Виртуализация Active Directory

14

Моя компания пытается виртуализировать все наши серверы, и мы пытаемся выяснить, является ли виртуализация активного каталога хорошей идеей. Может ли это быть чем-то, что можно сделать, и если да, то есть ли какие-либо недостатки в настройке этого способа? Моя сеть настроена с несколькими физическими серверами, несколькими виртуальными серверами и SAN.

Если вам нужна дополнительная информация, пожалуйста, дайте мне знать.

poconnor
источник
@Zoredache Может быть, два вопроса можно объединить?
Опека - Восстановите Монику
@Ward, может потребоваться переписать оба вопроса и некоторые ответы. Другой вопрос заключается в том, можно ли виртуализировать «DC», этот вопрос касается виртуализации всех контроллеров домена.
Zoredache

Ответы:

19

Microsoft рекомендует поддерживать как минимум один физический контроллер домена в каждом домене.

Для большинства сред это не обязательно должен быть сервер. Даже 64-разрядный двухъядерный сервер Atom для монтажа в стойку , потребляющий 25 Вт электроэнергии и стоимостью менее $ 500 при конфигурации с 4 ГБ ОЗУ и парой 2,5-дюймовых жестких дисков в RAID1, может обеспечить очень работоспособный контроллер физического домена / DNS / DHCP-сервер под управлением Server 2008 R2.

Главное реальное преимущество постоянного обслуживания физического контроллера домена состоит в том, чтобы предотвратить проблемы «холодного запуска» при перезапуске виртуальной среды после обновлений / обновлений, отключений питания и т. Д. Это особенно актуально, если вы используете серверы Hyper-V в качестве узлов виртуализации , поскольку эти машины ожидают, что смогут найти контроллер домена при запуске.

штурмовик типа "Скайхки"
источник
6
У Майлза есть отличное замечание о холодных запусках. Это также решает проблему времени, если физическая машина выполняет роль эмулятора PDC.
Джим Б
1
@Jim B: Роль эмулятора PDC на физическом контроллере домена - это хорошо, но вам все равно нужно убедиться, что ваши гости настроены на лучшие практики поставщика гипервизора.
Эван Андерсон
Кроме того, если вы используете контроллеры домена Windows для служб DNS, то гипервизор O / S (VMware / Hyper-V / etc) будет ожидать использования DNS для разрешения имен даже до запуска гостевых виртуальных машин (включая виртуализированные контроллеры домена). ... все больше причин иметь хотя бы один физический DC вокруг.
ewall
@evan Anderson верно, но по большей части они повторяют рекомендации microsofts для виртуальных гостей, и когда они вступают в конфликт, вам нужно принять решение.
Джим Б
По некоторым из приведенных выше причин я не рекомендую устанавливать гипервизор в физической установке Windows, которая является членом домена, но НЕ является DC. Вы можете получить лучшие результаты, если хост даже не присоединен к домену.
Джонатан Дж
16

Основная проблема, с которой я столкнулся на виртуальных компьютерах контроллера домена Active Directory (DC), связана с проблемами синхронизации времени. AD очень зависит от синхронизации времени между вашими контроллерами домена, поэтому убедитесь, что ваши гипервизоры настроены в соответствии со спецификациями производителя, чтобы гостевые виртуальные машины имели постоянную синхронизацию времени.

Помимо синхронизации по времени у меня нет проблем с виртуализированными контроллерами домена. Не делайте с ними ничего такого, что не делали бы с физическими контроллерами домена. Убедитесь, что вы не откатываете виртуальные машины DC с помощью таких функций, как моментальные снимки, поскольку это может вызвать проблемы с репликацией базы данных (что эквивалентно восстановлению старой резервной копии физического DC). Не клонируйте виртуальные машины DC (эквивалентно физическим DC дисков с образами дисков).

Редактировать:

Я также настоятельно рекомендую сохранить хотя бы один физический DC, чтобы повторить ответ @ MilesErickson. Я бы даже сказал, что вам нужен один физический контроллер домена в каждом месте, где вы размещаете серверные компьютеры, чтобы эти компьютеры могли иметь «холодный старт» при отключении подключения к глобальной сети.

Эван Андерсон
источник
3
Я согласен - у меня есть несколько виртуализированных контроллеров без проблем. Время может быть проблемой, если вы не настроите их должным образом.
Driftpeasant
1
Также и я. Нет проблем, чтобы говорить о.
Joeqwerty
6
Ах, запах USN отката утром ...
Массимо
1
Я годами управлял несколькими сайтами с физическим DC и виртуальным DC без проблем.
Кит Стоукс
Забавно, что вы прочитали об откате USN в сообщении ServerFault, не услышав об этом какое-то время ... а затем он неожиданно появляется на следующий день на сайте клиента.
Массимо
4

Некоторое время назад мы виртуализировали контроллеры домена для AD / Server 2003. Это работало хорошо, за исключением случаев, когда на одной из машин была установлена ​​более старая версия виртуальной машины вместо последней версии. Это вызвало серьезную проблему - и сделал так, чтобы сервер AD прекратил репликацию и доверие другим серверам.

То, что я позже узнал, было вызвано откатом USN - это очень неприятно исправить. http://support.microsoft.com/kb/885875

Я смог исправить проблему, и мы продолжили нашу виртуализацию. Однако - на этот раз у меня была только готовая виртуальная машина на standy в случае отказа хоста контроллера домена, я просто присоединяю standy к домену в качестве нового контроллера домена - это работало хорошо.

Это более обновленное и может быть полезно: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Бен ДеМотт
источник