Максимальное "здоровое" время между репликацией леса Active Directory
Рассмотрим настройку Azure Windows 2012 R2 DC в одном DC (Windows Essentials 2012 R2) локальной установке для небольшого офиса < 10 пользователей. Office 365 используется с включенной синхронизацией Active Directory.
Мне любопытно узнать, как будет расстроен Active Directory, если я планирую час безотказной работы для экземпляра Azure DC каждые 8 часов, в первую очередь, чтобы сократить расходы по сравнению с постоянно работающим экземпляром Azure DC.
Из того, что я понял, репликация AD по умолчанию составляет 5 минут, но это кажется чрезмерным, учитывая размер / объем леса в этом сценарии и, вероятно, устойчивость репликации AD, когда братья и сестры недоступны.
Предупреждение: да, мне известны службы Azure Active Directory, но мне нравится идея сервера с туннелем IPsec, который мне кажется более гибким / полезным в сценарии аварийного восстановления, но не стесняйтесь отговорить меня от этого,
2 ответа
Минимальный интервал репликации между сайтами составляет 15 минут (если не включено уведомление о ссылке на сайт). Вы можете настроить ссылки / подключения сайта для репликации через больший интервал, но все равно будет много шума от уведомлений репликации и трафика RPC. Интервал репликации внутри сайта составляет 15 секунд, немного больше в зависимости от количества контроллеров домена.
То, что вы описываете, известно как "сайт задержки". Вы можете прочитать больше об этом здесь:
Приложение B. Не используйте сайт задержки в качестве стратегии аварийного восстановления.
https://technet.microsoft.com/en-us/library/dd835581(v=ws.10).aspx
Это может показаться мягким, но Microsoft отговаривает клиентов от такого подхода.
У вас есть рецепт катастрофы:
Если у вас менее 10 пользователей, я бы начал с вопроса, зачем вам вообще нужен AD? если для этого нет технической / деловой причины, я бы вместо этого полностью использовал Azure AD: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview
Насколько я знаю, прямые соединения IPsec с виртуальными машинами Azure не поддерживаются. поэтому вам придется ретранслировать с помощью Azure VPN.
Наличие вторичного DC-сервера, который почти все время находится в спящем режиме, не очень хорошая идея, оно побеждает цель иметь вторичный DC-сервер плюс причины, о которых @Greg Askew упоминал в предыдущем ответе.
Если учесть затраты и время работы, виртуальная машина /IPsec/ операции с двумя контроллерами домена - это большая трата для 10 пользователей, которая не стоит вложенных средств.
Надеюсь это поможет.