Віртуалізація Active Directory

Моя компанія прагне спробувати віртуалізувати всі наші сервери, і ми намагаємось з’ясувати, чи віртуалізація активного каталогу - це добра ідея. Чи це навіть щось, що можна зробити, і якщо так, то є якісь недоліки в налаштуванні цього способу. Моя мережа налаштована на декілька фізичних серверів, декілька віртуальних серверів та SAN.

Якщо вам потрібна додаткова інформація, будь ласка, повідомте мене про це.

Microsoft рекомендує підтримувати принаймні один контролер фізичного домену у кожному домені.

У більшості середовищ це не потребує великого сервера. Навіть 64-бітний двоядерний сервер Atom Atom , що споживає 25 Вт енергії та коштує менше 500 доларів при налаштуванні 4 Гб оперативної пам’яті та пари 2,5-дюймових жорстких дисків в RAID1, може забезпечити дуже корисний фізичний контролер домену / DNS / DHCP-сервер на сервері Server 2008 R2.

Основна перевага в постійному обслуговуванні фізичного контролера домену полягає у запобіганні проблем "холодного запуску" при перезапуску віртуалізованого середовища після оновлень / оновлень, відключення електроживлення тощо. Це особливо актуально, якщо ви використовуєте сервери Hyper-V в якості хостів віртуалізації. , оскільки ці машини очікують, що зможуть знайти контролер домену при запуску.

Основна проблема, яку я бачив із віртуалізованими комп'ютерами домену Active Directory (DC), що стосується синхронізації часу. AD дуже покладається на своєчасну синхронізацію між вашими постійними динаміками, тому переконайтесь, що ваші гіпервізори налаштовані відповідно до технічних характеристик виробника, щоб дозволити гостям віртуальних машин мати постійну синхронізацію часу.

Поза часом синхронізації я не маю жодного поганого досвіду з віртуалізованими постійними струмами, щоб звітувати. Не робіть з ними нічого, чого не зробили б з фізичними контролерами домену. Будьте впевнені, що ви не відкочуєте назад постійні віртуальні машини, використовуючи такі функції, як знімки, тому що ви можете викликати проблеми реплікації бази даних (еквівалентно відновленню старої резервної копії фізичного постійного струму). Не клонуйте постійні вим-центри постійного струму (що еквівалентно фізичним постійним постійним струмом).

Редагувати:

Я настійно рекомендую тримати принаймні один фізичний постійний струм навколо, аби відповісти на відповідь @ MilesErickson. Я б пішов так далеко, щоб сказати, що вам потрібен один фізичний постійний струм у кожному місці, де ви розміщуєте серверні комп'ютери, щоб ті машини могли бути "холодними", коли WAN-з'єднання не працює.

Тим часом назад ми віртуалізували контролери домену для AD / Server 2003. Це добре спрацювало, за винятком випадків, коли на одній із машин була старша версія, VM запустився замість останньої версії. Це спричинило серйозну проблему - і зробило це таким чином, щоб сервер AD перестав реплікувати та довіряти іншим серверам.

Що я пізніше з’ясував, це було відхиленням USN - це дуже неприємно виправити. http://support.microsoft.com/kb/885875

Я зміг виправити проблему, і ми продовжили нашу віртуалізацію. Однак - цього разу я просто мав готовий VM в режимі очікування, якщо хост-хостинг-контролер не вдався, я би просто приєднався до домену як новий контролер домену - це спрацювало добре.

Це оновлено та може бути корисним: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx