Wie lange kann ein Client in AD heruntergefahren werden?

Wir richten eine Trainingsumgebung ein, die nach den Sommerferien genutzt werden soll. Das Management möchte, dass wir Kunden jetzt vor den Ferien einrichten. Da die Kunden abtransportiert werden sollen, sind sie bis zum Beginn des Trainings offline. Das bedeutet, dass die Kunden ungefähr 15 Wochen lang keinen Kontakt zur AD haben. Da niemand hier sein wird, werden die Server für etwa sechs bis acht Wochen heruntergefahren. Die Tombstone-Lebensdauer beträgt 180 Tage.

Kann dieser Zeitraum von 15 Wochen Probleme für die Kunden verursachen? Sollten wir versuchen, das Management davon zu überzeugen, die Client-Installation auf die Zeit nach dem Urlaub zu verschieben?

Es wird gut.

Hier ist ein kleiner Klappentext von Sean Ivey von Microsoft. ein ziemlich kluger Typ:

Okay, solange es sich um Domänenmitglieder und nicht um Domänencontroller handelt, können sie für alle praktischen Zwecke ohne Probleme auf unbestimmte Zeit ausgeschaltet werden. Wenn Sie sie endlich wieder einschalten, wird der Netlogon-Scavenger ausgeführt, ein Domänencontroller kontaktiert und das Kennwort für das Computerkonto zurückgesetzt.

Beachten Sie, dass das Zurücksetzen des Computerkontokennworts vom KUNDEN und nicht vom Domänencontroller gesteuert wird. Solange der Client nicht versucht, sein Kennwort zu ändern, wird das Kennwort nicht geändert.

Werfen Sie einen Blick auf diesen Link, wenn Sie eine Chance bekommen. Ich habe die relevanten Teile herausgezogen:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx "Computerkontokennwörter als solche laufen in Active Directory nicht ab. Sie sind von der Kennwortrichtlinie der Domäne ausgenommen. Dies ist wichtig Beachten Sie, dass das Ändern des Computerkontokennworts vom KUNDEN (Computer) und nicht vom AD gesteuert wird, solange niemand das Computerkonto deaktiviert oder gelöscht hat oder versucht hat, der Domäne einen Computer mit demselben Namen hinzuzufügen (oder Bei einer anderen destruktiven Aktion arbeitet der Computer weiter, egal wie lange es her ist, seit sein Computerkontokennwort initiiert und geändert wurde.

Wenn also ein Computer drei Monate lang ausgeschaltet bleibt, läuft nichts ab. Wenn der Computer gestartet wird, stellt er fest, dass sein Kennwort älter als 30 Tage ist, und leitet Maßnahmen ein, um es zu ändern. Der Netlogon-Dienst auf dem Clientcomputer ist dafür verantwortlich. Dies gilt nur, wenn die Maschine so lange ausgeschaltet war.

Bevor wir das neue Passwort lokal festlegen, stellen wir sicher, dass wir einen gültigen sicheren Kanal zum DC haben. Wenn der Client nie eine Verbindung zum DC herstellen konnte (wo sich vor dem Versuch nie etwas befand - Zeit zum Aktualisieren des sicheren Kanals), wird das Kennwort nicht lokal geändert.

Die relevanten Netlogon-Parameter, die ins Spiel kommen und über die wir uns Gedanken machen können, sind:

ScavengeInterval (Standard 15 Minuten), MaximumPasswordAge (Standard 30 Tage) DisablePasswordChange (Standard aus). "

Ich hoffe das hilft!