Максимальный «работоспособный» промежуток времени между репликацией леса Active Directory
Рассмотрение настройки контроллера домена Azure Windows 2012 R2 в одном контроллере домена (Windows Essentials 2012 R2) на месте для небольшого офиса с количеством пользователей менее 10. Office 365 уже используется с включенной синхронизацией Active Directory.
Мне любопытно узнать, насколько сильно расстроится Active Directory, если я запланировал час безотказной работы для экземпляра Azure DC каждые 8 часов, в первую очередь для снижения затрат. vs. запуск постоянного экземпляра Azure DC.
Насколько я понимаю, для репликации AD по умолчанию установлено значение 5 минут, но это кажется чрезмерным, учитывая размер / область действия леса в этом сценарии и, предположительно, устойчивость репликации AD. когда братья и сестры недоступны.
Предостережение: да, я знаю об Azure Active Directory Services, но мне нравится идея сервера с туннелем IPsec, который мне кажется более гибким / полезным в сценарии аварийного восстановления, но не стесняйтесь отговаривать меня от этого.
Минимальный интервал межсайтовой репликации составляет 15 минут (если не включено уведомление о связи сайтов). Вы можете настроить ссылки / соединения сайтов для репликации с большим интервалом, но все равно будет много шума от уведомлений о репликации и трафика RPC. Интервал внутрисайтовой репликации составляет 15 секунд, что немного больше в зависимости от количества контроллеров домена.
То, что вы описываете, известно как «сайт задержки». Подробнее об этом можно прочитать здесь:
Приложение B: Не используйте сайт задержки в качестве стратегии аварийного восстановления
https://technet.microsoft.com/en-us/library/dd835581 (v = ws. 10) .aspx
Это может показаться безобидным, но Microsoft отговаривает клиентов от такого подхода.
У вас есть рецепт для того, чтобы там случилась катастрофа:
Если у вас меньше 10 пользователей на- Предпосылка, я бы начал с вопроса, зачем вам вообще нужна AD? если для этого нет технических / деловых причин, я бы предпочел полностью использовать Azure AD: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview
Насколько мне известно, прямые IPsec-подключения к виртуальным машинам Azure не поддерживаются. поэтому вам придется ретранслировать с помощью Azure VPN.
Наличие вторичного сервера постоянного тока, который почти все время находится в спящем режиме, - не лучшая идея, это превосходит цель наличия вторичного сервера постоянного тока плюс причины, как @Greg Askew упоминалось в предыдущем ответе.
Если учесть затраты и время работы, виртуальная машина / IPsec / операции с 2 контроллерами домена - это большая потеря для 10 пользователей, не стоящая вложений.
Надеюсь, это поможет.