Контроллер домена как экземпляр EC2
Мы успешно расширили наш собственный активный каталог до AWS, создав контроллеры домена как EC2 микро экземпляры, мы свободно основывали нашу установку на Техническом описании Amazon: Implementing Active Directory Domain Services в Облаке AWS
Мы находимся в процессе реализации системы остановки всех наших экземпляров EC2 за пределами рабочего времени и запуска их в рабочем времени. Однако я, может казаться, не нахожу документации относительно эффектов (если таковые имеются) остановки и запуска их DCS наряду с другими экземплярами EC2.
SatanicPuppy дал очень неопределенное предупреждение по этой теме в его ответе на Банке Amazon VMs использоваться в качестве Контроллеров доменов Active Directory?:
Существуют все виды проблем, которые Вы можете иметь при потере доступа к контроллеру домена таким образом, любое прерывание соединения с сетью будет иметь огромные бизнес-последствия
Jesper Mortensen обрисовывает в общих чертах подробные причины не поместить DC в AWS в домене Running Windows на Amazon EC2, но это могло бы быть несколькими годами, которые устарели на данном этапе
Наконец, мой вопрос: Если бы они, DCS был выключен в течение целых выходных, это вызвало бы проблемы с другими экземплярами EC2?
РЕДАКТИРОВАНИЕ 1: я хорошо знаю, что это могло бы быть трудным вопросом для ответа, но я не приму, 'почему Вы хотели бы сделать, это' или 'просто не делает ответа типа thi. Вопрос имеет отношение к определенным проблемам, которые это вызвало бы, не, является ли это хорошей идеей
Вместо того, чтобы обсуждать, хорошая ли это идея, которую вы уже заявили, что не хотите делать, давайте вместо этого обсудим, что вы теряете, если у вас нет доступа к контроллер домена.
- Вход в систему AD. Кэшированные учетные данные будут работать, если пользователь ранее входил в систему, но вход в новый домен завершится ошибкой.
- Сетевые ресурсы. Срок действия вашего билета Kerberos и его соблюдение устанавливаются политикой домена, но доступ к общим сетевым ресурсам в вашей сети начнется с ошибкой. (Значение по умолчанию - 10 часов для пользователей и 600 минут для служб, или было, когда была опубликована статья, которую я только что нашел.)
- DNS. У ваших настольных компьютеров по-прежнему будет возможность подключения, но они не смогут разрешать домены, как внутри, так и снаружи.
- Любая другая служба, использующая учетные данные AD (VPN, контроль доступа к сети, веб-сайты со встроенной безопасностью и т. Д.).
Если вы выключаете свои контроллеры домена каждую ночь и на выходных, я бы побоялся дрейф часов . Смещение часов может вызвать проблемы при входе в AD (поскольку Kerberos использует временные метки). Я, честно говоря, не знаю, какой будет дрейф часов, потому что я никогда не пробовал, но это заставило бы меня нервничать. Тем более, что виртуальные машины в любом случае имеют репутацию дрейфующих часов.
Меня это тоже беспокоит. В нерабочее время традиционно проводится профилактическое обслуживание. Я также не знаю, какие запланированные задания вы выполняете в вашем регионе и какие учетные данные они используют, но возможно, что у вас есть выполняемые задачи, которые могут нарушить взаимодействие с пользователем в течение рабочего дня.
Я понимаю, что вы ищете конкретные причины, по которым это не очень хорошая идея, и, как показало ваше собственное исследование, контроллеры домена можно отключать на короткие периоды времени с небольшими затратами. или никакого риска, но вся моя точка зрения в том, что это не то, что кто-то делает как нормальная практика и противоречит передовой практике. Вы можете делать со своей инфраструктурой все, что захотите, но никто, из моих знакомых, никогда бы этого не сделал и не позволил бы это сделать.
Если бы вы отключали их время от времени для обслуживания или других целей, я бы не стал беспокоюсь об этом, но если вы отключаете их каждые выходные, я бы подумал о таких вещах, как проблемы синхронизации групповой политики, устаревшие объекты, откаты USN и т. д. и т. д. Не то чтобы это могло произойти, но я уверен подумал бы об этих проблемах, если бы это была СОП.
این نیست در واقع یک مورد استفاده شده برای AD وجود دارد. به طور کلی یک فرض طراحی در ویندوز وجود دارد که کنترل کننده های دامنه به طور مداوم کار می کنند تا زمانی که برای همیشه از بین بروند. خاموش کردن آنها برای مدت زمان طولانی باعث ایجاد خطاهای تکرار می شود و حتی در صورت وجود مشکلات سنگ قبر پس از یک دوره طولانی بی تحرکی برگردید.
مقبره ها ton ها رکوردهایی هستند که بعنوان پاک شده برای یک دوره برگزاری پرچم گذاری می شوند تا فهرست به طور مداوم نسبت به همانندسازی حفظ شود.
برای اطلاعات بیشتر در مورد ملاحظات مختلفی که توسط کنترل کننده های دامنه قطع شده ارائه می شود ، مستندات را بررسی کنید: https://technet.microsoft .com / en-us / library / cc782557 (v = ws.10) .aspx
اما ، نه تنها این. این طرح باعث صرفه جویی در هزینه شما نخواهد شد و احتمالاً هزینه بیشتری نیز خواهد داشت! رزرو نمونه EC2 با فرض استفاده 100 درصدی ، در مواردی تخفیف بسیار شگرفی به شما می دهد. بهترین تخفیف از گزینه all up-front است ، جایی که شما برای اینکه 1 یا 3 سال آینده به طور مداوم اجرا شود ، پیش پرداخت می کنید. اگر تخفیف بیشتر از 28٪ باشد ، مثل معمولاً ، تعطیلی آنها دو روز در هفته باعث صرفه جویی در هزینه شما نخواهد شد.
همچنین ، بعضی اوقات افراد آخر هفته و شب از دامنه استفاده می کنند.
حتی بیشتر از این ، بهترین روش معمولاً استفاده از کنترل کننده های دامنه شما به عنوان سرورهای DNS است. به روزرسانی ها و کارهای پس زمینه به این نیاز دارند.
در هر صورت ، اگر از سه نمونه کوچک برای DC استفاده می کنید ، هزینه های EC2 (برای نمونه های رزرو شده) احتمالاً سالی 300 دلار است. با انجام رزروها و اجرای فقط 8 ساعت در روز ، ممکن است بتوانید این میزان را حدود 100 دلار کاهش دهید. این پس انداز حتی از راه دور ارزش کار اضافی را که برای شما ایجاد خواهد کرد نیست.
حتی یک بار در سال تکرار ناشی از این باعث می شود پس انداز EC2 در کار اضافی از بین برود.
Ответ Amazon на мой вопрос был очень полезным, они поняли необходимость чтобы сделать это, и обрисовали в общих чертах конкретные потенциальные проблемы с этим подходом.
Основным моментом, который они подчеркнули, было то, что единственный способ работы такого типа установки - это обеспечить, чтобы все машины, которые полагаются на DC EC2, были выключены вместе с ними, это именно то, что мы планируем сделать.
Наряду с этим следует принять во внимание еще три соображения.
- Если у вас есть роли FSMO на этом DC, выключение DC не будет наилучшая практика
- Эти контроллеры домена пока не будут доступны для аутентификации. они отключены, и экземпляры или службы возобновят работу проверка подлинности при возобновлении работы контроллеров домена
- . Вам потребуется достаточно времени, чтобы убедиться, что они достаточно времени для завершения репликации после их восстановления.