EC2 インスタンスとしてのドメイン コントローラ

tag-icon tag-icon active-directory amazon-ec2 amazon-web-services domain-controller cloud
EC2 インスタンスとしてのドメイン コントローラ

私たちはオンプレミスのアクティブ ディレクトリを AWS に拡張し、ドメイン コントローラーを EC2 マイクロ インスタンスとして作成しました。セットアップは、Amazon ホワイト ペーパーに基づいて大まかに作成しました。AWS クラウドでの Active Directory ドメイン サービスの実装

当社では、営業時間外にすべての EC2 インスタンスを停止し、営業時間内に起動するシステムを実装中です。ただし、これらの DC を他の EC2 インスタンスとともに停止および起動した場合の影響 (ある場合) に関するドキュメントが見つからないようです。

SatanicPuppyは、このトピックについて非常に漠然とした警告を、Amazon VM を Active Directory ドメイン コントローラーとして使用できますか?:

ドメインコントローラへのアクセスが失われると、さまざまな問題が発生する可能性があるため、ネットワークの中断はビジネスに大きな影響を及ぼします。

ジェスパー・モーテンセンはAWSにDCを置かない理由を詳しく説明している。Amazon EC2 で Windows ドメインを実行するしかし、この段階では数年前の情報かもしれない

最後に、私の質問は次のとおりです。これらの DC の電源が週末中オフになっていた場合、他の EC2 インスタンスに問題が発生するでしょうか?

編集 1: これは答えるのが難しい質問かもしれないことは重々承知していますが、「なぜこれをやりたいのか」や「これをやらないほうがいい」といったタイプの答えは受け入れられません。問題は、これが引き起こす具体的な問題に関するものである。それが良いアイデアかどうかではなく

答え1

これが素晴らしいアイデアであるかどうかを議論するのではなく (すでにやりたくないと述べていますが)、ドメイン コントローラーにアクセスできない場合に何が失われるかについて議論しましょう。

  1. AD ログイン。ユーザーが以前にログオンしたことがある場合は、キャッシュされた資格情報は機能しますが、新しいドメイン ログインは失敗します。
  2. ネットワーク共有。Kerberos チケットの有効期間と適用はドメイン ポリシーによって設定されますが、ネットワーク共有へのアクセスはネットワーク全体で失敗し始めます。(既定値は、ユーザーの場合は 10 時間、サービスの場合は 600 分です。または、私が見つけた記事が公開されたときの既定値です。)
  3. DNS。デスクトップは引き続き接続できますが、内部でも外部でもドメインを解決することはできません。
  4. AD 資格情報を使用するその他のサービス (VPN、ネットワーク アクセス制御、統合セキュリティを備えた Web サイトなど)。

毎晩や週末にDCをオフにすると、時計のずれ同様に、クロック ドリフトは AD ログインで問題を引き起こす可能性があります (Kerberos はタイムスタンプを使用するため)。試したことがないので、クロック ドリフトがどの程度になるかはわかりませんが、不安になります。特に、仮想マシンはクロックがドリフトするという評判があるためです。

また、次のことも心配です。業務時間外は、通常、中断を伴うメンテナンスを行う時間です。また、貴社の拠点でどのようなスケジュールされたジョブが実行されているか、また、どのような資格情報が使用されているかはわかりませんが、業務時間中に実行されるとユーザー エクスペリエンスを中断するタスクが実行されている可能性があります。

答え2

これが良い考えではない理由を具体的にお探しであることは理解しています。また、ご自身の調査で判明したように、ドメイン コントローラーは短期間オフにしてもほとんどリスクはありません。しかし、私が言いたいのは、これは誰もが通常の方法として行うことではなく、ベスト プラクティスに反するということです。インフラストラクチャで何をしても自由ですが、私が知る限り、このようなことを行う人はいませんし、許可もしません。

メンテナンスやその他の目的で時々シャットダウンするのであれば心配は要りませんが、毎週末シャットダウンするのであれば、グループ ポリシーの同期の問題、残留オブジェクト、USN ロールバックなどについて考える必要があります。こうした問題が発生する可能性は低いですが、これが SOP であれば、こうした問題については確実に考える必要があります。

答え3

これは実際には AD 用に設計された使用例ではありません。Windows では一般に、ドメイン コントローラーは永久に消えるまで継続的に実行されるという設計上の前提があります。長期間にわたって頻繁にオフにすると、レプリケーション エラーが発生し、長期間非アクティブになった後に復帰すると、廃棄の問題が発生する可能性もあります。

トゥームストーンは、レプリケーション中にディレクトリの一貫性を保つために、保持期間にわたって削除済みとしてフラグが付けられるレコードです。

切断されたドメイン コントローラーによって生じるさまざまな考慮事項の詳細については、次のドキュメントを参照してください。https://technet.microsoft.com/ja-jp/library/cc782557(v=ws.10).aspx より

しかし、それだけではありません。このプランではお金は節約できず、おそらくコストがさらにかかるでしょう。 EC2インスタンス予約100% の使用を前提として、インスタンスに大幅な割引が適用されます。最大の割引は、今後 1 年または 3 年間インスタンスを継続的に実行するための料金を前払いする、全額前払いオプションです。割引が 28% を超える場合 (よくあることですが)、週に 2 日インスタンスを停止しても、コストの節約にはなりません。

また、週末や夜間にドメインを使用する人もいます。

さらに、ベスト プラクティスでは、通常、ドメイン コントローラーを DNS サーバーとして使用することが推奨されています。更新やバックグラウンド タスクでは、これが必要になる傾向があります。

いずれにしても、DC に 3 つのマイクロインスタンスを使用している場合、EC2 料金 (予約インスタンス用) はおそらく年間 300 ドル前後になります。予約をせずに 1 日 8 時間だけ実行すれば、この料金を 100 ドル程度削減できるかもしれません。この節約は、これによって発生する余分な作業量にはまったく値しません。

これが原因で年間 1 回でもレプリケーションの問題が発生すると、EC2 による追加労力の節約が帳消しになります。

答え4

私の質問に対する Amazon の回答は非常に役立ち、Amazon はこれを行う必要性を理解し、このアプローチに伴う具体的な潜在的な問題を概説してくれました。

彼らが強調した主なポイントは、この種の設定が機能する唯一の方法は、EC2 DC に依存するすべてのマシンをそれらと一緒にオフにすることであり、これはまさに私たちが計画していることです。

これに加えて、他の3つの考慮事項も考慮する必要があります。

  1. このDCにFSMOロールがある場合、DCをオフにすることはベストプラクティスではありません。
  2. これらのDCは、オフになっている間は認証に使用できず、DCが再開されるとインスタンスまたはサービスが認証を再開します。
  3. 復旧後にレプリケーションを完了するのに十分な時間を確保するために、十分な時間を確保する必要があります。

関連情報