Início / server / Perguntas / 843954
Accepted
gravyface
Asked: 2017-04-12 09:15:53 +0800 CST

Tempo máximo "íntegro" entre a replicação da floresta do Active Directory

  • 772

Olhando para a configuração de um Azure Windows 2012 R2 DC em um único DC (Windows Essentials 2012 R2) configuração local para um pequeno escritório de < 10 usuários. O Office 365 está em uso, com o Active Directory Sync habilitado.

Estou curioso para saber como o Active Directory ficará chateado se eu agendar uma hora de tempo de atividade para a instância do Azure DC a cada 8 horas, principalmente para reduzir custos em comparação com a execução de uma instância sempre ativa do Azure DC.

Pelo que entendi, a replicação do AD é padronizada para 5 minutos, mas isso parece meio excessivo devido ao tamanho/escopo da floresta neste cenário e, presumivelmente, a resiliência da replicação do AD quando os irmãos não estão disponíveis.

Advertência: sim, estou ciente dos Serviços de Diretório Ativo do Azure, mas gosto da ideia de um servidor, com um túnel IPsec, que me parece mais flexível/útil em um cenário de DR, mas sinta-se à vontade para me convencer do contrário .

active-directory

2 respostas

  1. Best Answer

    O intervalo mínimo de replicação entre sites é de 15 minutos (a menos que a notificação de link de site esteja habilitada). Você poderia configurar os links/conexões do site para replicar em um intervalo maior, mas ainda haveria muita conversa de notificações de replicação e tráfego RPC. O intervalo de replicação intra site é de 15 segundos, um pouco mais dependendo do número de DCs.

    O que você está descrevendo é conhecido como "lag site". Você pode ler mais sobre isso aqui:

    Apêndice B: Não use um site de atraso como uma estratégia de recuperação de desastres
    https://technet.microsoft.com/en-us/library/dd835581(v=ws.10).aspx

    Pode parecer benigno, mas a Microsoft desencoraja os clientes dessa abordagem.

    • 2

  2. Você tem uma receita para um desastre acontecer aí:

    • Se você tiver menos de 10 usuários no local, começaria com a pergunta: por que você precisa do AD em primeiro lugar? se não houver motivo técnico/comercial para isso, eu usaria totalmente o Azure AD: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview

    • Tanto quanto sei, não há suporte para conexões IPsec diretas com VMs do Azure. então você terá que retransmitir usando a VPN do Azure.

    • Ter um servidor DC secundário que está dormindo quase o tempo todo não é uma boa ideia, supera o propósito de ter um servidor DC secundário mais razões como @Greg Askew mencionado na resposta anterior.

    • Se você considerar custos e tempo de operação, uma VM/IPsec/Operações de 2 DCs é um grande desperdício para 10 usuários, não vale o investimento.

    Espero que isto ajude.

    • 1

relate perguntas