Czy kontroler domeny systemu Windows można zwirtualizować?

24

Tylko pytanie dotyczące tytułu. Czy jest jakiś problem? Jakieś doświadczenia w tym zakresie?

FerranB
źródło

Odpowiedzi:

31

Tak, można to zrobić. Stosowność do tego jest przedmiotem dyskusji.

  • Upewnij się, że czas pozostaje zsynchronizowany! To jest bardzo ważne. DC z nieprawidłowym czasem może spowodować spustoszenie.
  • Wyłącz i nie używaj migawek. Powrót do starej migawki w domenie z wieloma kontrolerami domeny spowoduje ogromny chaos.
  • Nie zawieszaj / nie wstrzymuj kontrolera domeny.
  • Upewnij się, że serwer VM nie zostanie przeciążony.
  • Sugeruję, aby uruchomić co najmniej jeden kontroler domeny w domenie na prawdziwym sprzęcie, jeśli masz większą sieć.

Czy możesz wyjaśnić punkt chaosu migawki? Czy powrót do migawki nie będzie działał jak przywracanie z kopii zapasowej, tzn. Zsynchronizuje ostatnie zmiany z innych kontrolerów domeny?

Active Directory nie jest zaprojektowany do obsługi tego. Po replikacji aktualizacja nie będzie ponownie replikowana. Zwykle w przypadku przywracania aktywnego katalogu należy przejść specjalną procedurę. ( http://technet.microsoft.com/en-us/library/cc779573.aspx ). KB artykuł Sam Cogan i gharper wspomniano konkretnie rozwiązać ten punkt.

W szczególności usługa Active Directory nie obsługuje żadnej metody przywracającej migawkę systemu operacyjnego lub woluminu, w którym znajduje się system operacyjny. Ten rodzaj metody powoduje wycofanie numeru sekwencji aktualizacji (USN). W przypadku wycofania numeru USN partnerzy replikacji nieprawidłowo przywróconego kontrolera domeny mogą mieć niespójne obiekty w swoich bazach danych usługi Active Directory. W tej sytuacji nie można uczynić tych obiektów spójnymi.

Nie obsługujemy również funkcji „cofania” i „różnicowania” w Virtual PC na obrazach systemu operacyjnego dla kontrolerów domeny działających w wirtualnych środowiskach hostingowych.


Zespół Microsoft AD właśnie opublikował nowy artykuł na temat wirtualizacji kontrolerów domeny, który zawiera kilka zaleceń.

Zoredache
źródło
Czy możesz wyjaśnić punkt chaosu migawki? Czy powrót do migawki nie będzie działał jak przywracanie z kopii zapasowej, tzn. Zsynchronizuje ostatnie zmiany z innych kontrolerów domeny?
Neobyte
Ach, tak, wycofanie USN. To naprawdę śmiertelne.
Massimo,
2
Oczywiście użycie migawki zwirtualizowanego prądu stałego w izolowanej sieci podczas testowania DR jest dobrym sposobem na zaoszczędzenie czasu.
Richard Gadsden
Jeśli masz tylko jeden kontroler domeny, czy używanie migawek nadal stanowi ryzyko?
Adwokat diabła
5

Tak, można go zwirtualizować, nie, nie napotkaliśmy żadnych problemów (VMWare ESX i VMWare Server 2), i z mojego doświadczenia wynika, że ​​jest to prawie tak samo, jak uruchamianie kontrolera domeny na serwerze fizycznym.

Microsoft ma artykuł z rzeczami do rozważenia, które warto przeczytać.

gharper
źródło
2

Tak, można to zrobić, zrobiłem to i działa dobrze. Robiąc to, musisz wziąć pod uwagę kilka rzeczy. Ten artykuł bazy wiedzy stanowi dobry przewodnik po tych rozważaniach.

Sam Cogan
źródło
2

Wirtualizujemy DC od lat. Polecam użycie co najmniej dwóch fizycznych hostów z ESX i DRS. W ramach DRS ustaw regułę, aby dwie maszyny wirtualne (zakładam, że masz PDC i BDC) nie działały na tym samym hoście. Jeśli twoje hosty są już zgrupowane z włączoną funkcją DRS, po prostu skonfiguruj regułę DRS.

Możesz skonfigurować hosty ESX do korzystania z NTP do aktualizacji czasu, a na twoich kontrolerach centralnych narzędzia vmware synchronizują swój czas z hostem ESX.

szałwia
źródło
1
+1 dla reguły DRS „trzymaj maszyny oddzielnie”.
Greg Work
1

Minęło trochę ponad miesiąc, odkąd zamieniłem nasze fizyczne DC na wirtualne. Wykorzystanie jest zwykle BARDZO niskie i nie miało ani jednego problemu. Podczas niezwiązanego wezwania do wsparcia wirtualizacji MS, zadałem kilka pytań, a oni nie mieli żadnych ostrzeżeń ani zastrzeżeń do mnie.

Kara Marfia
źródło
0

Możesz wirtualizować kontrolery domeny (mam kilka do celów testowych).

Klonowanie: Tworzę maszyny wirtualne, aby móc je klonować - po klonowaniu zawsze promuj do DC. Sysprep (lub inne narzędzia używane do regeneracji SID) niszczy kontrolery domeny. Chcesz klonować tylko bez uruchamiania sysprep w izolowanym środowisku (np. Ogrodzenie kierownika laboratorium).

Stromy
źródło