域控制器作為 EC2 實例
我們已經成功地將我們的本地活動目錄擴展到 AWS,將域控制器創建為 EC2 微實例,我們鬆散地將我們的設置基於 Amazon 白皮書:在 AWS 雲中實施活動目錄域服務
我們正在實施一個系統,在工作時間之外停止我們所有的 EC2 實例,並在工作時間之內啟動它們。但是,我似乎找不到任何有關停止和啟動這些 DC 以及其他 EC2 實例的效果(如果有)的文件。
SaticPuppy 在他對Can Amazon VMs be used as Active Directory domain controllers 的回答中就這個話題給出了一個非常模糊的警告?:
當您失去對域控制器的訪問權限時,您可能會遇到各種問題,因此任何網路中斷都會產生巨大的業務後果
Jesper Mortensen 在在 Amazon EC2 上執行 Windows 域中概述了不在 AWS 中放置 DC 的詳細原因,但在現階段這可能已經過時了幾年
最後,我的問題是:如果這些 DC 斷電整個週末,這是否會導致其他 EC2 實例出現問題?
編輯 1:我很清楚這可能是一個難以回答的問題,但我不會接受“你為什麼要這樣做”或“只是不這樣做”類型的答案。問題是關於這會導致的具體問題,而不是它是否是一個好主意
與其討論這是否是一個好主意(您已經說過您不想這樣做),不如讓我們討論當您無法訪問域控制器時您會失去什麼。
- 廣告登錄。如果使用者之前登錄過,記憶體的憑據會起作用,但新的域登錄會失敗。
- 網路共享。您的 Kerberos 票證持續時間和強制執行由域策略設置,但訪問網路共享將開始在您的網路中失敗。(預設是使用者 10 小時,服務 600 分鐘,或者是我剛剛找到的文章發表的時候。)
- 域名系統。您的桌面仍然具有連接性,但它們將無法解析內部或外部域。
- 使用 AD 憑據的任何其他服務(VPN、網路訪問控制、具有集成安全性的網站等)。
如果您每晚和周末都關閉 DC,我也會擔心時鐘漂移。時鐘漂移可能會導致 AD 登錄出現問題(因為 Kerberos 使用時間戳)。老實說,我不知道會有多少時鐘漂移,因為我從未嘗試過,但這會讓我感到緊張。尤其是因為虛擬機以漂移時鐘而聞名。
我也很擔心,嗯。工作時間以外是進行破壞性維護的傳統時間。我也不知道您在您的位置執行什麼樣的計劃作業,以及他們使用什麼樣的憑據,但如果在工作日執行,您執行的任務可能會破壞使用者體驗。