Quantidade máxima de tempo "saudável" entre a replicação de floresta do Active Directory

2

Olhando para a configuração de um DC do Windows 2012 R2 do Azure em uma única configuração local de DC (Windows Essentials 2012 R2) para uma pequena empresa de < 10 usuários. O Office 365 está em uso, com o Active Directory Sync habilitado.

Estou curioso para saber como o Active Directory será alterado se eu agendar uma hora de tempo de atividade da instância do Azure DC a cada 8 horas, principalmente para reduzir custos em relação à execução de uma instância do DC do Azure sempre ativa.

Pelo que entendi, a replicação do AD é padronizada para 5 minutos, mas isso parece meio excessivo, dado o tamanho / escopo da floresta neste cenário e, presumivelmente, a resiliência da replicação do AD quando os irmãos não estão disponíveis.

Ressalva: sim, estou ciente dos Serviços do Active Directory do Azure, mas gosto da ideia de um servidor, com um túnel IPsec, que para mim parece mais flexível / útil em um cenário de DR, mas fique à vontade para falar comigo fora disso.

    
por gravyface 11.04.2017 / 19:15

2 respostas

2

O intervalo mínimo de replicação entre sites é de 15 minutos (a menos que a notificação de link de site esteja ativada). Você poderia configurar os links / conexões do site para replicar em um intervalo maior, mas ainda haveria muita conversa com notificações de replicação e tráfego RPC. O intervalo de replicação intra-site é de 15 segundos, um pouco mais dependendo do número de DCs.

O que você está descrevendo é conhecido como "site de latência". Você pode ler mais sobre isso aqui:

Apêndice B: Não Use um Site de Lag como uma Estratégia de Recuperação de Desastres
link

Pode parecer benigno, mas a Microsoft desencoraja os clientes dessa abordagem.

    
por 11.04.2017 / 19:59
1

Você tem uma receita para um desastre acontecer lá:

  • Se você tem menos de 10 usuários no local, eu começaria com a pergunta por que você precisa do AD em primeiro lugar? se não houver nenhuma razão técnica / comercial para isso, eu passaria por um AD do Azure totalmente completo: link

  • Até onde eu sei, conexões diretas de IPsec para VMs do Azure não são suportadas. então você terá que retransmitir usando o Azure VPN.

  • Não é uma boa ideia ter um servidor DC secundário que durma quase o tempo todo, o objetivo de ter um servidor DC secundário mais motivos como @Greg Askew mencionados na resposta anterior.

  • Se você considerar custos e tempo de operação, uma VM / IPsec / Operações de 2 CDs é um grande desperdício para 10 usuários, não valendo o investimento.

Espero que isso ajude.

    
por 11.04.2017 / 20:53