Wirtualizacja usługi Active Directory

14

Moja firma próbuje wirtualizować wszystkie nasze serwery i staramy się dowiedzieć, czy wirtualizacja active directory jest dobrym pomysłem. Czy jest to w ogóle coś, co można zrobić, a jeśli tak, to czy istnieją jakieś wady konfiguracji. Moja sieć jest skonfigurowana z wieloma serwerami fizycznymi, wieloma serwerami wirtualnymi i siecią SAN.

Jeśli potrzebujesz więcej informacji, daj mi znać.

active-directory  virtualization 
poconnor
źródło
1
Zoredache
@Zoredache Może dwa pytania można połączyć?
Totem - Przywróć Monikę
@ Ward, Może zająć trochę przepisania obu pytań i niektórych odpowiedzi. Drugim pytaniem jest pytanie, czy „DC” można zwirtualizować, tym razem wydaje się, że chodzi o wirtualizację wszystkich kontrolerów domeny.
Zoredache,

Odpowiedzi:

19

Microsoft zaleca utrzymywanie co najmniej jednego fizycznego kontrolera domeny w każdej domenie.

W większości środowisk nie musi to być zbytnio serwer. Nawet 64-bitowy dwurdzeniowy serwer Atom montowany w szafie rack , zużywający 25 watów energii i kosztujący mniej niż 500 USD przy konfiguracji z 4 GB pamięci RAM i parą 2,5-calowych dysków twardych w RAID1, może zapewnić bardzo sprawny fizyczny kontroler domeny / DNS / Serwer DHCP z systemem Server 2008 R2.

Główną rzeczywistą korzyścią z utrzymywania fizycznego kontrolera domeny jest zapobieganie problemom z „zimnym startem” podczas ponownego uruchamiania zwirtualizowanego środowiska po aktualizacjach / aktualizacjach, przerwach w zasilaniu itp. Jest to szczególnie istotne, jeśli używasz serwerów Hyper-V jako hostów wirtualizacji , ponieważ te komputery będą oczekiwać, że będą w stanie znaleźć kontroler domeny podczas uruchamiania.

Podniebny Jastrząb
źródło
6
Miles ma wielką rację na temat zimnych startów. Rozwiązuje również problem z czasem, jeśli maszyna fizyczna pełni rolę emulatora PDC.
Jim B
1
@ Jim B: Posiadanie roli emulatora PDC na fizycznym DC jest dobrą rzeczą, ale nadal musisz upewnić się, że Twoi goście są skonfigurowani do najlepszych praktyk dostawcy hiperwizora.
Evan Anderson,
Ponadto, jeśli używasz kontrolerów domeny Windows do usług DNS, wówczas O / S hiperwizora (VMware / Hyper-V / itp.) Będzie oczekiwać użycia DNS do rozpoznawania nazw nawet przed uruchomieniem wirtualnych maszyn wirtualnych (w tym wirtualnych kontrolerów domeny) ... tym bardziej powód, aby mieć przynajmniej jeden fizyczny DC w pobliżu.
ewall
@evan Anderson to prawda, ale w przeważającej części są one echem rekomendacji dla mikropofów dla wirtualnych gości, a kiedy są w konflikcie, musisz dokonać oceny.
Jim B
Z niektórych z tych samych powodów, które zostały wcześniej przedstawione, nie polecam instalowania hiperwizora w fizycznej instalacji systemu Windows, który jest członkiem domeny, ale NIE DC. Możesz uzyskać lepsze wyniki, jeśli host nie jest nawet przyłączony do domeny.
Jonathan J
16

Główny problem, jaki widziałem w przypadku zwirtualizowanych komputerów z kontrolerem domeny Active Directory (DC), dotyczy problemów z synchronizacją czasu. Usługi AD są bardzo zależne od dobrej synchronizacji czasu między kontrolerami domeny, więc upewnij się, że hiperwizory są skonfigurowane zgodnie ze specyfikacjami producenta, aby umożliwić maszynom wirtualnym gościa synchronizację w czasie stałym.

Poza synchronizacją czasu nie mam żadnych złych doświadczeń ze zwirtualizowanymi kontrolerami domeny do zgłoszenia. Nie rób z nimi nic, czego nie zrobiłbyś z fizycznymi kontrolerami domen. Upewnij się, że nie wycofujesz maszyn wirtualnych DC z powrotem za pomocą funkcji takich jak migawki, ponieważ możesz spowodować problemy z replikacją bazy danych (równoważne z przywróceniem starej kopii zapasowej fizycznego DC). Nie klonuj maszyn wirtualnych DC (odpowiednik fizycznych DC DC obrazowania dysku).

Edytować:

Zdecydowanie zalecam trzymanie przynajmniej jednego fizycznego DC w pobliżu, aby powtórzyć odpowiedź @ MilesErickson. Chciałbym powiedzieć, że potrzebujesz jednego fizycznego kontrolera domeny w każdej lokalizacji, w której hostujesz komputery serwerowe, aby umożliwić tym komputerom „zimne uruchomienie”, gdy nie ma połączenia z siecią WAN.

Evan Anderson
źródło
3
Zgadzam się - mam wiele zwirtualizowanych kontrolerów domeny bez problemu. Czas może być problemem, jeśli nie skonfigurujesz ich poprawnie.
Driftpeasant,
1
Ja również. Nie ma o czym mówić.
joeqwerty
6
Ach, zapach wycofania USN rano ...
Massimo,
1
Przez lata prowadziłem wiele witryn z fizycznym DC i wirtualnym DC bez żadnych problemów.
Keith Stokes,
Zabawne, jak czytałeś o wycofaniu USN w postu ServerFault po tym, jak przez jakiś czas o nim nie słyszałeś ... a potem nagle pojawia się następnego dnia na stronie klienta.
Massimo,
4

Jakiś czas temu zwirtualizowaliśmy Kontrolery Domeny dla AD / Server 2003. Działało dobrze, z wyjątkiem sytuacji, gdy jedna z maszyn miała starszą wersję swojej maszyny Wirtualnej zamiast najnowszej wersji. Spowodowało to POWAŻNY problem - i spowodowało, że Serwer AD przestał się replikować i ufać innym serwerom.

Później dowiedziałem się, że uruchomiono wycofanie USN - naprawę jest bardzo nieprzyjemne. http://support.microsoft.com/kb/885875

Udało mi się rozwiązać problem i kontynuowaliśmy naszą wirtualizację. Jednak - tym razem miałem po prostu gotową maszynę wirtualną w standy na wypadek awarii hosta kontrolera domeny Po prostu dołączyłem do standardowej domeny jako nowy kontroler domeny - działało to dobrze.

Jest to bardziej aktualne i może być przydatne: http://technet.microsoft.com/en-us/library/virtual_active_directory_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Ben DeMott
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.