Zu berücksichtigende Punkte beim Hosten von Active Directory-Domänencontrollern in virtuellen Hostingumgebungen
In diesem Artikel werden die Probleme beschrieben, die sich auf einen Windows Server-basierten Domänencontroller (DC) auswirken, der als Gastbetriebssystem in virtuellen Hostingumgebungen ausgeführt wird. Außerdem werden die Punkte erläutert, die bei der Ausführung eines Domänencontrollers in einer virtuellen Hostingumgebung zu berücksichtigen sind.
Ursprüngliche KB-Nummer: 888794
Zusammenfassung
Mit einer virtuellen Hostingumgebung können Sie mehrere Gastbetriebssysteme gleichzeitig auf einem einzelnen Hostcomputer ausführen. Hostsoftware virtualisiert die folgenden Ressourcen:
- CPU
- Arbeitsspeicher
- Datenträger
- Netzwerk
- Lokale Geräte
Durch die Virtualisierung dieser Ressourcen auf einem physischen Computer können Sie mit Hostsoftware weniger Computer verwenden, um Betriebssysteme für Tests und Entwicklung sowie in Produktionsrollen bereitzustellen. Bestimmte Einschränkungen gelten für einen Active Directory-DC, der in einer virtuellen Hostingumgebung ausgeführt wird. Diese Einschränkungen gelten nicht für einen Domänencontroller, der auf einem physischen Computer ausgeführt wird.
In diesem Artikel werden die Punkte erläutert, die zu berücksichtigen sind, wenn ein Windows Server-basierter Domänencontroller in einer virtuellen Hostingumgebung ausgeführt wird. Virtuelle Hostingumgebungen umfassen:
- Windows Server-Virtualisierung mit Hyper-V.
- VMware-Virtualisierungsprodukte.
- Novell-Familie von Virtualisierungsprodukten.
- Citrix-Familie von Virtualisierungsprodukten.
- Alle Produkte in der Hypervisorliste im Server Virtualization Validation Program (SVVP).
Weitere Informationen zum aktuellen Status der Systemintegrität und -sicherheit für virtualisierte DCs finden Sie im folgenden Artikel:
Virtualisieren von Domänencontrollern mithilfe von Hyper-V.
Der Artikel Virtualisieren von Domänencontrollern enthält allgemeine Empfehlungen, die für alle Konfigurationen gelten. Viele der in diesem Artikel beschriebenen Überlegungen gelten auch für Virtualisierungshosts von Drittanbietern. Es kann Empfehlungen und Einstellungen enthalten, die für den verwendeten Hypervisor spezifisch sind, einschließlich:
- Konfigurieren der Zeitsynchronisierung für DCs
- Verwalten von Datenträgervolumes für die Datenintegrität
- Erfahren Sie, wie Sie die Unterstützung der Generierungs-ID in Wiederherstellungs- oder Migrationsszenarien nutzen.
- Verwalten der Zuordnung und Leistung von RAM und Prozessorkernen auf dem Host des virtuellen Computers.
Hinweis
Wenn Sie Virtualisierungshosts von Drittanbietern verwenden, lesen Sie die Dokumentation zu Virtualisierungshosts, um spezifische Anleitungen und Empfehlungen zu erhalten.
Dieser Artikel ergänzt den Artikel Virtualisieren von Domänencontrollern, indem weitere Hinweise und Überlegungen bereitgestellt werden, die für den Artikel Virtualisieren von Domänencontrollern nicht berücksichtigt wurden.
Zu berücksichtigende Punkte beim Hosten von DC-Rollen in einer virtuellen Hostingumgebung
Wenn Sie einen Active Directory-DC auf einem physischen Computer bereitstellen, müssen bestimmte Anforderungen während des gesamten Lebenszyklus des Domänencontrollers erfüllt sein. Die Bereitstellung eines Domänencontrollers in einer virtuellen Hostingumgebung fügt bestimmte Anforderungen und Überlegungen hinzu, einschließlich:
Der Active Directory-Dienst trägt dazu bei, die Integrität der Active Directory-Datenbank zu erhalten, wenn ein Stromausfall oder ein anderer Fehler auftritt. Hierzu führt der Dienst nicht gepufferte Schreibvorgänge aus und versucht, den Datenträgerschreibcache auf den Volumes zu deaktivieren, auf denen die Active Directory-Datenbank und die Protokolldateien gehostet werden. Active Directory versucht auch, auf diese Weise zu funktionieren, wenn es in einer virtuellen Hostingumgebung installiert ist.
Wenn die Software für die virtuelle Hostingumgebung ordnungsgemäß einen SCSI-Emulationsmodus unterstützt, der den erzwungenen Unitzugriff (Forced Unit Access, FUA) unterstützt, werden nicht gepufferte Schreibvorgänge, die von Active Directory in dieser Umgebung ausgeführt werden, an das Hostbetriebssystem übergeben. Wenn FUA nicht unterstützt wird, müssen Sie den Schreibcache auf allen Volumes des Gastbetriebssystems manuell deaktivieren, die Folgendes hosten:
- Die Active Directory-Datenbank
- die Protokolle
- Die Prüfpunktdatei
Hinweis
- Sie müssen den Schreibcache für alle Komponenten deaktivieren, die extensible Storage Engine (ESE) als Datenbankformat verwenden. Zu diesen Komponenten gehören Active Directory, der Dateireplikationsdienst (File Replication Service, FRS), Windows Internet Name Service (WINS) und DHCP (Dynamic Host Configuration Protocol).
- Als bewährte Methode empfiehlt es sich, unterbrechungsfreie Stromversorgungen auf Hosts virtueller Computer zu installieren.
Ein Active Directory-Domänencontroller soll den Active Directory-Modus kontinuierlich ausführen, sobald er installiert ist. Beenden oder anhalten Sie den virtuellen Computer nicht für längere Zeit. Wenn der Domänencontroller gestartet wird, muss die Replikation von Active Directory erfolgen. Stellen Sie sicher, dass alle DOmänencontroller die eingehende Replikation auf allen lokal gehaltenen Active Directory-Partitionen gemäß dem Zeitplan durchführen, der für Standortlinks und Verbindungsobjekte definiert ist. Dies gilt insbesondere für die Anzahl der Tage, die durch das Tombstone-Lebensdauer-Attribut angegeben wird.
Wenn die Replikation nicht erfolgt, treten möglicherweise inkonsistente Inhalte von Active Directory-Datenbanken auf DCs in der Gesamtstruktur auf. Die Inkonsistenz tritt auf, weil das Wissen über Löschungen für die Anzahl von Tagen, die durch die Tombstone-Lebensdauer definiert wird, bestehen bleibt. Wenn DCs die eingehende Replikation von Active Directory-Änderungen innerhalb dieser Anzahl von Tagen nicht transitiv abschließen, verbleiben Objekte in Active Directory. Das Bereinigen von objekten kann zeitaufwändig sein, insbesondere in Gesamtstrukturen mit mehreren Domänen, die viele DCs enthalten.
Um verschiedene Probleme zu beheben, sind für einen Active Directory-DC regelmäßige Systemstatussicherungen erforderlich. Die Standardlebensdauer einer Systemstatussicherung beträgt 60 oder 180 Tage. Dies hängt von der Betriebssystemversion und der Service Pack-Revision ab, die während der Installation wirksam wird. Diese Nutzungsdauer wird durch das Tombstone-Lebensdauer-Attribut in Active Directory gesteuert. Mindestens ein DC in jeder Domäne in der Gesamtstruktur sollte in einem regulären Zyklus gesichert werden, je nach Anzahl von Tagen, die in der Tombstone-Lebensdauer angegeben ist.
In einer Produktionsumgebung sollten Sie tägliche Systemstatussicherungen aus zwei verschiedenen DOmänencontrollern erstellen.
Hinweis
Wenn der Host des virtuellen Computers eine Momentaufnahme eines virtuellen Computers erstellt, erkennt das Gastbetriebssystem diese Momentaufnahme nicht als Sicherung. Wenn der Host die Hyper-V-Generation-ID unterstützt, wird diese ID geändert, wenn das Image über eine Momentaufnahme oder ein Replikat gestartet wird. Standardmäßig betrachtet sich der Domänencontroller als aus einer Sicherung wiederhergestellt.
Zu berücksichtigende Punkte beim Hosten von DC-Rollen auf gruppierten Hosts oder beim Verwenden von Active Directory als Back-End in einer virtuellen Hostingumgebung
Wenn Ihre DCs auf gruppierten Hostservern ausgeführt werden, erwarten Sie, dass sie fehlertolerant sind. Die gleiche Erwartung gilt für bereitstellungen virtueller Server, die nicht von Microsoft stammen. Bei dieser Annahme gibt es jedoch ein Problem: Damit die Knoten, Datenträger und anderen Ressourcen auf einem gruppierten Hostcomputer automatisch starten können, müssen Authentifizierungsanforderungen vom Computer von einem Domänencontroller in der Computerdomäne verarbeitet werden. Alternativ muss ein Teil der Konfiguration des gruppierten Hosts in Active Directory gespeichert werden.
Um sicherzustellen, dass beim Starten des Clustersystems auf diese DCs zugegriffen werden kann, stellen Sie mindestens zwei DOmänencontroller in der Domäne des Computers auf einer unabhängigen Hostinglösung außerhalb dieser Clusterbereitstellung bereit. Sie können physische Hardware oder eine andere virtuelle Hostinglösung ohne Active Directory-Abhängigkeit verwenden. Weitere Informationen zu diesem Szenario finden Sie unter Vermeiden von Single Points of Failure.
Diese DOmänencontroller auf separaten Plattformen sollten online gehalten werden und für die gruppierten Hosts über das Netzwerk (im DNS und in allen erforderlichen Ports und Protokollen) zugänglich sein. In einigen Fällen befinden sich die einzigen DOmänencontroller, die Authentifizierungsanforderungen während des Clusterstarts verarbeiten können, auf einem gruppierten Hostcomputer, der neu gestartet wird. In diesem Fall schlagen Authentifizierungsanforderungen fehl, und Sie müssen den Cluster manuell wiederherstellen.
Hinweis
Gehen Sie nicht davon aus, dass diese Situation nur für Hyper-V gilt. Virtualisierungslösungen von Drittanbietern können Active Directory auch als Konfigurationsspeicher oder für die Authentifizierung während bestimmter Schritte des Vm-Starts oder Konfigurationsänderungen verwenden.
Unterstützung für Active Directory-DCs in virtuellen Hostingumgebungen
Weitere Informationen finden Sie unter Supportrichtlinie für Microsoft-Software, die auf nicht von Microsoft stammender Hardwarevirtualisierungssoftware ausgeführt wird.