正在考虑在单个 DC(Windows Essentials 2012 R2)本地设置中为少于 10 个用户的小型办公室设置 Azure Windows 2012 R2 DC。Office 365 正在使用中,并启用了 Active Directory Sync。
我很好奇,如果我每 8 小时为 Azure DC 实例安排一小时的正常运行时间,主要是为了降低成本(而不是运行始终在线的 Azure DC 实例),Active Directory 会多么不高兴。
据我所知,AD 复制默认为 5 分钟,但考虑到此场景中森林的大小/范围,以及当兄弟节点不可用时 AD 复制的恢复能力,这似乎有点过长。
警告:是的,我知道 Azure Active Directory 服务,但我喜欢使用 IPsec 隧道的服务器的想法,对我来说,这在 DR 场景中似乎更灵活/更有用,但请随意劝阻我。
答案1
最小站点间复制间隔为 15 分钟(除非启用站点链接通知)。您可以将站点链接/连接配置为以更大的间隔进行复制,但复制通知和 RPC 流量仍会产生大量干扰。站点内复制间隔为 15 秒,具体时间取决于 DC 的数量。
您所描述的情况被称为“滞后站点”。您可以在此处阅读更多相关信息:
附录 B:不要使用滞后站点作为灾难恢复策略
https://technet.microsoft.com/en-us/library/dd835581(v=ws.10).aspx
这看上去似乎无害,但微软不鼓励客户采用这种方法。
答案2
那里肯定会发生灾难:
如果您的本地用户少于 10 个,我首先会问为什么您需要 AD?如果没有技术/业务原因,我会完全使用 Azure AD:https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview
据我所知,不支持与 Azure VM 的直接 IPsec 连接。因此您必须使用 Azure VPN 进行中继。
让辅助 DC 服务器几乎一直处于睡眠状态并不是一个好主意,这违背了拥有辅助 DC 服务器的目的,而且@Greg Askew 在前面的回答中提到了原因。
如果考虑成本和运营时间,2 个 DC 的 VM/IPsec/Operations 对于 10 个用户来说是一种很大的浪费,不值得投资。
希望这可以帮助。