Udostępnij za pośrednictwem


Kwestie, które należy wziąć pod uwagę podczas hostowania kontrolerów domeny usługi Active Directory w wirtualnych środowiskach hostingu

W tym artykule opisano problemy wpływające na kontroler domeny oparty na systemie Windows Server (DC) uruchomiony jako system operacyjny gościa w środowiskach hostingu wirtualnego. Omówiono również zagadnienia, które należy wziąć pod uwagę, gdy kontroler domeny działa w środowisku hostingu wirtualnego.

Oryginalny numer KB: 888794

Podsumowanie

Wirtualne środowisko hostingu umożliwia uruchamianie wielu systemów operacyjnych gościa na jednym komputerze hosta w tym samym czasie. Oprogramowanie hosta wirtualizuje następujące zasoby:

  • Procesor CPU
  • Memory (Pamięć)
  • Dysk
  • Sieć
  • Urządzenia lokalne

Dzięki wirtualizacji tych zasobów na komputerze fizycznym oprogramowanie hosta umożliwia wdrażanie systemów operacyjnych na potrzeby testowania i programowania oraz w rolach produkcyjnych przy użyciu mniejszej liczby komputerów. Niektóre ograniczenia dotyczą kontrolera domeny usługi Active Directory działającego w środowisku hostingu wirtualnego. Te ograniczenia nie mają zastosowania do kontrolera domeny działającego na komputerze fizycznym.

W tym artykule omówiono zagadnienia, które należy wziąć pod uwagę, gdy kontroler domeny oparty na systemie Windows Server działa w środowisku hostingu wirtualnego. Środowiska hostingu wirtualnego obejmują:

  • Wirtualizacja systemu Windows Server z funkcją Hyper-V.
  • Rodzina produktów wirtualizacji VMware.
  • Rodzina produktów wirtualizacji Firmy Novell.
  • Rodzina produktów wirtualizacji Citrix.
  • Dowolny produkt na liście funkcji hypervisor w programie weryfikacji wirtualizacji serwera (SVVP).

Aby uzyskać więcej informacji na temat bieżącego stanu niezawodności systemu i zabezpieczeń zwirtualizowanych kontrolerów domeny, zobacz następujący artykuł:

Wirtualizacja kontrolerów domeny przy użyciu funkcji Hyper-V.

Artykuł Wirtualizacja kontrolerów domeny zawiera ogólne zalecenia dotyczące wszystkich konfiguracji. Wiele zagadnień opisanych w tym artykule dotyczy również hostów wirtualizacji innych firm. Może to obejmować zalecenia i ustawienia specyficzne dla używanej funkcji hypervisor, w tym:

  • Jak skonfigurować synchronizację czasu dla kontrolerów domeny.
  • Jak zarządzać woluminami dysków na potrzeby integralności danych.
  • Jak korzystać z obsługi identyfikatora generacji w scenariuszach przywracania lub migracji.
  • Jak zarządzać alokacją i wydajnością rdzeni pamięci RAM i procesora na hoście maszyny wirtualnej.

Uwaga 16.

Jeśli używasz hostów wirtualizacji innych firm, zapoznaj się z dokumentacją hosta wirtualizacji, aby uzyskać szczegółowe wskazówki i zalecenia.

Ten artykuł uzupełnia artykuł Wirtualizacja kontrolerów domeny, zapewniając więcej wskazówek i zagadnień, które nie były w zakresie wirtualizacji kontrolerów domeny artykuł.

Kwestie, które należy wziąć pod uwagę podczas hostowania ról kontrolera domeny w środowisku hostingu wirtualnego

Podczas wdrażania kontrolera domeny usługi Active Directory na komputerze fizycznym należy spełnić pewne wymagania w całym cyklu życia kontrolera domeny. Wdrożenie kontrolera domeny w środowisku hostingu wirtualnego dodaje pewne wymagania i zagadnienia, w tym:

  • Usługa Active Directory pomaga zachować integralność bazy danych usługi Active Directory, jeśli wystąpi utrata zasilania lub inne awarie. W tym celu usługa uruchamia niebuforowane zapisy i próbuje wyłączyć pamięć podręczną zapisu dysku na woluminach hostujących bazę danych usługi Active Directory i pliki dziennika. Usługa Active Directory próbuje również pracować w ten sposób, jeśli jest zainstalowana w środowisku hostingu wirtualnego.

    Jeśli oprogramowanie środowiska hostingu wirtualnego poprawnie obsługuje tryb emulacji SCSI, który obsługuje wymuszony dostęp do jednostek (FUA), niebuforowane zapisy wykonywane przez usługę Active Directory w tym środowisku są przekazywane do systemu operacyjnego hosta. Jeśli funkcja FUA nie jest obsługiwana, należy ręcznie wyłączyć pamięć podręczną zapisu na wszystkich woluminach systemu operacyjnego gościa, który hostuje:

    • baza danych usługi Active Directory
    • dzienniki
    • plik punktu kontrolnego

    Uwaga 16.

    • Należy wyłączyć pamięć podręczną zapisu dla wszystkich składników korzystających z rozszerzonego aparatu magazynu (ESE) jako formatu bazy danych. Składniki te obejmują usługę Active Directory, usługę replikacji plików (FRS), usługę nazw internetowych systemu Windows (WINS) i protokół DHCP (Dynamic Host Configuration Protocol).
    • Najlepszym rozwiązaniem jest zainstalowanie nieinterrupowalnych zasilaczy na hostach maszyn wirtualnych.
  • Kontroler domeny usługi Active Directory jest przeznaczony do ciągłego uruchamiania trybu usługi Active Directory natychmiast po zainstalowaniu. Nie należy zatrzymywać ani wstrzymywać maszyny wirtualnej przez dłuższy czas. Po uruchomieniu kontrolera domeny musi nastąpić replikacja usługi Active Directory. Upewnij się, że wszystkie kontrolery domeny wykonują replikację przychodzącą na wszystkich lokalnie przechowywanych partycjach usługi Active Directory zgodnie z harmonogramem zdefiniowanym w linkach lokacji i obiektach połączenia. Jest to szczególnie prawdziwe w przypadku liczby dni określonych przez atrybut okresu istnienia grobowca.

    Jeśli replikacja nie zostanie wykonana, może wystąpić niespójna zawartość baz danych usługi Active Directory na kontrolerach domeny w lesie. Niespójność występuje, ponieważ wiedza na temat usuwania utrzymuje się przez liczbę dni zdefiniowanych przez okres istnienia grobowca. Gdy kontrolery domeny nie zakończą przejściowej replikacji przychodzącej zmian usługi Active Directory w ciągu tej liczby dni, obiekty będą utrzymywać się w usłudze Active Directory. Czyszczenie utrzymujących się obiektów może być czasochłonne, zwłaszcza w lasach z wieloma domenami, które obejmują wiele kontrolerów domeny.

  • Aby rozwiązać różne problemy, kontroler domeny usługi Active Directory wymaga regularnych kopii zapasowych stanu systemu. Domyślny okres użytkowania kopii zapasowej stanu systemu to 60 lub 180 dni. Zależy to od wersji systemu operacyjnego i poprawki dodatku Service Pack, która jest obowiązująca podczas instalacji. Ten okres użytkowania jest kontrolowany przez atrybut okresu istnienia grobowca w usłudze Active Directory. Co najmniej jeden kontroler domeny w każdej domenie w lesie powinien być kopii zapasowej w regularnym cyklu, na liczbę dni określonych w okresie istnienia grobowca.

    W środowisku produkcyjnym należy tworzyć codzienne kopie zapasowe stanu systemu z dwóch różnych kontrolerów domeny.

    Uwaga 16.

    Gdy host maszyny wirtualnej tworzy migawkę maszyny wirtualnej, system operacyjny gościa nie wykrywa tej migawki jako kopii zapasowej. Gdy host obsługuje identyfikator generacji funkcji Hyper-V, ten identyfikator zostanie zmieniony po uruchomieniu obrazu z migawki lub repliki. Domyślnie kontroler domeny może zostać przywrócony z kopii zapasowej.

Kwestie, które należy wziąć pod uwagę podczas hostowania ról kontrolera domeny na hostach klastrowanych lub gdy używasz usługi Active Directory jako zaplecza w środowisku hostingu wirtualnego

  • Gdy kontrolery domeny działają na klastrowanych serwerach hostów, można oczekiwać, że są odporne na uszkodzenia. Te same oczekiwania dotyczą wdrożeń serwerów wirtualnych, które nie pochodzą od firmy Microsoft. Jednak w tym założeniu występuje jeden problem: aby węzły, dyski i inne zasoby na klastrowanym komputerze hosta były automatycznie uruchamiane, żądania uwierzytelniania z komputera muszą być obsługiwane przez kontroler domeny komputera. Alternatywnie część konfiguracji klastrowanego hosta musi być przechowywana w usłudze Active Directory.

    Aby zapewnić dostęp do takich kontrolerów domeny podczas uruchamiania systemu klastra, wdróż co najmniej dwa kontrolery domeny w domenie komputera w niezależnym rozwiązaniu hostingu poza tym wdrożeniem klastra. Możesz użyć sprzętu fizycznego lub innego rozwiązania do hostingu wirtualnego, które nie ma zależności usługi Active Directory. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz Unikanie tworzenia pojedynczych punktów awarii.

  • Te kontrolery domeny na oddzielnych platformach powinny być przechowywane w trybie online i być dostępne w sieci (w systemie DNS i we wszystkich wymaganych portach i protokołach) na hostach klastrowanych. W niektórych przypadkach jedyne kontrolery domeny, które mogą obsługiwać żądania uwierzytelniania podczas uruchamiania klastra, znajdują się na klastrowym komputerze hosta, który jest uruchamiany ponownie. W takiej sytuacji żądania uwierzytelniania kończą się niepowodzeniem i należy ręcznie odzyskać klaster.

    Uwaga 16.

    Nie należy zakładać, że ta sytuacja dotyczy tylko funkcji Hyper-V. Rozwiązania wirtualizacji innych firm mogą również używać usługi Active Directory jako magazynu konfiguracji lub uwierzytelniania podczas niektórych kroków uruchamiania lub zmiany konfiguracji maszyny wirtualnej.

Obsługa kontrolerów domeny usługi Active Directory w środowiskach hostingu wirtualnego

Aby uzyskać więcej informacji, zobacz Zasady pomocy technicznej dla oprogramowania firmy Microsoft działającego w oprogramowaniu do wirtualizacji sprzętu innej firmy niż Microsoft.