Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de problemen beschreven die van invloed zijn op een Windows Server-domeincontroller (DC) die wordt uitgevoerd als een gastbesturingssysteem in virtuele hostingomgevingen. Er worden ook zaken besproken die u moet overwegen wanneer een DC wordt uitgevoerd in een virtuele hostingomgeving.
Oorspronkelijk KB-nummer: 888794
Samenvatting
Met een virtuele hostingomgeving kunt u meerdere gastbesturingssystemen tegelijkertijd op één hostcomputer uitvoeren. Hostsoftware virtualiseert de volgende resources:
- CPU
- Geheugen
- Schijf
- Netwerk
- Lokale apparaten
Door deze resources op een fysieke computer te virtualiseren, kunt u met hostsoftware minder computers gebruiken om besturingssystemen te implementeren voor testen en ontwikkelen en in productierollen. Bepaalde beperkingen gelden voor een Active Directory DC die wordt uitgevoerd in een virtuele hostingomgeving. Deze beperkingen zijn niet van toepassing op een domeincontroller die wordt uitgevoerd op een fysieke computer.
In dit artikel worden de zaken besproken die u moet overwegen wanneer een Windows Server-domeincontroller wordt uitgevoerd in een virtuele hostingomgeving. Virtuele hostingomgevingen zijn onder andere:
- Windows Server Virtualization met Hyper-V.
- VMware-serie virtualisatieproducten.
- De familie van virtualisatieproducten van Novell.
- Citrix-serie virtualisatieproducten.
- Elk product in de hypervisorlijst in het Server Virtualization Validation Program (SVVP).
Zie het volgende artikel voor meer informatie over de huidige status van de robuustheid en beveiliging van het systeem voor gevirtualiseerde DC's:
Domeincontrollers virtualiseren met Hyper-V.
Het artikel Virtualizing Domain Controllers bevat algemene aanbevelingen die van toepassing zijn op alle configuraties. Veel van de overwegingen die in dit artikel worden beschreven, zijn ook van toepassing op virtualisatiehosts van derden. Het kan aanbevelingen en instellingen bevatten die specifiek zijn voor de hypervisor die u gebruikt, waaronder:
- Tijdsynchronisatie configureren voor DC's.
- Schijfvolumes beheren voor gegevensintegriteit.
- Hoe u kunt profiteren van generatie-id-ondersteuning in herstel- of migratiescenario's.
- Toewijzing en prestaties van RAM- en processorkernen op de host van de virtuele machine beheren.
Notitie
Als u virtualisatiehosts van derden gebruikt, raadpleegt u de documentatie van de virtualisatiehost voor specifieke richtlijnen en aanbevelingen.
Dit artikel is een aanvulling op het artikel Virtualizing Domain Controllers door meer hints en overwegingen te bieden die niet binnen het bereik van het artikel Virtualizing Domain Controllers waren.
Aandachtspunten bij het hosten van DC-rollen in een virtuele hostingomgeving
Wanneer u een Active Directory-domeincontroller op een fysieke computer implementeert, moeten bepaalde vereisten gedurende de levenscyclus van de DC worden nageleefd. De implementatie van een DC in een virtuele hostingomgeving voegt bepaalde vereisten en overwegingen toe, waaronder:
De Active Directory-service helpt de integriteit van de Active Directory-database te behouden als er een stroomuitval of een andere fout optreedt. Hiervoor voert de service niet-gebufferde schrijfbewerkingen uit en probeert de schijfschrijfcache uit te schakelen op de volumes die als host fungeren voor de Active Directory-database en logboekbestanden. Active Directory probeert ook op deze manier te werken als deze is geïnstalleerd in een virtuele hostingomgeving.
Als de software van de virtuele hostingomgeving correct ondersteuning biedt voor een SCSI-emulatiemodus die geforceerde eenheidstoegang (FUA) ondersteunt, worden niet-gebufferde schrijfbewerkingen die door Active Directory in deze omgeving worden uitgevoerd, doorgegeven aan het hostbesturingssysteem. Als FUA niet wordt ondersteund, moet u de schrijfcache handmatig uitschakelen op alle volumes van het gastbesturingssystem dat als host fungeert:
- de Active Directory-database
- de logboeken
- het controlepuntbestand
Notitie
- U moet de schrijfcache uitschakelen voor alle onderdelen die ESE (Extensible Storage Engine) gebruiken als database-indeling. Deze onderdelen omvatten Active Directory, file replication service (FRS), Windows Internet Name Service (WINS) en Dynamic Host Configuration Protocol (DHCP).
- Als best practice kunt u overwegen niet-onderbreekbare voedingen te installeren op hosts van virtuele machines.
Een Active Directory-domeincontroller is bedoeld om de Active Directory-modus continu uit te voeren zodra deze is geïnstalleerd. Stop of onderbreek de virtuele machine niet voor een langere tijd. Wanneer de domeincontroller wordt gestart, moet de replicatie van Active Directory plaatsvinden. Zorg ervoor dat alle DC's binnenkomende replicatie uitvoeren op alle lokaal bewaarde Active Directory-partities volgens het schema dat is gedefinieerd op sitekoppelingen en verbindingsobjecten. Het is vooral waar voor het aantal dagen dat is opgegeven door het tombstone-levensduurkenmerk.
Als de replicatie niet optreedt, kan er inconsistente inhoud van Active Directory-databases op DC's in het forest optreden. De inconsistentie treedt op omdat kennis van verwijderingen blijft bestaan voor het aantal dagen dat is gedefinieerd door de tombstone-levensduur. Wanneer DC's binnen dit aantal dagen geen transitieve binnenkomende replicatie van Active Directory-wijzigingen voltooien, blijven objecten in Active Directory hangen. Het opschonen van achtergebleven objecten kan tijdrovend zijn, met name in forests met meerdere domeinen die veel DC's bevatten.
Voor het herstellen van verschillende problemen vereist een Active Directory DC regelmatige back-ups van de systeemstatus. De standaard levensduur van een systeemstatusback-up is 60 of 180 dagen. Dit is afhankelijk van de versie van het besturingssysteem en de revisie van het servicepack die van kracht is tijdens de installatie. Deze nuttige levensduur wordt bepaald door het tombstone-levensduurkenmerk in Active Directory. Er moet een back-up worden gemaakt van ten minste één DC in elk domein in het forest, volgens het aantal dagen dat is opgegeven in de tombstone-levensduur.
In een productieomgeving moet u dagelijkse systeemstatusback-ups maken van twee verschillende DC's.
Notitie
Wanneer de host van de virtuele machine een momentopname van een virtuele machine maakt, detecteert het gastbesturingssystem deze momentopname niet als back-up. Wanneer de host de Hyper-V-generatie-id ondersteunt, wordt deze id gewijzigd wanneer de installatiekopie wordt gestart vanaf een momentopname of replica. Standaard zou de domeincontroller overwegen zichzelf te herstellen vanuit een back-up.
Aandachtspunten bij het hosten van DC-rollen op geclusterde hosts of wanneer u Active Directory als back-end gebruikt in een virtuele hostingomgeving
Wanneer uw DC's worden uitgevoerd op geclusterde hostservers, zou u verwachten dat ze fouttolerant zijn. Dezelfde verwachting is van toepassing op implementaties van virtuele servers die niet afkomstig zijn van Microsoft. Er is echter één probleem in deze aanname: om de knooppunten, schijven en andere resources op een geclusterde hostcomputer automatisch te kunnen starten, moeten verificatieaanvragen van de computer worden verwerkt door een DC in het domein van de computer. U kunt ook een deel van de configuratie van de geclusterde host opslaan in Active Directory.
Om ervoor te zorgen dat dergelijke DC's kunnen worden geopend tijdens het opstarten van het clustersysteem, implementeert u ten minste twee DC's in het domein van de computer op een onafhankelijke hostingoplossing buiten deze clusterimplementatie. U kunt fysieke hardware of een andere virtuele hostingoplossing gebruiken die geen Active Directory-afhankelijkheid heeft. Zie Vermijd het maken van single points of failure voor meer informatie over dit scenario.
Deze DC's op afzonderlijke platforms moeten online worden gehouden en toegankelijk zijn voor het netwerk (in DNS en in alle vereiste poorten en protocollen) voor de geclusterde hosts. In sommige gevallen bevinden de enige DC's die verificatieaanvragen kunnen verwerken tijdens het opstarten van het cluster zich op een geclusterde hostcomputer die opnieuw wordt opgestart. In deze situatie mislukken verificatieaanvragen en moet u het cluster handmatig herstellen.
Notitie
Neem niet aan dat deze situatie alleen van toepassing is op Hyper-V. Virtualisatieoplossingen van derden kunnen Active Directory ook gebruiken als een configuratiearchief of voor verificatie tijdens bepaalde stappen van het opstarten of configureren van de VM.
Ondersteuning voor Active Directory-DC's in virtuele hostingomgevingen
Zie ondersteuningsbeleid voor Microsoft-software die wordt uitgevoerd op niet-Microsoft-hardwarevirtualisatiesoftware voor meer informatie.