Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Windows Server 2012 a novější podporují virtualizované řadiče domény (DC) s bezpečnostními opatřeními, která zabraňují vrácení pořadového čísla aktualizace (USN) na virtuálních řadičích domény a umožňují klonovat virtuální řadiče domény. Virtualizace konsoliduje různé role serveru do jednoho fyzického počítače. Další informace naleznete v tématu Bezpečná virtualizace služby AD DS (Active Directory Domain Services).
Tato příručka popisuje, jak spouštět řadiče domény jako 32bitové nebo 64bitové hostované operační systémy.
Plánování virtualizace
Následující části obsahují aspekty plánování, které byste měli znát při virtualizaci řadiče domény, včetně požadavků na hardware, architektury, konfigurace a správy zabezpečení a výkonu.
požadavky na Hyper-V
Chcete-li nainstalovat a používat roli Hyper-V, musí hardware splňovat následující požadavky:
Musíte mít procesor x64.
Procesor vám musí umožnit povolit funkci virtualizace s hardwarovým řízením.
- Toto nastavení je obvykle známé jako Intel Virtualization Technology (Intel VT) nebo Advanced Micro Devices Virtualization (AMD-V).
Váš procesor musí podporovat hardwarovou ochranu spuštění dat (DEP).
- Hyper-V můžete použít pouze v případě, že povolíte bit Intel execute disable (XD) nebo bit AMD no execute (NX).
Vyhněte se jednotlivým bodům selhání
Při plánování nasazení virtuálního řadiče domény byste si měli připravit strategii, abyste se vyhnuli vytváření jednotlivých bodů selhání. Zavedením redundance systému se můžete vyhnout vzniku potenciálních jednotlivých bodů selhání nebo oblastí, kde může výpadek způsobit ukončení fungování celého systému.
Následující doporučení vám mohou pomoci předejít selháním v jednom bodě. Je však také důležité si uvědomit, že dodržování těchto doporučení může zvýšit náklady na správu.
Provozujte alespoň dva virtualizované řadiče domény v jedné doméně na různých virtualizačních hostitelích. Tato konfigurace snižuje riziko ztráty všech řadičů domény, pokud hostitel virtualizace přestane fungovat.
Diverzifikujte hardware, na kterém běží vaše řadiče domény. Můžete například používat různé procesory, základní desky, síťové adaptéry atd. Rozmanitý hardware zabraňuje poškození způsobenému poruchami zařízení a hardwaru nebo konfigurací dodavatele.
Pokud je to možné, spouštějte řadiče domény na hardwaru umístěném v různých oblastech. Tento přístup snižuje následky katastrof, které postihnou jeden z webů hostujících vaše řadiče domény.
Přidejte fyzické řadiče domény do všech svých domén. Konfigurace systému tak, aby měl fyzické řadiče domény, zabrání tomu, aby v hostitelských systémech došlo k poruchám virtualizační platformy.
Bezpečnostní aspekty
Hostitelský počítač, na kterém virtuální řadiče domény spouštíte, je nutné spravovat stejně pečlivě jako zapisovatelný řadič domény, a to i v případě, že se jedná pouze o počítač připojený k doméně nebo o počítač v pracovní skupině. Tento požadavek je z bezpečnostních důvodů. Špatně spravovaní hostitelé jsou zranitelní vůči útokům na zvýšení oprávnění, kdy uživatelé se zlými úmysly získají přístup k vyšším oprávněním, než by měli, protože správce přiřadil nesprávnou úroveň oprávnění přiřazení role na nižší úrovni. Tyto útoky mohou ohrozit všechny virtuální počítače, domény a doménové struktury hostované postiženým počítačem.
Pokud plánujete virtualizaci řadiče domény, mějte na paměti následující aspekty zabezpečení:
Přihlašovací údaje místního správce počítače, který je hostitelem virtuálních zapisovatelných řadičů domény, by měly být považovány za rovnocenné s výchozím správcem domény všech domén a doménových struktur, do kterých tyto řadiče domény patří.
Doporučujeme nakonfigurovat systém tak, aby obsahoval hostitele, na kterém běží instalace jádra serveru systému Windows Server bez dalších aplikací kromě technologie Hyper-V. Tato konfigurace omezuje počet aplikací a serverů, které na server nainstalujete. Toto omezení má za následek lepší výkon systému a také vytváří menší prostor pro útoky, kde je méně vstupních bodů pro škodlivé útoky prostřednictvím aplikací a služeb.
V případě poboček nebo jiných míst, která lze obtížně zabezpečit, doporučujeme používat řadiče domény jen pro čtení (RODC). Pokud máte samostatnou síť pro správu, doporučujeme připojit k síti pro správu pouze hostitele. Další informace o řadičích domény jen pro čtení naleznete v tématu Instalace řadiče domény Read-Only domény Active Directory systému Windows Server (RODC) (úroveň 200).
Řadiče domény můžete zabezpečit pomocí nástroje BitLocker. V systému Windows Server 2016 a novějších verzích můžete také použít virtuální funkci TPM (Trusted Platform Module), která poskytuje materiál klíče hosta potřebný k odemknutí systémového svazku.
Chráněné prostředky infrastruktury a stíněné virtuální počítače mohou poskytovat další ovládací prvky pro ochranu vašich řadičů domény.
Další informace o zabezpečení řadičů domény naleznete v příručce Osvědčené postupy pro zabezpečení instalací služby Active Directory.
Hranice zabezpečení pro konfigurace hostitele a hosta
Virtuální počítače (VM) můžete implementovat na mnoha různých typech konfigurací řadičů domény. Proto je třeba pečlivě zvážit, jak tyto virtuální počítače ovlivňují hranice a vztahy důvěryhodnosti v topologii služby Active Directory. Následující seznam popisuje dvě konfigurace, které můžete nastavit pro řadiče domény a hostitele služby Active Directory na serveru Hyper-V a hostované počítače, které jsou virtuálními počítači spuštěnými na serveru Hyper-V:
- Hostitel, který je pracovní skupinou, nebo členský počítač s hostem, který je řadičem domény.
- Hostitel, který je pracovní skupinou nebo členským počítačem s hostem, který je také počítačem pracovní skupiny nebo členem.
Následující diagram znázorňuje konfiguraci tří hostovaných virtuálních počítačů řadiče domény hostovaných na serveru Hyper-V.
.gif)
Schéma příkladu nasazení tří virtuálních strojů (VM) a Hyper-V serveru. Tyto tři virtuální počítače jsou uvnitř modrého obdélníku označeného jako "hostované počítače". Všechny tři virtuální počítače jsou řadiče domény. Virtuální počítač 1 je v doméně Corp a v doménové struktuře Contoso.com. Virtuální počítač VM2 je v doméně společnosti Fabrikam a v doménové struktuře Fabrikam.com. Virtuální počítač 3 je v doméně HQ a v doménové struktuře Fineartschool.net. Server Hyper-V je mimo modrý obdélník. Jedná se o členský server umístěný v doméně Corp a Contoso.com doménové struktuře.
Na základě příkladu konfigurace v předchozím diagramu je zde několik důležitých informací, které byste měli vzít v úvahu při plánování nasazení, jako je toto:
Přístup správce
- S přihlašovacími údaji správce na hostitelském počítači by se mělo zacházet stejně jako s pověřeními správce domény na zapisovatelném řadiči domény. V případě hosta na řadiči domény jen pro čtení by se s pověřeními správce hostitelského počítače mělo zacházet stejně jako s pověřeními místního správce na hostovaném řadiči domény jen pro čtení.
Oprávnění správce řadiče domény v hostitelském počítači
- Správce virtualizovaného řadiče domény má oprávnění správce k hostiteli, pokud hostitele připojíte ke stejné doméně. Toto přístupové oprávnění ale může také dát uživatelům se zlými úmysly příležitost ohrozit všechny virtuální počítače, pokud mohou získat přístup k virtuálnímu počítači 1. Tento scénář vytvoří možný vektor útoku. Tomuto vektoru útoku můžete zabránit tím, že zajistíte, aby všechny řadiče domény nakonfigurované pro více domén nebo doménových struktur měly centralizovanou doménu správy, které důvěřují všechny domény, a že hostitel virtualizace se stane členem vysoce privilegované domény pro správu. Tento přístup brání jednotlivým správcům domény v řízení hostitele, a tím i ostatních domén.
Zabránění útokům
- Uživatelé se zlými úmysly mohou na virtuální počítač VM 1 zaútočit i v případě, že jej nainstalujete jako řadič domény jen pro čtení. Přestože správci řadiče domény jen pro čtení nemají explicitně práva správce domény, mohou jej přesto používat k použití zásad na hostitelský počítač. Tyto zásady mohou zahrnovat například spouštěcí skripty. Pokud aktér se zlými úmysly najde způsob, jak získat práva správce řadiče domény jen pro čtení a odešle zásadu se škodlivým spouštěcím skriptem, může ohrozit hostitelský počítač a použít jej k ohrožení dalších virtuálních počítačů na hostiteli.
Zabezpečení souborů virtuálního pevného disku (VHD)
- Soubory VHD pro virtuální řadič domény se podobají fyzickému pevnému disku fyzického řadiče domény. Při zabezpečení souboru VHD byste měli být stejně opatrní jako u pevného disku. Ujistěte se, že přístup k těmto souborům VHD povolíte pouze spolehlivým a důvěryhodným správcům.
RODCs
- Řadiče domény jen pro čtení můžete umístit na místa, kde není zaručeno fyzické zabezpečení, například v pobočkách. Jejich soubory VHD můžete chránit pomocí nástroje Windows BitLocker Drive Encryption před útoky na hostitele, které zahrnují krádež fyzického disku. Tyto ochrany se však nevztahují na souborové systémy uvnitř řadiče domény jen pro čtení.
Důležité informace o výkonu
64bitová architektura Microkernel má lepší Hyper-V výkon než předchozí virtualizační platformy.
Výkon virtuálního počítače závisí na úloze, pro kterou jej používáte. Doporučujeme otestovat konkrétní topologie virtuálních počítačů, abyste se ujistili, že jste spokojeni s výkonem nasazení služby Active Directory. Výkon při úlohách v určitém časovém období můžete posoudit pomocí nástrojů, jako je Sledování spolehlivosti a výkonu (Perfmon.msc) nebo sada nástrojů Microsoft Assessment and Planning (MAP). Nástroj MAP vám také může pomoci provést inventuru všech serverů a rolí serverů, které se aktuálně nacházejí ve vaší síti.
Abyste měli představu o tom, jak testování výkonu virtualizovaného řadiče domény funguje, vytvořili jsme příklad testu výkonu pomocí nástroje pro testování výkonu služby Active Directory (ADTest.exe).
Testy protokolu LDAP (Lightweight Directory Access Protocol) byly provedeny na fyzickém řadiči domény pomocí ADTest.exerozhraní . Stejné testy byly provedeny na virtualizovaném řadiči domény, který se skládal z virtuálního počítače hostovaného na serveru identickém s fyzickým řadičem domény. V tomto příkladu sestavení byl použit pouze jeden logický procesor pro fyzický počítač a pouze jeden virtuální procesor pro virtuální počítač. Tato konfigurace umožnila nasazení snadno dosáhnout 100% využití procesoru.
V následující tabulce jsou uvedeny výsledky testů pro fyzické a virtuální řadiče domény. Písmena a číslice v závorkách vedle názvů testů jsou jejich popisky v ADTest.exe. Tato data ukazují, že výkon virtualizovaného řadiče domény se pohyboval mezi 88 až 98 procenty výkonu fyzického řadiče domény.
| Measurement | Test | Physical | Virtual | Delta |
|---|---|---|---|---|
| Searches/sec | Hledání běžného názvu v základním oboru (L1) | 11508 | 10276 | -10.71% |
| Searches/sec | Vyhledání sady atributů v základním oboru (L2) | 10123 | 9005 | -11.04% |
| Searches/sec | Hledání všech atributů v základním oboru (L3) | 1284 | 1242 | -3.27% |
| Searches/sec | Hledání běžného názvu v oboru podstromu (L6) | 8613 | 7904 | -8.23% |
| Úspěšné vazby za sekundu | Provádění rychlých vazeb (B1) | 1438 | 1374 | -4.45% |
| Úspěšné vazby za sekundu | Provádění jednoduchých vazeb (B2) | 611 | 550 | -9.98% |
| Úspěšné vazby za sekundu | Použití protokolu NTLM k provádění vazeb (B5) | 1068 | 1056 | -1.12% |
| Writes/sec | Zápis více atributů (W2) | 6467 | 5885 | -9.00% |
Abychom maximalizovali výkon v našem testovacím nasazení, nainstalovali jsme do tohoto testovacího sestavení integrační komponenty (IC), které umožňují hostovanému operačnímu systému používat syntetické ovladače podporující hypervizor. Při instalaci integrovaného obvodu je někdy nutné použít emulované integrované elektronické pohonné jednotky (IDE) nebo ovladače síťového adaptéru. V produkčním prostředí byste měli tyto emulované ovladače nahradit syntetickými ovladači, abyste zvýšili výkon.
Na základě tohoto testu zvažte následující doporučení pro zlepšení výkonu:
Když pomocí tohoto
Perfmon.mscnástroje monitorujete výkon virtuálního počítače, někdy nejsou informace o procesoru pro virtuální počítač zcela přesné. Tato nepřesnost je způsobena tím, jak je naplánován provoz virtuálního procesoru na fyzickém procesoru. Chcete-li získat přesnější informace o procesoru pro virtuální počítače spuštěné na Hyper-V serverech, použijte místo toho čítače logického procesoru Hyper-V hypervisoru v oddílu hostitele. Další informace o ladění výkonu služby AD DS i Hyper-V najdete v tématu Pokyny pro ladění výkonu pro Windows Server.Doporučujeme vyhnout se používání rozdílových diskových virtuálních pevných disků na virtuálním počítači nakonfigurovaném jako řadič domény, protože rozdílové diskové virtuální pevné disky mohou snížit výkon. Další informace o Hyper-V typech disků, včetně rozdílových disků, naleznete v tématu Průvodce vytvořením virtuálního pevného disku.
Doporučujeme také seznámit se s informacemi o používání služby AD DS ve virtuálních hostitelských prostředích v článku Co je třeba vzít v úvahu při hostování řadičů domény služby Active Directory ve virtuálních hostitelských prostředích.
Aspekty nasazení
Následující části popisují běžné postupy virtuálních počítačů, kterým je třeba se vyhnout při nasazování řadičů domény, a zvláštní aspekty synchronizace času a úložiště.
Doporučení pro nasazení
Virtualizační platformy, jako je Hyper-V, mají mnoho funkcí, které usnadňují správu, údržbu, zálohování a migraci počítačů. Existují však určitá doporučení, která musíte dodržovat, abyste mohli tyto funkce využívat pro své virtuální řadiče domény.
Abyste zajistili odolnost zápisů služby Active Directory, nenasazujte virtuální soubory databáze DC, jako je NTDS. Databáze , protokoly a SYSVOL služby DIT na virtuálních discích IDE Místo toho vytvořte druhý virtuální pevný disk (VHD) připojený k virtuálnímu řadiči SCSI (Small Computer System Interface) a při instalaci řadiče domény zajistěte, aby byly databázové soubory na disku SCSI virtuálního počítače.
Neimplementujte rozdílové diskové virtuální pevné disky na virtuálním počítači, který konfigurujete jako řadič domény. I když tento přístup usnadňuje návrat k nasazení na předchozí verze, snižuje také výkon. Další informace o typech virtuálních pevných disků najdete v tématu Průvodce vytvořením virtuálního pevného disku.
Nenasazujte domény a doménové struktury služby Active Directory na kopii operačního systému Windows Server, aniž byste je nejprve připravili k nasazení pomocí nástroje pro přípravu systému (sysprep). Další informace o spuštění nástroje Sysprep naleznete v tématu Přehled nástroje Sysprep (příprava systému).
Warning
Spuštění nástroje Sysprep na povýšeném řadiči domény se nedoporučuje, protože může negativně ovlivnit databázi AD a související komponenty a způsobit následující problémy:
- Ztráta dat
- Poškození databáze AD
- Problémy se stabilitou a funkčností
- Problémy s aplikacemi, službami a ovladači
Nenasazujte jiné řadiče domény s kopií souboru VHD z řadiče domény, který jste nasadili. Nepoužití kopií zabrání potenciálním scénářům vrácení USN. Další informace o vrácení USN zpět naleznete v tématu USN a vrácení USN zpět.
- V systému Windows Server 2012 a novějších verzích mohou správci klonovat bitové kopie řadičů domény a nasadit tak další bitové kopie, ale pouze v případě, že používají správně připravené bitové kopie.
Funkci Exportovat Hyper-V nepoužívejte k exportu virtuálního počítače, na kterém běží řadič domény.
V systému Windows Server 2012 a novějších verzích systém zpracovává export a import virtuálních hostů řadiče domény jako neautoritativní obnovení. Tento proces zjistí, zda se ID generování změnilo a zda řadič domény není nakonfigurován pro klonování.
Při exportu hostovaného virtuálního počítače se musíte ujistit, že ho nikdo nepoužívá. Aby to bylo jednodušší, můžete pomocí služby Replikace Hyper-V vytvořit neaktivní kopii řadiče domény. Když začnete používat replikovanou bitovou kopii, musíte také provést vyčištění jako u zdrojové bitové kopie po exportu bitové kopie hosta řadiče domény.
Převod fyzických na virtuální
System Center VM Manager (VMM) umožňuje spravovat fyzické počítače a virtuální počítače jednotným způsobem. Nástroj VMM můžete také použít k migraci fyzického počítače na virtuální počítač. Tento proces migrace se nazývá převod fyzickýchto-VM nebo převod P2V. Chcete-li zahájit proces převodu P2V, musíte se ujistit, že virtuální počítač a fyzický řadič domény, který migrujete, neběží současně. Zajištěním toho, aby tyto dva počítače neběžely současně, zabráníte scénářům vrácení zpět do USN, jak je popsáno v tématu USN a vrácení zpět USN.
Převod P2V byste měli provést v režimu offline, aby byla data adresáře po opětovném zapnutí řadiče domény konzistentní. Režim offline můžete přepnout v instalačním programu Převést fyzický server. Další informace o tom, jak používat režim offline, najdete v tématu P2V: Převod fyzických počítačů na virtuální počítače v nástroji VMM.
Virtuální počítač byste také měli odpojit od sítě během převodu P2V. Síťový adaptér byste měli povolit až po dokončení procesu převodu a ověření, že vše funguje. V tomto okamžiku byste měli vypnout fyzický zdrojový počítač. Nezapínejte fyzický zdrojový počítač znovu a znovu jej připojujte k síti, dokud nepřeformátujete pevný disk.
Jak se vyhnout vrácení USN zpět
Při vytváření virtuálních řadičů domény byste se měli vyhnout vytváření scénářů vrácení zpět USN. Abyste se vyhnuli vrácení zpět, můžete nastavit nový virtuální řadič domény pomocí pravidelné propagační akce, povýšení ze služby Instalovat z média (IfM) nebo klonováním řadiče domény, pokud již máte alespoň jeden virtuální řadič domény. Tento přístup vám také umožní vyhnout se problémům s hardwarem nebo platformou, se kterými se mohou virtuální hosté konvertovat P2V.
Warning
Chcete-li předejít problémům s replikací služby Active Directory, zajistěte, aby v dané síti v daném okamžiku existoval pouze jeden fyzický nebo virtuální řadič domény. Pravděpodobnost, že starý klon bude problém, můžete snížit pomocí jedné z následujících metod:
Když je nový virtuální řadič domény spuštěn, spusťte dvakrát následující příkaz a změňte heslo účtu počítače:
netdom resetpwd /Server:<domain-controller>Exportem a importem nového virtuálního hosta vynutíte, aby se stal novým ID generace a ID vyvolání databáze.
Testovací prostředí a P2V migrace
Migraci P2V v kombinaci s nástrojem VMM můžete použít k vytvoření testovacích prostředí. Pomocí této metody můžete migrovat produkční řadiče domény z fyzických počítačů do virtuálních počítačů a vytvořit tak testovací prostředí bez trvalého výpadku produkčních řadičů domény. Testovací prostředí je však nutné vytvořit v síti oddělené od produkčního prostředí, aby bylo možné existovat dvě instance stejného řadiče domény. Při vytváření testovacích prostředí pomocí migrace P2V je důležité vyhnout se vrácení zpět USN.
Vytvoření testovacího prostředí
Při vytváření testovacích prostředí pomocí P2V doporučujeme provést následující kroky:
Migrujte jeden v produkčním řadiči domény z každé domény na testovací virtuální počítač pomocí P2V na základě doporučení v převodu fyzických a virtuálních počítačů.
Po opětovném uvedení do režimu online umístěte fyzické výrobní počítače a testovací virtuální počítače do různých sítí.
Abyste se vyhnuli vrácení usN zpět v testovacím prostředí, odpojte všechny řadiče domény, které plánujete migrovat ze sítě. Řadiče domény můžete odpojit zastavením služby NTDS nebo restartováním počítačů v režimu obnovení adresářových služeb (DSRM).
Po odpojení řadičů domény od sítě nezavádějte do prostředí žádné nové aktualizace.
Během migrace P2V nepřipojujte žádný z počítačů k síti. Můžete je znovu připojit až po dokončení migrace všech počítačů.
Testovací řadiče domény, které vytvoříte po převodu P2V, byste měli povýšit pouze jako repliky v testovacím prostředí.
Časová služba a synchronizace
U virtuálních počítačů, které jste nakonfigurovali jako řadiče domény, doporučujeme zakázat synchronizaci času mezi hostitelským systémem a hostovaným operačním systémem, který funguje jako řadič domény. Pokud se hostovaný řadič domény nesynchronizuje s hostitelským systémem, synchronizuje se místo toho s hierarchií domény.
Pokud chcete zakázat poskytovatele synchronizace Hyper-V času, vypněte virtuální počítač, přejděte do nastavení virtuálního počítače, vyberte Integrační služby a zrušte zaškrtnutí políčka Synchronizace času .
Ukládání a optimalizace
Doporučujeme postupovat podle doporučení pro úložiště v této části, abyste optimalizovali výkon virtuálního počítače DC a zajistili odolnost zápisů služby Active Directory.
V případě úložiště hosta uložte databázový soubor služby Active Directory (
Ntds.dit) a soubory protokolu a adresáře SYSVOL na samostatný virtuální disk oddělený od souborů operačního systému. Doporučujeme ukládat tyto soubory na virtuální disk SCSI na druhém virtuálním pevném disku připojeném k virtuálnímu řadiči SCSI. Virtuální disk SCSI zvyšuje výkon a podporuje vynucený přístup k jednotkám (FUA). S FUA operační systém zapisuje a čte přímo z média a obchází všechny mechanismy ukládání do mezipaměti.Pokud k zabezpečení virtuálního hosta řadiče domény používáte Nástroj BitLocker, nakonfigurujte dodatečné svazky pro automatické odemknutí pomocí rutiny PowerShellu Enable-BitLockerAutoUnlock .
Při ukládání souborů VHD na hostitele byste měli používat disk, který není často používán jinými službami nebo aplikacemi, jako je systémový disk pro hostitelský operační systém. Každý soubor VHD uložte do samostatného oddílu odděleného od hostitelského operačního systému a dalších souborů VHD, nejlépe na samostatné fyzické jednotce.
Váš hostitelský systém fyzického disku musí splňovat alespoň jedno z následujících kritérií, aby splňoval požadavky na integritu dat virtualizované úlohy:
Hostitel používá disky serverové třídy, například SCSI nebo Fibre Channel.
Hostitel zajistí, aby byly disky připojené k adaptéru pro ukládání do mezipaměti zálohovaného baterií.
Hostitel používá jako úložné zařízení řadič úložiště, jako je systém RAID (Redundant Array of Independent Disks).
Hostitel používá k napájení disku nepřerušitelný zdroj napájení (UPS).
Hostitel ve výchozím nastavení zakáže funkci zápisu a ukládání do mezipaměti disku.
Při používání souborů VHD doporučujeme používat průchozí disky nebo virtuální pevné disky, protože jsou optimalizované pro výkon. Nedoporučujeme dynamicky rozšiřovat a diferencovat disky, protože mohou způsobit zpoždění, snížení výkonu při vysoké aktivitě disku a potenciální ztrátu dat při návratu k předchozímu snímku.
Doporučujeme používat virtuální řadiče SCSI, abyste snížili pravděpodobnost poškození dat služby Active Directory.
- Na Hyper-V serverech, které hostují virtuální řadiče domény, byste měli používat fyzické jednotky SCSI. Pokud váš scénář neumožňuje používat jednotky SCSI, měli byste místo toho zakázat ukládání zápisu do mezipaměti na jednotce ATA (Advanced Technology Attachment) nebo IDE (Integrated Drive Electronics). Další informace naleznete v tématu ID události 1539 – integrita databáze.
Provozní omezení pro řadiče domény VM
Řadiče domény spuštěné na virtuálních počítačích mají provozní omezení, která se nevztahují na řadiče domény spuštěné na fyzických počítačích. Pokud používáte virtualizovaný řadič domény, musíte dodržovat následující pravidla:
Nepozastavujte, nezastavujte ani neukládejte uložený stav řadiče domény ve virtuálním počítači déle, než je doba platnosti doménového struktury. Obnovení uloženého stavu, který jste pozastavili nebo uložili na delší dobu, než je doba platnosti záznamu, může narušit replikaci. Informace o tom, jak určit dobu platnosti náhrobku pro lesní strukturu, naleznete v tématu Určení doby platnosti pro lesní strukturu.
Nekopírujte ani neklonujte virtuální pevné disky.
Nepořizujte ani nepoužívejte snímky virtuálních řadičů domény. Místo toho byste měli použít trvalejší a spolehlivější metodu zálohování.
Nepoužívejte funkci Exportovat na virtuálním počítači s řadičem domény.
Neobnovujte ani nevracejte řadič domény ani obsah databáze služby Active Directory pomocí nepodporované metody zálohování.
Důležité informace o zálohování a obnovení
Řadiče domény je nutné zálohovat, aby nedošlo ke ztrátě dat v důsledku katastrofických scénářů nebo administrativních chyb. Metoda zálohování, kterou služba Active Directory podporuje, spočívá v obnovení zálohy stavu systému vytvořené z aktuální instalace řadiče domény, pomocí zálohovací aplikace. Aplikace by měla být kompatibilní se službou Active Directory, například Zálohování serveru. Další informace o podporovaných metodách zálohování najdete v podrobném průvodci zálohováním a obnovením služby AD DS.
Ve virtualizovaných nasazeních je třeba věnovat zvláštní pozornost určitým požadavkům na operace zálohování služby Active Directory. Pokud například obnovíte řadič domény pomocí kopie souboru VHD a po obnovení neaktualizujete verzi databáze řadiče domény, může to způsobit problémy s replikací kvůli nepřesným číslům sledování mezi replikami řadiče domény. Ve většině případů replikace tento problém nezjistí a nehlásí žádné chyby, ale nekonzistence mezi řadiči domény mohou v určitých scénářích potenciálně způsobit problémy.
Doporučený způsob zálohování a obnovy virtualizovaných řadičů domény
Metodou, kterou doporučujeme použít k zálohování a obnovení virtualizovaných řadičů domény, je spuštění programu Zálohování serveru v hostovaném operačním systému. Další informace naleznete v tématu Obnovení virtuálního řadiče domény.
I když technicky můžete k obnovení zálohy použít snímky nebo kopie souborů VHD, nedoporučujeme tyto metody používat z následujících důvodů:
Pokud zkopírujete nebo naklonujete soubor VHD, databáze se stane zastaralou, protože její číslo verze se při obnovení automaticky neaktualizuje. Tato nekonzistence ve sledovacích číslech znamená, že pokud virtuální pevný disk spustíte v normálním režimu, můžete potenciálně způsobit vrácení hodnoty USN zpět.
I když je Windows Server 2016 a novější kompatibilní se snímky, snímky neposkytují typ stabilní a trvalé historie záloh, kterou potřebujete k důsledné obnově systému během katastrofických scénářů. Snímky založené na službě Stínová kopie svazku (VSS), které můžete vytvořit v systému Windows Server 2016 Hyper-V a novějších, také nejsou kompatibilní s nástrojem BitLocker, což může způsobit potenciální problémy se zabezpečením. Tento problém brání databázovému stroji služby Active Directory v přístupu k databázi obsahující snímekHyper-V když se pokusí připojit svazek snímku.
Note
Projekt stíněného virtuálního počítače popsaný v části Střežené prostředky infrastruktury a stíněné virtuální počítače má zálohování řízené Hyper-V hostitelem jako necílový cíl pro maximální ochranu dat hostovaného virtuálního počítače.
USN a USN revert
Tato část popisuje problémy s replikací, ke kterým může dojít v důsledku nesprávného obnovení databáze služby Active Directory se starší verzí virtuálního počítače. Další informace o procesu replikace služby Active Directory naleznete v tématu Koncepty replikace služby Active Directory.
Jak služba AD DS a řadiče domény používají názvy USN
Služba AD DS používá čísla USN ke sledování replikace dat mezi řadiči domény. Při každé změně dat v adresáři se hodnota USN zvýší a označí novou změnu.
Cílové řadiče domény používají názvy USN ke sledování aktualizací každého oddílu adresáře, který ukládají. Síť USN také sleduje stav každého řadiče domény, na kterém jsou uloženy repliky těchto oddílů adresáře. Když řadiče domény replikují změny mezi sebou, dotazují se svých partnerských serverů pro replikaci na změny s USN většími, než je poslední změna, kterou řadič domény obdržel od svého partnera.
Tabulky metadat replikace, které obsahují čísla USN, najdete ve vektoru up-to-dateness a ve značce horní hranice. Zdrojový i cílový řadič domény používají tyto tabulky k filtrování požadovaných aktualizací pro cílový řadič domény.
Cílový řadič domény udržuje vektorovou tabulku up-to-dateness pro sledování původních aktualizací, které obdrží ze všech zdrojových řadičů domény. Když cílový řadič domény požaduje změny oddílu adresáře, poskytne zdrojovému řadiči domény svůj vektor up-to-dateness. Zdrojový řadič domény pak tuto hodnotu použije k filtrování aktualizací, které odesílá na cílový řadič domény. Zdrojový řadič domény odešle svůj vektor up-to-dateness do cílového řadiče domény po úspěšném dokončení cyklu replikace. Zdrojový řadič domény používá číslo USN ke sledování, zda je cílový řadič domény synchronizován s původními aktualizacemi na každém řadiči domény a zda jsou aktualizace do cílů na stejné úrovni jako zdroj.
Cílový řadič domény udržuje tabulku nejvyšších hodnot, aby sledoval nejnovější změny, které obdržel z konkrétního zdrojového řadiče domény pro konkrétní oddíl. Tabulka horních mezí zabraňuje zdrojovému řadiči domény v odesílání změn, které z něj cílový řadič domény již obdržel.
Identita adresářové databáze
Kromě čísel USN sledují řadiče domény adresářovou databázi zdrojových partnerských serverů pro replikaci. Systém udržuje identitu adresářové databáze běžící na serveru odděleně od identity samotného objektu serveru. Identita adresářové databáze na každém řadiči domény je uložena v atributu invocationIDNTDS Settings objektu, který je umístěn v cestě cn=NTDS Settings, cn=ServerName, cn=Servers, cn=*SiteName*, cn=Sites, cn=Configuration, dc=*ForestRootDomain*protokolu LDAP (Lightweight Directory Access Protocol).
Systém uloží identitu objektu serveru do atributu objectGUIDNTDS Settings objektu. Identita objektu serveru se nikdy nemění. Identita adresářové databáze se však změní za následujících okolností:
Když na serveru dojde k postupu obnovení stavu systému.
Když přidáte oddíl adresáře aplikace na server, odstraňte jej a poté jej znovu přidejte.
Když instance Hyper-V aktivuje své zapisovače VSS na oddílu obsahujícím virtuální pevný disk řadiče domény.
V tomto scénáři host aktivuje své vlastní zapisovače VSS. Tato akce je stejný mechanismus, který používá proces zálohování a obnovení. Tato metoda resetuje atribut.
invocationID
Atribut invocationID se vztahuje k sadě původních aktualizací na řadiči domény s konkrétní verzí adresářové databáze. Vektor up-to-datumovost a tabulky horních mezí používají invocationID identifikátor GUID a řadič domény, aby řadiče domény rozpoznaly, ze které kopie databáze služby Active Directory informace o replikaci pocházejí.
Atribut invocationID je hodnota globálně jedinečného identifikátoru (GUID), která je viditelná v horní části výstupu po spuštění příkazu repadmin /showrepl . Následující text představuje příklad výstupu příkazu:
Repadmin: running command /showrepl against full DC local host
Default-First-Site-Name\VDC1
DSA Options: IS_GC
DSA object GUID: 966651f3-a544-461f-9f2c-c30c91d17818
DSA invocationID: b0d9208b-8eb6-4205-863d-d50801b325a9
Když obnovíte službu AD DS na řadiči domény, systém resetuje atribut.invocationID Tato změna zvyšuje provoz replikace, přičemž doba trvání je relativní vzhledem k velikosti oddílu, který replikujete.
Pro demonstraci tohoto scénáře znázorňuje následující diagram ukázkové prostředí, ve kterém jsou virtuální řadič domény VDC1 a řadič domény DC2 dva řadiče domény ve stejné doméně. Tento diagram znázorňuje, jak řadič domény DC2 zjistí invocationID hodnotu ve VDC1 po resetování v podporovaném scénáři obnovení.
.gif)
Diagram znázorňující vývojový diagram pohledu VDC1 na sebe a pohledu DC2 na VDC1. Na lince VDC1 začíná VDC1 s USN 1000 a ID vyvolání B. Poté se obnoví na předchozí verzi, která má USN 500 a hodnotu InvocationID B. U VDC1 dojde ke změnám, které ji vrátí zpět na USN 600, zatímco ID vyvolání zůstane stejné. Na řádku s textem "Zobrazení řadiče DC2 v jednotce VDC1" začíná řadič domény DC2 ID vyvolání jednotky VDC1(A)@USN1000. Po obnovení řadiče VDC1 modul DC2 resetuje očekávané číslo USN z 1000 na 500, čímž se jeho hodnota pro ID vyvolání B VDC1(B)@USN500. Pokračuje ve sledování ID vyvolání A i ID vyvolání B. Po další sadě změn v jednotce VDC1 nyní řadič domény DC2 sleduje ID vyvolání A jednotky VDC1 z hodnoty USN 1000 a její nové ID vyvolání B z hodnoty USN 600.
Vrácení usn zpět
K vrácení čísla USN dochází, když systém nemůže aktualizovat číslo USN obvyklým způsobem, uživatel obchází aktualizace čísla USN nebo se řadič domény pokusí použít nižší číslo USN, než je jeho poslední aktualizace. Pokud systém zjistí vrácení čísla USN, zastaví replikaci dříve, než může neshoda způsobit divergenci v doménové struktuře.
Vrácení zpět USN může způsobit mnoho faktorů. Může k tomu dojít například v případě, že používáte staré soubory VHD nebo provádíte převod P2V bez trvalého odpojení fyzického počítače po převodu.
Zabránění vrácení USN zpět
Vrácení USN zpět můžete zabránit pomocí následujících opatření:
Pokud nepoužíváte Windows Server 2012 nebo novější, nepořizujte ani nepoužívejte snímek virtuálního počítače řadiče domény.
Nekopírujte soubor VHD řadiče domény.
Pokud nepoužíváte Windows Server 2012 nebo novější, neexportujte virtuální počítač, na kterém běží řadič domény.
Obnovujte řadič domény nebo vracejte zpět obsah databáze služby Active Directory pouze pomocí podporovaných řešení zálohování první strany, jako je například program Zálohování serveru.
Systém někdy nedokáže detekovat vrácení USN dříve, než může způsobit chyby replikace. Pokud dojde k chybám replikace, musíte zjistit rozsah problému a co nejdříve jej vyřešit. Další informace o tom, jak odstranit přetrvávající objekty, které se mohou vyskytnout v důsledku vrácení hodnoty USN, naleznete v článku Replikace služby Active Directory – událost s ID 1388 nebo 1988: Je zjištěn přetrvávající objekt.
Detekce vrácení zpět USN
Ve většině případů může systém detekovat vrácení USN zpět sledováním nekonzistencí v atributu invocationID způsobených obnovením řadiče domény bez resetování atributu. Systém Windows Server 2008 poskytuje ochranu proti chybám replikace po nepodporovaných operacích obnovení řadiče domény. Tyto ochrany se aktivují, když nepodporované obnovení vytvoří nižší čísla USN než původní verze, což představuje změny, které již partneři pro replikaci obdrželi.
Když cílový řadič domény v systému Windows Server požaduje změny pomocí dříve použitého čísla USN, cílový řadič domény interpretuje odpověď partnerského serveru pro replikaci tak, že jeho metadata replikace jsou zastaralá. Zastaralá metadata znamenají, že databáze služby Active Directory na zdrojovém řadiči domény se vrátila do předchozího stavu, takže systém odpovídajícím způsobem reaguje.
Řekněme například, že soubor VHD virtuálního počítače se vrátil zpět na předchozí verzi. V takovém případě cílový řadič domény zahájí následující karanténní opatření na řadiči domény, u kterého bylo zjištěno, že prošel nepodporovaným obnovením:
Služba AD DS pozastaví službu Přihlašování k síti, což zabrání uživatelským účtům a účtům počítačů ve změně hesel účtů. Tato akce zabrání ztrátě těchto změn, pokud k nim dojde po nesprávném obnovení.
Služba AD DS zakáže příchozí a odchozí replikaci služby Active Directory.
Služba AD DS vygeneruje v protokolu událostí adresářové služby ID události 2095, aby zaznamenala, co se stalo.
Následující diagram znázorňuje posloupnost událostí, ke kterým dochází, když služba AD DS zjistí vrácení USN zpět na VDC2, cílovém řadiči domény, který běží na virtuálním počítači. Na tomto obrázku dochází ke zjištění vrácení zpět USN u jednotky VDC2, když partner pro replikaci zjistí, že jednotka VDC2 odeslala hodnotu USN up-to-dateness, kterou dříve viděl cílový řadič domény. Tato podmínka znamená, že v databázi VDC2 došlo k vrácení zpět.
.gif)
Diagram znázorňující vývojový diagram aktualizací VDC2 a hodnoty DC1 up-to-dateness pro VDC2. VDC2 začíná s USN 100 a ID vyvolání A. Poté aktualizuje své názvy USN ze 101 na 200, což se replikuje do řadiče domény DC1. Uživatel si ale také vytvoří kopii VDC2 USN 200 na virtuálním pevném disku. Dále se VDC2 aktualizuje na USN 201 až 350 a replikuje tyto změny na DC1. VDC2 však poté selže. Uživatel pak obnoví VDC2 s kopií, kterou vytvořil na virtuálním pevném disku USN 200. Poté uživatel provede další aktualizaci VDC2 pro novou verzi USN 201-355. Řadič domény DC1 požaduje změny větší než USN 350 z řadiče DC2 a replikuje se, protože číslo USN na řadiči DC2 je vyšší než DC1. Nové verze USN 201 až 350 však nejsou stejné jako ty na DC1, což způsobuje vrácení USN zpět.
Řešení problémů s ID události 2095
Pokud se v protokolu událostí adresářové služby zobrazí ID události 2095, okamžitě postupujte podle těchto pokynů:
Izolujte virtuální počítač, který zaznamenal chybu, od sítě.
Zkontrolujte, jestli nahlášené změny pocházejí z tohoto řadiče domény a rozšířily se do jiných řadičů domény. Pokud byla událost výsledkem použití snímku nebo kopie virtuálního počítače, zkuste zjistit, kdy došlo k vrácení zpět USN. Jakmile budete mít čas, můžete zkontrolovat partnerské servery pro replikaci daného řadiče domény a zjistit, zda k replikaci došlo po vrácení zpět.
Pomocí nástroje Repadmin můžete zkontrolovat, odkud změny pocházejí. Informace o tom, jak používat Repadmin, najdete v tématu Monitorování a řešení potíží s replikací služby Active Directory pomocí Repadmin. Pokud se nemůžete rozhodnout, obraťte se na podporu Microsoftu a požádejte o pomoc.
Násilně degradujte stejnosměrný proud. Tato operace zahrnuje vyčištění metadat řadiče domény a převzetí rolí hlavního operačního serveru, označovaných také jako role FSMO (Flexible Single Master Operations). Další informace naleznete v tématu Obnovení po vrácení USN.
Odstraňte všechny dřívější soubory VHD pro řadič domény.
Nezjištěný revert USN
Řadič domény nemusí zjistit vrácení zpět USN v následujících scénářích:
Soubor VHD je připojen k různým virtuálním počítačům spuštěným na více místech současně.
USN na obnoveném DC se zvýšilo nad poslední USN přijaté druhým DC.
Ve scénáři se souborem VHD se mohou jiné řadiče domény replikovat s jedním z virtuálních počítačů a ke změnám může dojít na kterémkoli virtuálním počítači, aniž by se replikovaly do druhého. Tuto divergenci doménové struktury je obtížné odhalit a způsobuje nepředvídatelné odpovědi adresářů. K této situaci může dojít po migraci P2V, pokud jsou fyzický řadič domény i virtuální počítač spuštěny ve stejné síti. K této situaci může dojít také v případě, že je ze stejného fyzického řadiče domény vytvořeno více virtuálních řadičů domény a poté spuštěno ve stejné síti.
Ve scénáři s USN se rozsah USN vztahuje na dvě různé sady změn. Tento scénář může pokračovat po delší dobu, aniž by byl detekován. Když změníte objekt, který jste vytvořili během této doby, systém zjistí přetrvávající objekt a v Prohlížeči událostí jej ohlásí jako ID události 1988. Následující diagram znázorňuje, proč řadič domény nemusí v tomto scénáři rozpoznat vrácení zpět USN.
.gif)
Diagram, který znázorňuje vývojový diagram pro proces detekce vrácení zpět v ukázkovém sestavení. Existují dva řadiče domény označené jako "VDC1" a "DC2". Počáteční fáze vývojového diagramu ukazuje, že virtuální řadič domény, VDC1, pořídí snímek, když je jeho číslo USN 2000. Po vytvoření snímku vytvoří jednotka VDC1 100 uživatelů a aktualizovaná jednotka VDC1 má nyní USN 2100. Aktualizace řadiče VDC1 se replikují do řadiče domény DC2, který nyní sdílí číslo USN 2100. VDC1 však poté použije pořízený snímek k návratu na verzi USN 2000. Revertovaná verze VDC1 vytváří 150 nových uživatelů, což zvyšuje počet USN až na 2150. Aktualizovaný řadič VDC1 se replikuje na řadič domény DC2, ale řadič domény DC2 nezjistí neshodné změny, protože jeho hodnota USN je vyšší než hodnota USN řadiče DC2 z roku 2100. Text ve spodní části říká: "Vrácení zpět USN nebylo detekováno, což má za následek nezjištěnou divergenci, kdy USN 2001 až 2100 nejsou mezi dvěma řadiči domény stejné.
Řadiče domény jen pro čtení
Řadiče domény jen pro čtení (RODC) jsou řadiče domény, které jsou hostiteli kopií oddílů v databázi služby Active Directory jen pro čtení. Řadiče domény jen pro čtení se vyhýbají většině problémů s vrácením zpět USN, protože nereplikují žádné změny na ostatních řadičích domény. Pokud se však řadič domény jen pro čtení replikuje z zapisovatelného řadiče domény, na který se vztahuje vrácení zpět USN, ovlivní vrácení zpět také řadič domény jen pro čtení.
K obnovení řadiče domény jen pro čtení nedoporučujeme používat snímek. Řadič domény jen pro čtení byste měli obnovovat pouze pomocí zálohovací aplikace kompatibilní se službou Active Directory. Stejně jako u zapisovatelných řadičů domény také nesmíte povolit, aby byl řadič domény jen pro čtení offline po dobu delší než je doba platnosti neplatného. Tato podmínka může mít za následek přetrvávající objekty na řadiči domény jen pro čtení.
Další informace o implementaci řadičů domény jen pro čtení naleznete v podrobném průvodciRead-Only řadiči domény.
Další obsah
Zjistěte, jak obnovit virtualizované řadiče domény v tématu Obnovení virtualizovaných řadičů domény.