Virtualizzazione di Active Directory

14

La mia azienda sta cercando di provare a virtualizzare tutti i nostri server e stiamo cercando di capire se la virtualizzazione di active directory è una buona idea. È anche qualcosa che può essere fatto, e in tal caso ci sono degli svantaggi nel configurarlo in questo modo. La mia rete è configurata con più server fisici, più server virtuali e una SAN.

Se hai bisogno di ulteriori informazioni, per favore fatemelo sapere.

active-directory  virtualization 
poconnor
fonte
1
Zoredache l'
@Zoredache Forse le due domande possono essere unite?
Ward - Ripristina Monica
@Ward, potrebbe essere necessario riscrivere entrambe le domande e alcune delle risposte. L'altra domanda è se è possibile virtualizzare un "controller di dominio", questo sembra riguardare la virtualizzazione di tutti i controller di dominio.
Zoredache,

Risposte:

19

Microsoft consiglia di mantenere almeno un controller di dominio fisico in ciascun dominio.

Per la maggior parte degli ambienti, questo non deve necessariamente essere un server. Anche un server Atom su rack dual-core a 64 bit , che consuma 25 watt di potenza e costa meno di $ 500 se configurato con 4 GB di RAM e una coppia di dischi rigidi da 2,5 "in RAID1, può fornire un controller di dominio fisico / DNS / molto utile Server DHCP che esegue Server 2008 R2.

Il principale vantaggio reale di mantenere sempre un controller di dominio fisico è quello di prevenire problemi di "avvio a freddo" quando si riavvia l'ambiente virtualizzato dopo aggiornamenti / upgrade, interruzioni di corrente, ecc. Ciò è particolarmente rilevante se si utilizzano server Hyper-V come host di virtualizzazione , poiché queste macchine si aspettano di poter trovare un controller di dominio all'avvio.

Skyhawk
fonte
6
Miles ha un ottimo punto sulle partenze a freddo. Risolve anche il problema di tempo se la macchina fisica detiene il ruolo di emulatore PDC.
Jim B,
1
@Jim B: Avere il ruolo di Emulatore PDC sul controller fisico fisico è una buona cosa, ma è comunque necessario assicurarsi che i propri ospiti siano configurati per le migliori pratiche del fornitore dell'hypervisor.
Evan Anderson,
Inoltre, se si utilizzano controller di dominio Windows per i servizi DNS, l'hypervisor O / S (VMware / Hyper-V / ecc.) Si aspetterà di utilizzare il DNS per le risoluzioni dei nomi anche prima dell'avvio dei VM guest (inclusi i controller di dominio virtualizzati) ... motivo in più per avere almeno un DC fisico in giro.
ewall
@evan Anderson è vero, ma per la maggior parte fanno eco ai consigli di microsoft per gli ospiti virtuali e quando sono in conflitto devi dare un giudizio.
Jim B,
Per alcuni degli stessi motivi presentati in precedenza, non consiglio di installare l'hypervisor su un'installazione fisica di Windows che è un membro del dominio ma NON un controller di dominio. Potresti ottenere risultati migliori se l'host non è nemmeno unito al dominio.
Jonathan J
16

Il problema principale che ho riscontrato con i computer virtualizzati controller di dominio Active Directory (DC) riguarda problemi di sincronizzazione dell'ora. AD fa molto affidamento su una buona sincronizzazione temporale tra i controller di dominio, quindi assicurati che i tuoi hypervisor siano configurati secondo le specifiche del produttore per consentire alle VM guest di avere una sincronizzazione a tempo pieno.

Oltre la sincronizzazione temporale non ho avuto brutte esperienze con i controller di dominio virtualizzati da segnalare. Non fare nulla con loro che non faresti con i controller di dominio fisici. Assicurati di non ripristinare le VM DC utilizzando funzionalità come snapshot perché potresti causare problemi di replica del database (equivalente al ripristino di un vecchio backup di un DC fisico). Non clonare DC VM (equivalenti a DC fisici di imaging del disco).

Modificare:

Consiglio vivamente di tenere almeno una DC fisica in giro, per fare eco alla risposta di MilesErickson. Andrei fino al punto di dire che è necessario un controller di dominio fisico in ogni posizione in cui si ospitano computer server per consentire a tali macchine di essere "avviate a freddo" quando la connettività WAN è inattiva.

Evan Anderson
fonte
3
Concordo: ho un certo numero di controller di dominio virtualizzati che funzionano senza problemi. Il tempo può essere un problema se non li configuri correttamente.
Driftpeasant
1
Anche me. Nessun problema di cui parlare.
joeqwerty,
6
Ah, l'odore del rollback USN al mattino ...
Massimo
1
Ho gestito più siti per anni con un controller di dominio fisico e un controller di dominio virtuale senza problemi.
Keith Stokes,
Divertente come leggi il rollback USN in un post ServerFault dopo non averlo sentito per un po '... e poi improvvisamente appare il giorno successivo nel sito di un cliente.
Massimo
4

Qualche tempo fa abbiamo virtualizzato i controller di dominio per AD / Server 2003. Funzionava bene tranne quando una delle macchine aveva una versione precedente della sua VM avviata al posto dell'ultima versione. Ciò ha causato un problema SERIO e ha fatto sì che il server AD smettesse di replicarsi e fidarsi degli altri server.

Ciò che in seguito ho scoperto è stato innescato da un rollback USN: è molto spiacevole da risolvere. http://support.microsoft.com/kb/885875

Sono stato in grado di correggere il problema e abbiamo continuato la nostra virtualizzazione. Tuttavia, questa volta ho avuto una VM già pronta in stand-by nel caso in cui un host del controller di dominio fallisse, mi sarei unito al standy al dominio come un nuovo controller di dominio, ha funzionato bene.

Questo è più aggiornato e può essere utile: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Ben DeMott
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.