Как я должен настроить свои серверы Active Directory, чтобы в случае сбоя пользователи не выгружали SQL?

Сегодня мы отключили один из наших серверов Active Directory в рабочее время, чтобы проверить нагрузку на ИБП. Поскольку все, что делал сервер, - это предоставлял Active Directory в отдельном здании, если главное здание загорелось или что-то еще, мы не думали, что это повлияет на наших пользователей.

Через несколько секунд после того, как сервер был выключен, мы получили дюжину телефонных звонков от пользователей, столкнувшихся с этой проблемой:- [Microsoft SQL Server Login] SQLState: '28000' [Microsoft][ODBC SQL Server Driver][SQL Server] Ошибка входа в систему. Логин - от ненадежного домена и не может использоваться с аутентификацией.

Как только мы поняли, что произошло, мы быстро перезагрузили отключенный сервер Active Directory. Задача решена.

Но почему это случилось? А что если однажды сервер выйдет из строя и не будет работать часами или днями? Разве не должны другие серверы Active Directory в запросах проверки подлинности службы домена без помех для пользователей?

У нас есть 3 стандартных сервера Windows Server 2003, на которых работает Active Directory в качестве контроллеров домена с глобальными каталогами, и все они физически расположены в одной сети на гигабитных скоростях.

Я считаю, что домен изначально был Windows Server 2000 или, может быть, даже NT 4.0. Может быть проблема в том, чтобы перейти к старым групповым политикам, унаследованным от этих старых серверных ОС, или к каким-либо настройкам по умолчанию в Active Directory, которые нужно изменить?