当主域控制器和辅助DC之间的VPN隧道失败时，会发生什么？

Question

当VPN隧道在主域控制器和辅助域控制器之间长时间发生故障时，我有点不清楚会发生什么。这里是我们环境的基本情况。在我们的主要位置，我们最近移出面向客户的站点的DC1和DataBase ( DB是AD上唯一的服务器，其余的是DMZ)转移到一个数据中心，并站起来DC5 (我们在不同的位置有其他的域控制器)，我们在这两个位置之间有一个VPN隧道。据我所知，对于VPN的短时间中断，系统将继续正常工作。我的问题是，如果隧道停了几天，甚至一周，怎么办？DC5是否继续在没有DC1的情况下工作？失败倒计时在某一时刻吗？

我的背景是软件开发，我们的IT人员说，“一些未定的时间”的网站将无法工作，如果VPN是不活跃的。我对这一说法表示怀疑。

谢谢

Answer 1

My question is what if that tunnel is down for a couple of days or even a week. does DC5 continue to work with out DC1? is countdown to failure at some point?

这是一个加载的问题，因为任何答案都必须考虑到您是如何配置的，以及您实现了哪些依赖AD或绑定到AD (如DFS、Exchange等)的服务和技术。假设没有潜在的问题，并且您在DC、DNS和域的配置方面遵循了最佳实践，那么事情应该在短时间内继续正常运行。可能出现的小问题的列表太长，无法在一个答案中详细说明( VPN关闭时对VPN两侧的同一对象所做的更改等等)，但只需指出它们都不是关键的故障类型问题就足够了。真正的“失败倒计时”是TSL (Tombstone Lifetime)的“倒计时”，之后你就不能让断开的DC恢复在线(至少在没有引入一个大问题的情况下)。我最近有一个客户，在一个远程网站上有一个DC，连续2周不产生不良影响。

你的IT人应该能够给你具体的细节，他认为什么会失败，如果他不能，那么他很可能是在吹烟。