую станцию, присоединенную к домену, то он сможет выполнить вход, т.н. кешированный вход (cached logon).
В принципе, имея TGS-билеты, т.е. успешно доступившись до ресурсов на сервере, клиент сможет доступаться до ресурсов таких серверов некоторое время (по умолчанию - десять часов ). Тут главное, чтобы клиент аутентифицировался Kerberos'ом, а не NTLM.
В общем, даже если увеличить время жизни TGS до максимума (кажется, максимум - 7 суток) и количество разрешенных кешированных входов "CachedLogonsCount", то это может отложить момент повторной аутентификации, но, как показывает практика, не так надолго, как хотелось бы пользователям. :)
Дмитрий, насколько я понимаю, если пользователь перезагрузит клиентский компьютер, а контроллер домена будет недоступен - то TGS-билетов он не получит.
Связь с регионами бывает относительно плохой - максимальный простой до 48 часов, хотя в реальной жизни до 2-3 часов гораздо чаще.
Проблема в том, что доступ к файловому серверу (расположенному в самом регионе) клиентам регионов нужен круглосучно в режиме 24/7/365, и это очень критично. Соответственно, доступ к файловому серверу не должен прерываться в случае пропадания связи.
MCP
