Jak długo klient może być wyłączony w AD?

Przygotowujemy środowisko szkoleniowe, z którego można korzystać po wakacjach. Kierownictwo chce, abyśmy ustawili klientów teraz przed wakacjami. Ponieważ klienci mają zostać wysłani, pozostaną w trybie offline do momentu rozpoczęcia szkolenia. Oznacza to, że klienci nie będą mieli kontaktu z AD przez około 15 tygodni. Ponadto, ponieważ nikogo tu nie będzie, serwery zostaną wyłączone na około sześć do ośmiu tygodni. Żywotność nagrobka wynosi 180 dni.

Czy ten 15-tygodniowy okres może generować problemy dla klientów? Czy powinniśmy starać się przekonać kierownictwo do odłożenia instalacji klienta na czas po wakacjach?

Będzie dobrze.

Oto mała notka od Seana Ivey'a z Microsoftu; całkiem sprytny facet:

Ok, o ile mówimy o członkach domeny, a nie kontrolerach domen, to dla wszystkich praktycznych celów można je bez problemu wyłączyć na czas nieokreślony. Gdy w końcu je włączysz, zmiatacz netlogon uruchomi się, skontaktuje się z kontrolerem domeny i zresetuje hasło do konta komputera.

Należy pamiętać, że reset hasła do konta komputera jest przeprowadzany przez KLIENTA, a nie przez kontroler domeny. Tak więc, dopóki klient nie będzie próbował zmienić swojego hasła, hasło nie zostanie zmienione.

Spójrz na ten link, kiedy masz szansę. Wyciągnąłem odpowiednie części:

http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx „Hasła do kont maszynowych jako takie nie wygasają w usłudze Active Directory. Są one wyłączone z zasad dotyczących haseł domeny. Jest to ważne aby pamiętać, że zmiany hasła do konta komputera są kierowane przez KLIENTA (komputer), a nie AD. Tak długo, jak nikt nie wyłączył lub nie usunął konta komputera, ani nie próbował dodać komputera o tej samej nazwie do domeny (lub inne niszczycielskie działanie), komputer będzie działał bez względu na to, ile czasu upłynęło od momentu zainicjowania i zmiany hasła konta komputera.

Więc jeśli komputer jest wyłączony na trzy miesiące, nic nie wygasa. Gdy komputer uruchomi się, zauważy, że jego hasło jest starsze niż 30 dni i podejmie działania, aby je zmienić. Za to odpowiada usługa Netlogon na komputerze klienckim. Ma to zastosowanie tylko wtedy, gdy urządzenie jest wyłączone na tak długi czas.

Zanim lokalnie ustawimy nowe hasło, upewniamy się, że mamy prawidłowy bezpieczny kanał do DC. Jeśli klient nigdy nie był w stanie połączyć się z DC (gdzie nigdy nie ma nic przed próbą - czas na odświeżenie bezpiecznego kanału), to nie zmienimy hasła lokalnie.

Odpowiednie parametry Netlogon, które wchodzą w grę i możemy pomyśleć o zmianie tutaj:

ScavengeInterval (domyślnie 15 minut), MaximumPasswordAge (domyślnie 30 dni) DisablePasswordChange (domyślnie wyłączone). „

Mam nadzieję, że to pomoże!