Compartilhar via

Aspetos a ter em conta quando aloja controladores de domínio do Active Directory em ambientes de alojamento virtual

  • Artigo

Este artigo descreve os problemas que afetam um controlador de domínio (DC) baseado no Windows Server em execução como so convidado em ambientes de alojamento virtual. Também aborda aspetos a considerar quando um DC é executado num ambiente de alojamento virtual.

Número original da BDC: 888794

Resumo

Um ambiente de alojamento virtual permite-lhe executar vários sistemas operativos convidados num único computador anfitrião ao mesmo tempo. O software anfitrião virtualiza os seguintes recursos:

  • CPU
  • Memória
  • Disco
  • Rede
  • Dispositivos locais

Ao virtualizar estes recursos num computador físico, o software de anfitrião permite-lhe utilizar menos computadores para implementar sistemas operativos para testes e desenvolvimento e em funções de produção. Determinadas restrições aplicam-se a um DC do Active Directory que é executado num ambiente de alojamento virtual. Estas restrições não se aplicam a um DC executado num computador físico.

Este artigo aborda os aspetos a considerar quando um DC baseado no Windows Server é executado num ambiente de alojamento virtual. Os ambientes de alojamento virtual incluem:

  • Virtualização do Windows Server com Hyper-V.
  • Família VMware de produtos de virtualização.
  • Família novell de produtos de virtualização.
  • Família Citrix de produtos de virtualização.
  • Qualquer produto na lista de hipervisores no Programa de Validação de Virtualização do Servidor (SVVP).

Para obter mais informações sobre o estado atual da robustez e segurança do sistema para DCs virtualizados, veja o seguinte artigo:

Virtualizar Controladores de Domínio com o Hyper-V.

O artigo Virtualizar Controladores de Domínio fornece recomendações gerais que se aplicam a todas as configurações. Muitas das considerações descritas nesse artigo também se aplicam a anfitriões de virtualização de terceiros. Pode incluir recomendações e definições específicas do hipervisor que está a utilizar, incluindo:

  • Como configurar a sincronização de hora para DCs.
  • Como gerir volumes de disco para integridade de dados.
  • Como tirar partido do suporte de ID de Geração em cenários de restauro ou migração.
  • Como gerir a alocação e o desempenho da RAM e dos núcleos do processador no anfitrião da máquina virtual.

Observação

Se estiver a utilizar anfitriões de virtualização de terceiros, consulte a documentação do anfitrião de virtualização para obter orientações e recomendações específicas.

Este artigo complementa o artigo Virtualizing Domain Controllers (Virtualizar Controladores de Domínio) ao fornecer mais sugestões e considerações que não estavam no âmbito do artigo Virtualizing Domain Controllers (Virtualizar Controladores de Domínio).

Aspetos a ter em conta quando aloja funções dc num ambiente de alojamento virtual

Quando implementa um DC do Active Directory num computador físico, determinados requisitos têm de ser cumpridos ao longo do ciclo de vida do DC. A implementação de um DC num ambiente de alojamento virtual adiciona determinados requisitos e considerações, incluindo:

  • O serviço Active Directory ajuda a preservar a integridade da base de dados do Active Directory se ocorrer uma perda de energia ou outra falha. Para tal, o serviço executa escritas não instaladas e tenta desativar a cache de escrita do disco nos volumes que alojam a base de dados do Active Directory e os ficheiros de registo. O Active Directory também tenta trabalhar desta forma se estiver instalado num ambiente de alojamento virtual.

    Se o software de ambiente de alojamento virtual suportar corretamente um modo de emulação SCSI que suporte o acesso forçado a unidades (FUA), as escritas não oferecidas executadas pelo Active Directory neste ambiente são transmitidas para o SO anfitrião. Se a FUA não for suportada, tem de desativar manualmente a cache de escrita em todos os volumes do SO convidado que alojam:

    • a base de dados do Active Directory
    • os registos
    • o ficheiro de ponto de verificação

    Observação

    • Tem de desativar a cache de escrita para todos os componentes que utilizam o Motor de Armazenamento Extensível (ESE) como formato de base de dados. Estes componentes incluem o Active Directory, o Serviço de Replicação de Ficheiros (FRS), o Windows Internet Name Service (WINS) e o Protocolo DHCP (Dynamic Host Configuration Protocol).
    • Como melhor prática, considere instalar fontes de alimentação ininterruptas em anfitriões de máquinas virtuais.

  • Um DC do Active Directory destina-se a executar continuamente o modo do Active Directory assim que é instalado. Não pare ou coloque a máquina virtual em pausa durante um longo período de tempo. Quando o DC é iniciado, tem de ocorrer a replicação do Active Directory. Certifique-se de que todos os DCs efetuam a replicação de entrada em todas as partições do Active Directory mantidas localmente de acordo com a agenda definida nas ligações do site e nos objetos de ligação. É especialmente verdade para o número de dias que é especificado pelo atributo de duração tombstone.

    Se a replicação não ocorrer, poderá deparar-se com conteúdos inconsistentes de bases de dados do Active Directory em DCs na floresta. A inconsistência ocorre porque o conhecimento de eliminações persiste para o número de dias definidos pela duração da lápide. Quando os DCs não concluem transitivamente a replicação de entrada das alterações do Active Directory dentro deste número de dias, os objetos permanecerão no Active Directory. A limpeza de objetos persistentes pode ser demorada, especialmente em florestas de vários domínios que incluem muitos DCs.

  • Para recuperar de vários problemas, um DC do Active Directory requer cópias de segurança regulares do estado do sistema. A vida útil predefinida de uma cópia de segurança do estado do sistema é de 60 ou 180 dias. Depende da versão do SO e da revisão do service pack que está em vigor durante a instalação. Esta vida útil é controlada pelo atributo de duração tombstone no Active Directory. Deve ser efetuada uma cópia de segurança de, pelo menos, um DC em cada domínio da floresta num ciclo regular, de acordo com o número de dias especificado na duração do tombstone.

    Num ambiente de produção, deve fazer cópias de segurança diárias do estado do sistema a partir de dois DCs diferentes.

    Observação

    Quando o anfitrião da máquina virtual tira um instantâneo de uma máquina virtual, o SO convidado não deteta este instantâneo como uma cópia de segurança. Quando o anfitrião suporta o ID de Geração do Hyper-V, este ID será alterado quando a imagem é iniciada a partir de um instantâneo ou réplica. Por predefinição, o DC considera-se restaurado a partir de uma cópia de segurança.

Aspetos a ter em conta quando aloja funções DC em anfitriões em cluster ou quando utiliza o Active Directory como um back-end num ambiente de alojamento virtual

  • Quando os DCs são executados em servidores anfitriões em cluster, seria de esperar que fossem tolerantes a falhas. A mesma expetativa aplica-se às implementações de servidores virtuais que não são da Microsoft. No entanto, existe um problema neste pressuposto: para que os nós, discos e outros recursos num computador anfitrião em cluster iniciem automaticamente, os pedidos de autenticação do computador têm de ser reparados por um DC no domínio do computador. Em alternativa, parte da configuração do anfitrião em cluster tem de ser armazenada no Active Directory.

    Para garantir que esses DCs podem ser acedidos durante o arranque do sistema de cluster, implemente pelo menos dois DCs no domínio do computador numa solução de alojamento independente fora desta implementação de cluster. Pode utilizar hardware físico ou outra solução de alojamento virtual que não tenha uma dependência do Active Directory. Para obter mais informações sobre este cenário, veja Evitar criar pontos únicos de falha.

  • Estes DCs em plataformas separadas devem ser mantidos online e acessíveis à rede (no DNS e em todas as portas e protocolos necessários) para os anfitriões em cluster. Em alguns casos, os únicos DCs que podem atender pedidos de autenticação durante o arranque do cluster estão num computador anfitrião em cluster que está a ser reiniciado. Nesta situação, os pedidos de autenticação falham e tem de recuperar manualmente o cluster.

    Observação

    Não suponha que esta situação se aplica apenas ao Hyper-V. As soluções de virtualização de terceiros também podem utilizar o Active Directory como um arquivo de configuração ou para autenticação durante determinados passos de arranque da VM ou alterações de configuração.

Suporte para DCs do Active Directory em ambientes de alojamento virtual

Para obter mais informações, veja Política de suporte para software Microsoft que é executado em software de virtualização de hardware não Microsoft.