Nous configurons un environnement de formation à utiliser après les vacances d’été. La direction veut que nous configurions les clients maintenant avant les vacances. Puisque les clients seraient hors du domaine pendant environ 6 semaines, je me demande si le fait d’être hors réseau pendant si longtemps peut causer des problèmes. Des choses comme les mots de passe de comptes machine qui sont automatiquement changés, etc.
Y a-t-il une durée maximale pendant laquelle un client peut être éteint et hors réseau dans un domaine AD avant que des problèmes ne surviennent ?
Nous exécutons un domaine Windows 2008 R2 avec des clients Windows 7 et Office 2010. Les comptes utilisateurs et machines sont dans la même OU. Les comptes machines n’expirent pas.
Voici un petit extrait de Sean Ivey de Microsoft, quelqu’un de plutôt intelligent :
OK, tant que nous parlons de membres du domaine, un ordinateur peut être hors du domaine pendant une longue période. Le canal sécurisé du domaine (qui est ce qui est utilisé pour créer la relation de confiance entre le poste de travail et le domaine) est conçu pour être résistant aux longues périodes hors réseau. Le mot de passe du compte machine est normalement changé tous les 30 jours, mais le DC conservera l’ancien et le nouveau mot de passe. Tant que l’ordinateur ne manque pas plus d’un changement de mot de passe, il pourra toujours établir une session sécurisée.
Par défaut, les mots de passe des comptes machine sont changés tous les 30 jours. Si votre machine est éteinte pendant 6 semaines (42 jours), cela signifie qu’elle manquera un changement de mot de passe. Mais le DC conserve les deux derniers mots de passe (actuel et précédent), donc tant que la machine n’est pas éteinte pendant plus de 60 jours (manquant deux changements), elle devrait pouvoir se reconnecter sans problème.
En pratique, même des durées bien plus longues fonctionnent généralement sans problème. Le scénario le plus courant où des problèmes surviennent est lorsque quelqu’un restaure un ordinateur à partir d’une ancienne image/sauvegarde, car le mot de passe du compte machine dans la sauvegarde ne correspondra plus à celui stocké dans AD.
Si un problème survenait, la solution serait simplement de réjoindre la machine au domaine, ce qui réinitialise le mot de passe du compte machine.