作為 EC2 執行個體的網域控制器

與其討論這是否是一個好主意（您已經說過您不想這樣做），不如討論一下當您無權訪問網域控制器時您會失去什麼。

1. 廣告登入。如果使用者之前登入過，快取的憑證將會起作用，但新的網域登入將會失敗。
2. 網路共享。您的 Kerberos 票證持續時間和實施由網域策略設置，但存取網路共用將開始在整個網路中失敗。 （預設使用者是10小時，服務是600分鐘，還是我剛剛找到的文章發表的時候。）
3. 域名系統。您的桌面仍然具有連接性，但它們將無法解析內部或外部的網域。
4. 使用 AD 憑證的任何其他服務（VPN、網路存取控制、具有整合安全性的網站等）。

如果你每晚和週末都關閉 DC，我會擔心時鐘漂移以及。時鐘漂移可能會導致 AD 登入出現問題（因為 Kerberos 使用時間戳記）。老實說，我不知道會有多少時鐘漂移，因為我從未嘗試過，但這會讓我緊張。尤其是虛擬機器因時鐘漂移而聞名。

我也擔心這個，嗯。工作時間之外是進行中斷性維護的傳統時間。我也不知道您在您的位置運行哪種類型的計劃作業，以及它們使用哪種類型的憑證，但您運行的任務可能會在工作日期間運行，從而破壞用戶體驗。

我知道您正在尋找為什麼這不是一個好主意的具體原因，正如您自己的研究所示，可以在短時間內關閉網域控制器，風險很小或沒有風險，但我的全部觀點是這不是任何人都會做的正常做法，並且與最佳實踐相矛盾。您可以自由地對基礎設施做任何您想做的事情，但據我所知，沒有人會這樣做，也不會允許這樣做。

如果您偶爾出於維護或其他目的關閉它們，我不會擔心，但如果您每個週末都關閉它們，那麼我會考慮群組原則同步問題、延遲物件、USN 回滾等問題等等，等等。並不是說這些可能會發生，但如果這是SOP，我肯定會考慮這些問題。

這並不是真正為 AD 設計的用例。一般來說，Windows 中有一個設計假設：網域控制站會持續運行，直到永遠消失。長時間關閉它們會導致複製錯誤，如果它們在長時間不活動後再次出現，甚至可能會出現邏輯刪除問題。

墓碑是在保留期間內標記為已刪除的記錄，以保持目錄在複製過程中保持一致。

有關斷開連接的網域控制器引入的更多各種注意事項，請查看文件：https://technet.microsoft.com/en-us/library/cc782557(v=ws.10).aspx

但是，不僅如此。這個計劃不會為您節省任何錢，而且可能會花費更多！ EC2執行個體預留假設 100% 使用率，您可以獲得非常大的實例折扣。最好的折扣來自全部預付費選項，您可以提前支付實例費用，以便實例在未來 1 或 3 年內持續運行。如果折扣超過 28%（通常是這樣），那麼每週關閉兩天也不會為您節省任何錢。

此外，有時人們確實會在週末和晚上使用該網域。

不僅如此，最佳實務通常要求將網域控制站用作 DNS 伺服器。更新和後台任務往往需要這樣做。

無論如何，如果您為 DC 使用三個微型實例，則您的 EC2 費用（針對預留執行個體）可能每年約為 300 美元。放棄預訂並每天只運行 8 小時，您也許可以節省 100 美元左右。與這將為您帶來的額外工作量相比，這種節省根本不值得。

即使一年由此引起的一個複製問題也會耗盡 EC2 節省的額外勞動力。

亞馬遜對我的問題的回答非常有幫助，他們理解這樣做的必要性，並概述了這種方法的具體潛在問題。

他們強調的要點是，這種設定起作用的唯一方法是確保所有依賴 EC2 DC 的機器都與它們一起關閉，這正是我們計劃要做的。

除此之外，還應考慮其他三個因素

1. 如果您在此 DC 上具有 FSMO 角色，則關閉 DC 並不是最佳實踐
2. 這些 DC 在關閉時將無法用於身份驗證，並且實例或服務將在 DC 恢復時恢復身份驗證
3. 您需要留出足夠的時間以確保它們在恢復後有足夠的時間完成複製。