如果DC离线，Windows域客户端的行为如何？

在没有DC可用的情况下，会发生很多事情：

• 如果域控制器是唯一的DNS服务器，您将得到的第一个投诉是互联网被打破，因为客户端没有DNS。

• 由于DC通常也运行DHCP，因此计算机根本无法连接到networking。 已连接的计算机将继续工作一段时间。

• 他们已经连接到的文件共享将会很好地工作一段时间（可能几个小时），直到他们的会话过期。 当文件服务器去validation他们的凭证，它将无法与DC通话，并且不会让任何人连接。

• 任何依赖于活动目录身份validation（如IIS站点，或VPN服务器等）不会让别人login。 根据设置，它可能立即踢人，或者可能保留现有的会议，而不是允许新的。

• 对于电脑本身，最近使用电脑的人仍然可以login。 以前没有使用机器或者很久以前使用过的用户将没有任何caching的密码，所以直到与DC的连接恢复后才能login。

• 从DC上断开会有长期的后果 – 最终没有人能够使用域帐户login，因为caching的密码将全部过期。 如果您无法重新连接到DC，并且没有启用任何本地帐户，则最终可能需要使用像NTPasswd这样的实用程序来启用本地pipe理员帐户。

域控制器的最佳做法是至less有两个如果他们。 如此多的Windowsnetworking依赖于活动目录，您需要冗余。 对于一个规模较小的组织来说，它可以与文件服务器共享angular色，尽pipe避免让一个域控制器与共享点和交换共享一个服务器（这使得恢复和升级非常棘手，

有两个域控制器，如果一个死了，你可以重新安装Windows服务器，将其设置为一个新的域控制器在现有的域名，并离开你去。 没有停机时间。 使用单个域控制器恢复可能会非常棘手。 当你恢复的时候，你会让人不安，他们什么都做不了。

取决于持续时间。 一旦从networking中删除了一项服务，情况就变得不可靠，但不会中断。 如果你只是想重启一个DC，那么authentication/授权不应该被中断。 人们将使用caching的凭据login，已经通信的方框将继续使用现有的Kerberos票据等。

所以人们可以使用caching帐户login到他们的电脑。 他们不能更改密码等

对于一个简短的（几小时但不是几天），他们应该都能够访问不在DC的文件共享，但最终会停止工作。

一旦DC恢复，事情应该会自动恢复。

这里有一个很大的警告。 如果一旦脱机使用DC，DNS就会停止工作，因为客户端将无法find他们的服务器。 即使不依赖于AD的东西依赖于名称parsing。

最好的办法是build立一个备份DNS的第二个DC，以便客户端可以故障切换。 AD部分将自动发生，您需要在客户端上configurationDNS部分作为客户端上的二级DNS服务器或通过DHCP等。