우리는 온프레미스 활성 디렉터리를 AWS로 성공적으로 확장하여 도메인 컨트롤러를 EC2 마이크로 인스턴스로 생성했으며 Amazon 백서에 느슨하게 설정을 기반으로 했습니다.AWS 클라우드에서 Active Directory 도메인 서비스 구현
업무 시간 외에 모든 EC2 인스턴스를 중지하고 업무 시간 내에 시작하는 시스템을 구현하는 중입니다. 그러나 다른 EC2 인스턴스와 함께 이러한 DC를 중지하고 시작할 때의 영향(있는 경우)에 관한 문서를 찾을 수 없는 것 같습니다.
satanicPuppy는 에 대한 답변에서 이 주제에 대해 매우 모호한 경고를 했습니다.Amazon VM을 Active Directory 도메인 컨트롤러로 사용할 수 있습니까?:
도메인 컨트롤러에 액세스할 수 없을 때 발생할 수 있는 모든 종류의 문제가 있으므로 네트워크 중단은 비즈니스에 막대한 영향을 미칠 수 있습니다.
Jesper Mortensen은 AWS에 DC를 배치하지 않는 자세한 이유를 설명합니다.Amazon EC2에서 Windows 도메인 실행하지만 이 단계에서는 몇 년 뒤의 내용일 수도 있습니다.
마지막으로 제 질문은 이 DC의 전원이 주말 내내 꺼져 있으면 다른 EC2 인스턴스에 문제가 발생합니까?입니다.
편집 1: 나는 이것이 대답하기 어려운 질문일 수 있다는 것을 잘 알고 있지만 '왜 이것을 하고 싶습니까?' 또는 '그냥 하지 마세요' 유형의 대답은 받아들이지 않을 것입니다.문제는 이로 인해 발생할 수 있는 특정 문제에 관한 것입니다., 그것이 좋은 생각인지 아닌지는 아닙니다
답변1
이미 원하지 않는다고 언급한 이것이 좋은 아이디어인지 여부를 논의하는 대신 도메인 컨트롤러에 액세스할 수 없을 때 손실되는 사항에 대해 논의해 보겠습니다.
- AD 로그인. 사용자가 이전에 로그온한 경우 캐시된 자격 증명은 작동하지만 새 도메인 로그인은 실패합니다.
- 네트워크 공유. Kerberos 티켓 기간 및 시행은 도메인 정책에 따라 설정되지만 네트워크 공유에 액세스하는 것은 네트워크 전체에서 실패하기 시작합니다. (기본값은 사용자의 경우 10시간, 서비스의 경우 600분이거나 제가 방금 찾은 글이 게시된 시점입니다.)
- DNS. 데스크톱은 여전히 연결되어 있지만 내부 또는 외부에서 도메인을 확인할 수는 없습니다.
- AD 자격 증명을 사용하는 기타 모든 서비스(VPN, 네트워크 액세스 제어, 통합 보안이 포함된 웹사이트 등).
매일 밤 그리고 주말에 DC를 끄면 두려울 것입니다.시계 드리프트또한. 시계 드리프트는 AD 로그인에 문제를 일으킬 수 있습니다(Kerberos는 타임스탬프를 사용하기 때문). 나는 그것을 시도해 본 적이 없기 때문에 솔직히 시계 드리프트가 얼마나 될지 모르지만 긴장하게 될 것입니다. 특히 가상 머신은 어쨌든 시계를 표류하는 것으로 유명하기 때문에 더욱 그렇습니다.
저도 그게 걱정되거든요. 업무 시간 외 시간은 파괴적인 유지 관리를 수행하는 전통적인 시간입니다. 또한 귀하의 위치에서 어떤 종류의 예약된 작업이 실행되고 있는지, 어떤 종류의 자격 증명이 사용되는지는 알 수 없지만 업무일 중에 실행하면 사용자 경험을 방해할 수 있는 작업이 실행 중일 수도 있습니다.
답변2
이것이 좋은 생각이 아닌 구체적인 이유를 찾고 계시다는 점을 이해합니다. 귀하의 연구에 따르면 도메인 컨트롤러는 위험이 거의 또는 전혀 없이 짧은 시간 동안 꺼질 수 있지만 요점은 다음과 같습니다. 이는 누구도 일반적인 관행으로 수행하는 작업이 아니며 모범 사례와 모순됩니다. 인프라를 사용하여 원하는 것은 무엇이든 자유롭게 수행할 수 있지만 제가 아는 사람 중 누구도 이를 수행하지 않을 것이며 이를 허용하지도 않을 것입니다.
유지 관리나 다른 목적으로 가끔 종료했다면 걱정하지 않겠지만, 주말마다 종료한다면 그룹 정책 동기화 문제, 느린 개체, USN 롤백 등을 생각할 것입니다. 등. 그런 일이 일어날 가능성은 없지만 이것이 SOP라면 확실히 그런 문제에 대해 생각해 볼 것입니다.
답변3
이는 실제로 AD를 위해 설계된 사용 사례가 아닙니다. 일반적으로 Windows에는 도메인 컨트롤러가 완전히 사라질 때까지 지속적으로 실행된다는 설계 가정이 있습니다. 오랜 기간 동안 여러 번 끄면 복제 오류가 발생할 수 있으며, 오랜 기간 동안 사용하지 않은 후에 다시 표시되면 삭제 표시 문제가 발생할 수도 있습니다.
삭제 표시는 복제 중에도 디렉터리 일관성을 유지하기 위해 보관 기간 동안 삭제된 것으로 플래그가 지정된 레코드입니다.
연결이 끊긴 도메인 컨트롤러에 따른 다양한 고려 사항에 대한 자세한 내용은 다음 설명서를 확인하세요.https://technet.microsoft.com/en-us/library/cc782557(v=ws.10).aspx
하지만, 이것뿐만이 아닙니다. 이 계획은 비용을 절약해 주지 않으며 아마도 비용이 더 많이 들 것입니다! EC2 인스턴스 예약100% 사용량을 가정하면 인스턴스에 대해 매우 큰 할인을 받을 수 있습니다. 가장 큰 할인은 인스턴스가 향후 1~3년 동안 지속적으로 실행되도록 미리 비용을 지불하는 선불 옵션에서 비롯됩니다. 흔히 그렇듯이 할인율이 28%를 초과하는 경우 일주일에 이틀 동안 문을 닫아도 비용이 절약되지 않습니다.
또한 주말이나 밤에 도메인을 사용하는 경우도 있습니다.
게다가 모범 사례에서는 일반적으로 도메인 컨트롤러를 DNS 서버로 사용하도록 지시합니다. 업데이트 및 백그라운드 작업에는 이 기능이 필요한 경향이 있습니다.
어쨌든 DC에 3개의 마이크로 인스턴스를 사용하는 경우 EC2 요금(예약 인스턴스의 경우)은 연간 300달러 정도일 가능성이 높습니다. 예약을 포기하고 하루에 8시간만 실행하면 이 비용을 100달러 정도 줄일 수 있습니다. 이러한 절감 효과는 이로 인해 발생할 추가 작업량에 비해 전혀 가치가 없습니다.
이로 인해 발생하는 복제 문제가 1년에 한 번이라도 EC2의 추가 노동 비용 절감 효과가 사라집니다.
답변4
내 질문에 대한 Amazon의 답변은 매우 도움이 되었습니다. 그들은 이를 수행할 필요성을 이해하고 이 접근 방식에 대한 구체적인 잠재적 문제를 설명했습니다.
그들이 강조한 주요 요점은 이러한 종류의 설정이 작동할 수 있는 유일한 방법은 EC2 DC에 의존하는 모든 시스템이 함께 꺼져 있는지 확인하는 것인데, 이것이 바로 우리가 계획하고 있는 것입니다.
이와 함께 세 가지 다른 고려 사항을 고려해야 합니다.
- 이 DC에 FSMO 역할이 있는 경우 DC를 끄는 것은 모범 사례가 아닙니다.
- 이러한 DC는 꺼진 시간 동안 인증에 사용할 수 없으며 DC가 재개되면 인스턴스 또는 서비스는 인증을 재개합니다.
- 백업된 후 복제를 완료하는 데 충분한 시간을 확보할 수 있도록 충분한 시간을 허용해야 합니다.