Active-Directory

域控制器作為 EC2 實例

  • October 7, 2015

我們已經成功地將我們的本地活動目錄擴展到 AWS,將域控制器創建為 EC2 微實例,我們鬆散地將我們的設置基於 Amazon 白皮書:在 AWS 雲中實施活動目錄域服務

我們正在實施一個系統,在工作時間之外停止我們所有的 EC2 實例,並在工作時間之內啟動它們。但是,我似乎找不到任何有關停止和啟動這些 DC 以及其他 EC2 實例的效果(如果有)的文件。

SaticPuppy 在他對Can Amazon VMs be used as Active Directory domain controllers 的回答中就這個話題給出了一個非常模糊的警告?

當您失去對域控制器的訪問權限時,您可能會遇到各種問題,因此任何網路中斷都會產生巨大的業務後果

Jesper Mortensen 在在 Amazon EC2 上執行 Windows 域中概述了不在 AWS 中放置 DC 的詳細原因,但在現階段這可能已經過時了幾年

最後,我的問題是:如果這些 DC 斷電整個週末,這是否會導致其他 EC2 實例出現問題?

編輯 1:我很清楚這可能是一個難以回答的問題,但我不會接受“你為什麼要這樣做”或“只是不這樣做”類型的答案。問題是關於這會導致的具體問題,而不是它是否是一個好主意

與其討論這是否是一個好主意(您已經說過您不想這樣做),不如讓我們討論當您無法訪問域控制器時您會失去什麼。

  1. 廣告登錄。如果使用者之前登錄過,記憶體的憑據會起作用,但新的域登錄會失敗。
  2. 網路共享。您的 Kerberos 票證持續時間和強制執行由域策略設置,但訪問網路共享將開始在您的網路中失敗。(預設是使用者 10 小時,服務 600 分鐘,或者是我剛剛找到的文章發表的時候。)
  3. 域名系統。您的桌面仍然具有連接性,但它們將無法解析內部或外部域。
  4. 使用 AD 憑據的任何其他服務(VPN、網路訪問控制、具有集成安全性的網站等)。

如果您每晚和周末都關閉 DC,我也會擔心時鐘漂移。時鐘漂移可能會導致 AD 登錄出現問題(因為 Kerberos 使用時間戳)。老實說,我不知道會有多少時鐘漂移,因為我從未嘗試過,但這會讓我感到緊張。尤其是因為虛擬機以漂移時鐘而聞名。

我也很擔心,嗯。工作時間以外是進行破壞性維護的傳統時間。我也不知道您在您的位置執行什麼樣的計劃作業,以及他們使用什麼樣的憑據,但如果在工作日執行,您執行的任務可能會破壞使用者體驗。

引用自:https://serverfault.com/questions/727089