Katastrophenszenarien bei Active Directory

Ausfall eines Domänencontrollers

Wenn ein Domänencontroller ausfällt, merkt dies der Kerberos-Dienst auf den Clients, wenn die lokal gecachten Kerberos-Tickets ablaufen und der Kerberos-Dienst versucht, sie zu erneuern. Sobald der Client merkt, dass sein Anmeldeserver nicht antwortet, fragt er DNS nach anderen Domänencontrollern und benutzt einen von ihnen für die erneute Authentifizierung. Der Benutzer merkt nichts davon.

Falls der ausgefallene Domänencontroller (DC) der einzige Controller am Standort war, müssen sich die Clients über WAN neu authentifizieren. Das verlangsamt die Authentifizierung je nach Geschwindigkeit der Anbindung. Während der lokale DC nicht verfügbar ist, dauern LDAP-Anfragen wie eine Suche nach Druckern oder die Verwendung von Outlook in einer Exchange 2000-Umgebung wegen der WAN-Leitungslatenz länger.

Sollten keine anderen DCs zur Reauthentifizierung zur Verfügung stehen, verfallen irgendwann die Kerberos-Tickets des Clients, und er verliert die Verbindung zu Mitgliedsservern. Wenn sich die Clients abmelden, können sie sich mit gecachten Anmeldedaten wieder anmelden, doch die gecachten Anmeldedaten erlauben keinen Zugriff auf Mitgliedsserver.

Merken Sie sich also, dass eine unterbrochene WAN-Leitung den Zugriff auf lokale Windows-Server beendet, falls es keine lokalen Domänencontroller gibt. Sie könnten eine Ersatz-WAN-Anbindung einrichten, beispielsweise eine ISDN-Leitung, die nur anspringt, wenn die Hauptanbindung unterbrochen ist. Alternativ können Sie einen lokalen Domänencontroller installieren. Der muss dann, wie wir im nächsten Abschnitt sehen werden, entweder ein GC-Server oder aber so konfiguriert sein, dass er Global Catalog Einträge cacht.