Domänencontroller als EC2-Instanz

Anstatt zu diskutieren, ob das eine gute Idee ist oder nicht (was Sie, wie Sie bereits erklärt haben, nicht wollen), wollen wir lieber darüber sprechen, was Sie verlieren, wenn Sie keinen Zugriff auf einen Domänencontroller haben.

1. AD-Anmeldungen. Zwischengespeicherte Anmeldeinformationen würden funktionieren, wenn sich der Benutzer zuvor angemeldet hätte, aber neue Domänenanmeldungen würden fehlschlagen.
2. Netzwerkfreigaben. Die Dauer und Durchsetzung Ihres Kerberos-Tickets werden durch die Domänenrichtlinie festgelegt, aber der Zugriff auf Netzwerkfreigaben würde in Ihrem gesamten Netzwerk fehlschlagen. (Der Standardwert beträgt 10 Stunden für Benutzer und 600 Minuten für Dienste bzw. war es, als der Artikel, den ich gerade gefunden habe, veröffentlicht wurde.)
3. DNS. Ihre Desktops hätten zwar immer noch eine Verbindung, könnten aber weder intern noch extern Domänen auflösen.
4. Alle anderen Dienste, die AD-Anmeldeinformationen verwenden (VPN, Netzwerkzugriffskontrolle, Websites mit integrierter Sicherheit usw.).

Wenn Sie Ihre DCs jede Nacht und am Wochenende ausschalten, hätte ich Angst vorUhrdriftauch. Taktabweichungen können Probleme bei AD-Anmeldungen verursachen (weil Kerberos Zeitstempel verwendet). Ich weiß ehrlich gesagt nicht, wie groß die Taktabweichung sein würde, weil ich es noch nie ausprobiert habe, aber es würde mich nervös machen. Vor allem, da virtuelle Maschinen ohnehin den Ruf haben, Taktabweichungen zu haben.

Ich mache mir auch Sorgen, dass, nun ja. Außerhalb der Geschäftszeiten ist die traditionelle Zeit für störende Wartungsarbeiten. Ich weiß auch nicht, welche Art von geplanten Jobs Sie an Ihrem Standort ausführen und welche Art von Anmeldeinformationen sie verwenden, aber es ist möglich, dass Sie Aufgaben ausführen, die die Benutzererfahrung stören würden, wenn sie während des Arbeitstages ausgeführt würden.

Ich verstehe, dass Sie nach konkreten Gründen suchen, warum das keine gute Idee ist, und wie Ihre eigenen Untersuchungen gezeigt haben, können Domänencontroller für kurze Zeiträume ohne oder mit nur geringem Risiko ausgeschaltet werden, aber ich will damit sagen, dass das nichts ist, was jeder normalerweise tut und dass es der bewährten Vorgehensweise widerspricht. Sie können mit Ihrer Infrastruktur machen, was Sie wollen, aber niemand, den ich kenne, würde das jemals tun oder zulassen.

Wenn Sie sie gelegentlich zu Wartungsarbeiten oder aus anderen Gründen herunterfahren würden, wäre ich nicht beunruhigt, aber wenn Sie sie jedes Wochenende herunterfahren, würde ich über Dinge wie Synchronisierungsprobleme bei Gruppenrichtlinien, verbleibende Objekte, USN-Rollbacks usw. nachdenken. Es ist zwar nicht sehr wahrscheinlich, dass diese Probleme auftreten, aber wenn dies die Standardeinstellung wäre, würde ich sicher über diese Probleme nachdenken.

Dies ist eigentlich kein vorgesehener Anwendungsfall für AD. In Windows wird generell angenommen, dass Domänencontroller ständig ausgeführt werden, bis sie für immer verschwinden. Wenn sie häufig und über längere Zeiträume ausgeschaltet werden, treten Replikationsfehler auf und möglicherweise sogar Tombstone-Probleme, wenn sie nach einer langen Zeit der Inaktivität wieder auftreten.

Tombstones sind Datensätze, die für einen Aufbewahrungszeitraum als gelöscht gekennzeichnet werden, um die Konsistenz des Verzeichnisses bei der Replikation zu wahren.

Weitere Informationen zu den verschiedenen Überlegungen im Zusammenhang mit getrennten Domänencontrollern finden Sie in der Dokumentation:https://technet.microsoft.com/en-us/library/cc782557(v=ws.10).aspx

Aber nicht nur das. Mit diesem Plan sparen Sie kein Geld und er wird Sie wahrscheinlich noch mehr kosten! EC2-Instance-Reservierungerhalten Sie einen sehr hohen Rabatt auf Instanzen, vorausgesetzt, dass die Instanzen zu 100 % genutzt werden. Den besten Rabatt erhalten Sie mit der Option „Alles im Voraus bezahlen“, bei der Sie im Voraus dafür bezahlen, dass die Instanz die nächsten 1 oder 3 Jahre lang ununterbrochen läuft. Wenn der Rabatt mehr als 28 % beträgt, was häufig der Fall ist, sparen Sie kein Geld, wenn Sie die Instanzen zwei Tage pro Woche abschalten.

Außerdem wird die Domäne manchmal am Wochenende und nachts genutzt.

Darüber hinaus empfiehlt es sich in der Regel, Ihre Domänencontroller als DNS-Server zu verwenden. Updates und Hintergrundaufgaben erfordern dies in der Regel.

Wenn Sie drei Mikroinstanzen für Ihre Rechenzentren verwenden, liegen Ihre EC2-Gebühren (für reservierte Instanzen) wahrscheinlich bei etwa 300 USD pro Jahr. Sie können diese Kosten möglicherweise um etwa 100 USD senken, indem Sie auf die Reservierungen verzichten und sie nur 8 Stunden pro Tag ausführen. Diese Ersparnis ist den Mehraufwand, der dadurch entsteht, nicht einmal annähernd wert.

Schon ein einziges dadurch verursachtes Replikationsproblem pro Jahr macht die EC2-Einsparungen durch zusätzlichen Arbeitsaufwand zunichte.

Die Antwort von Amazon auf meine Frage war sehr hilfreich. Sie haben die Notwendigkeit dieses Vorgehens verstanden und konkrete potenzielle Probleme dieses Ansatzes dargelegt.

Sie betonten vor allem, dass diese Art von Setup nur funktionieren könne, wenn alle Maschinen, die auf die EC2-DCs angewiesen sind, gleichzeitig mit ihnen ausgeschaltet würden. Und genau das haben wir vor.

Darüber hinaus müssen drei weitere Überlegungen berücksichtigt werden

1. Wenn Sie FSMO-Rollen auf diesem DC haben, ist das Ausschalten der DCs nicht die beste Vorgehensweise
2. Diese DCs wären für die Zeit, in der sie ausgeschaltet sind, nicht für die Authentifizierung verfügbar und die Instanzen oder Dienste würden die Authentifizierung wieder aufnehmen, wenn die DCs wieder aufgenommen werden.
3. Sie müssen ausreichend Zeit einplanen, um sicherzustellen, dass ihnen nach der Wiederherstellung genügend Zeit bleibt, die Replikation abzuschließen.