Назад | Перейти на главную страницу

Максимальный «работоспособный» промежуток времени между репликацией леса Active Directory

Рассмотрение настройки контроллера домена Azure Windows 2012 R2 в одном контроллере домена (Windows Essentials 2012 R2) на месте для небольшого офиса с количеством пользователей менее 10. Office 365 уже используется, с включенной синхронизацией Active Directory.

Мне любопытно узнать, насколько сильно расстроится Active Directory, если я запланировал час безотказной работы для экземпляра Azure DC каждые 8 ​​часов, в первую очередь для снижения затрат по сравнению с запуском постоянного экземпляра Azure DC.

Насколько я понимаю, для репликации AD по умолчанию установлено значение 5 минут, но это кажется чрезмерным, учитывая размер / объем леса в этом сценарии и, предположительно, устойчивость репликации AD, когда братья и сестры недоступны.

Предостережение: да, я знаю службы Azure Active Directory, но мне нравится идея сервера с туннелем IPsec, который мне кажется более гибким / полезным в сценарии аварийного восстановления, но не стесняйтесь отговаривать меня от этого. .

Минимальный интервал межсайтовой репликации составляет 15 минут (если не включено уведомление о связи сайтов). Вы можете настроить ссылки / соединения сайтов для репликации с большим интервалом, но все равно будет много шума от уведомлений о репликации и трафика RPC. Интервал внутрисайтовой репликации составляет 15 секунд, что немного больше в зависимости от количества контроллеров домена.

То, что вы описываете, известно как «сайт задержки». Вы можете прочитать больше об этом здесь:

Приложение B: Не используйте сайт задержки в качестве стратегии аварийного восстановления
https://technet.microsoft.com/en-us/library/dd835581(v=ws.10).aspx

Это может показаться безобидным, но Microsoft отговаривает клиентов от такого подхода.

У вас есть рецепт, как там случится катастрофа:

  • Если у вас меньше 10 локальных пользователей, я бы начал с вопроса, зачем вам вообще нужна AD? если для этого нет технических / деловых причин, я бы полностью перешел на Azure AD: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview

  • Насколько мне известно, прямые подключения IPsec к виртуальным машинам Azure не поддерживаются. поэтому вам придется использовать Azure VPN.

  • Наличие вторичного сервера постоянного тока, который почти все время находится в спящем режиме, - не лучшая идея, это превосходит цель наличия вторичного сервера постоянного тока плюс причины, как @Greg Askew, упомянутый в предыдущем ответе.

  • Если учесть затраты и время работы, виртуальная машина / IPsec / Operations из 2 контроллеров домена будет большой тратой для 10 пользователей, не стоящей вложений.

Надеюсь это поможет.