Рассмотрение настройки контроллера домена Azure Windows 2012 R2 в одном контроллере домена (Windows Essentials 2012 R2) на месте для небольшого офиса с количеством пользователей менее 10. Office 365 уже используется, с включенной синхронизацией Active Directory.
Мне любопытно узнать, насколько сильно расстроится Active Directory, если я запланировал час безотказной работы для экземпляра Azure DC каждые 8 часов, в первую очередь для снижения затрат по сравнению с запуском постоянного экземпляра Azure DC.
Насколько я понимаю, для репликации AD по умолчанию установлено значение 5 минут, но это кажется чрезмерным, учитывая размер / объем леса в этом сценарии и, предположительно, устойчивость репликации AD, когда братья и сестры недоступны.
Предостережение: да, я знаю службы Azure Active Directory, но мне нравится идея сервера с туннелем IPsec, который мне кажется более гибким / полезным в сценарии аварийного восстановления, но не стесняйтесь отговаривать меня от этого. .
Минимальный интервал межсайтовой репликации составляет 15 минут (если не включено уведомление о связи сайтов). Вы можете настроить ссылки / соединения сайтов для репликации с большим интервалом, но все равно будет много шума от уведомлений о репликации и трафика RPC. Интервал внутрисайтовой репликации составляет 15 секунд, что немного больше в зависимости от количества контроллеров домена.
То, что вы описываете, известно как «сайт задержки». Вы можете прочитать больше об этом здесь:
Приложение B: Не используйте сайт задержки в качестве стратегии аварийного восстановления
https://technet.microsoft.com/en-us/library/dd835581(v=ws.10).aspx
Это может показаться безобидным, но Microsoft отговаривает клиентов от такого подхода.
У вас есть рецепт, как там случится катастрофа:
Если у вас меньше 10 локальных пользователей, я бы начал с вопроса, зачем вам вообще нужна AD? если для этого нет технических / деловых причин, я бы полностью перешел на Azure AD: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview
Насколько мне известно, прямые подключения IPsec к виртуальным машинам Azure не поддерживаются. поэтому вам придется использовать Azure VPN.
Наличие вторичного сервера постоянного тока, который почти все время находится в спящем режиме, - не лучшая идея, это превосходит цель наличия вторичного сервера постоянного тока плюс причины, как @Greg Askew, упомянутый в предыдущем ответе.
Если учесть затраты и время работы, виртуальная машина / IPsec / Operations из 2 контроллеров домена будет большой тратой для 10 пользователей, не стоящей вложений.
Надеюсь это поможет.