Freigeben über

Überlegungen beim Hosten von Active Directory-Domänencontrollern in virtuellen Hostingumgebungen

  • Artikel

In diesem Artikel werden die Probleme beschrieben, die sich auf einen Windows Server-basierten Domänencontroller (DC) auswirken, der als Gastbetriebssystem in virtuellen Hostingumgebungen ausgeführt wird. Außerdem wird erläutert, wann ein DC in einer virtuellen Hostingumgebung ausgeführt wird.

Ursprüngliche KB-Nummer: 888794

Übersicht

Mit einer virtuellen Hostingumgebung können Sie mehrere Gastbetriebssysteme auf einem einzelnen Hostcomputer gleichzeitig ausführen. Hostsoftware virtualisiert die folgenden Ressourcen:

  • CPU
  • Arbeitsspeicher
  • Datenträger
  • Netzwerk
  • Lokale Geräte

Durch die Virtualisierung dieser Ressourcen auf einem physischen Computer können Sie mit Hostsoftware weniger Computer verwenden, um Betriebssysteme für Tests und Entwicklung und in Produktionsrollen bereitzustellen. Bestimmte Einschränkungen gelten für einen Active Directory DC, der in einer virtuellen Hostingumgebung ausgeführt wird. Diese Einschränkungen gelten nicht für einen DC, der auf einem physischen Computer ausgeführt wird.

In diesem Artikel werden die Punkte erläutert, die Sie berücksichtigen sollten, wenn ein windows Server-basierter DC in einer virtuellen Hostingumgebung ausgeführt wird. Zu den virtuellen Hostingumgebungen gehören:

  • Windows Server-Virtualisierung mit Hyper-V.
  • VMware-Produktfamilie von Virtualisierungsprodukten.
  • Novell-Produktfamilie von Virtualisierungsprodukten.
  • Citrix-Produktfamilie von Virtualisierungsprodukten.
  • Jedes Produkt in der Hypervisorliste im Server Virtualization Validation Program (SVVP).

Weitere Informationen zum aktuellen Status der Systemsicherheit und Sicherheit für virtualisierte DCs finden Sie im folgenden Artikel:

Virtualisieren von Domänencontrollern mit Hyper-V.

Der Artikel "Virtualisieren von Domänencontrollern" enthält allgemeine Empfehlungen, die für alle Konfigurationen gelten. Viele der in diesem Artikel beschriebenen Überlegungen gelten auch für Virtualisierungshosts von Drittanbietern. Es kann Empfehlungen und Einstellungen enthalten, die für den von Ihnen verwendeten Hypervisor spezifisch sind, einschließlich:

  • Konfigurieren der Zeitsynchronisierung für DCs
  • So verwalten Sie Datenträgervolumes für die Datenintegrität.
  • Nutzen der Unterstützung der Generation-ID in Wiederherstellungs- oder Migrationsszenarien.
  • So verwalten Sie die Zuordnung und Leistung von RAM- und Prozessorkernen auf dem Host des virtuellen Computers.

Notiz

Wenn Sie Virtualisierungshosts von Drittanbietern verwenden, lesen Sie die Dokumentation zu Virtualisierungshosts, um spezifische Anleitungen und Empfehlungen zu erhalten.

Dieser Artikel ergänzt den Artikel "Virtualisieren von Domänencontrollern", indem weitere Hinweise und Überlegungen bereitgestellt werden, die sich nicht im Bereich des Artikels "Virtualisieren von Domänencontrollern" befanden.

Überlegungen beim Hosten von DC-Rollen in einer virtuellen Hostingumgebung

Wenn Sie einen Active Directory DC auf einem physischen Computer bereitstellen, müssen bestimmte Anforderungen während des gesamten Lebenszyklus des DC erfüllt sein. Die Bereitstellung eines DC in einer virtuellen Hostingumgebung fügt bestimmte Anforderungen und Überlegungen hinzu, darunter:

  • Der Active Directory-Dienst trägt dazu bei, die Integrität der Active Directory-Datenbank beizubehalten, wenn ein Stromausfall oder ein anderer Fehler auftritt. Dazu führt der Dienst nicht gepufferte Schreibvorgänge aus und versucht, den Datenträgerschreibcache auf den Volumes zu deaktivieren, die die Active Directory-Datenbank und Protokolldateien hosten. Active Directory versucht auch, auf diese Weise zu arbeiten, wenn es in einer virtuellen Hostingumgebung installiert ist.

    Wenn die Software für die virtuelle Hostingumgebung ordnungsgemäß einen SCSI-Emulationsmodus unterstützt, der den erzwungenen Komponentenzugriff (Forced Unit Access, FUA) unterstützt, werden nicht gepufferte Schreibvorgänge, die von Active Directory in dieser Umgebung ausgeführt werden, an das Hostbetriebssystem übergeben. Wenn FUA nicht unterstützt wird, müssen Sie den Schreibcache auf allen Volumes des Gastbetriebssystems, das hostt, manuell deaktivieren:

    • Die Active Directory-Datenbank
    • die Protokolle
    • Die Prüfpunktdatei

    Notiz

    • Sie müssen den Schreibcache für alle Komponenten deaktivieren, die das Extensible Storage Engine (ESE) als Datenbankformat verwenden. Zu diesen Komponenten gehören Active Directory, dateireplikationsdienst (FRS), Windows Internet Name Service (WINS) und DHCP (Dynamic Host Configuration Protocol).
    • Als bewährte Methode sollten Sie die Installation nicht unterbrechungsfähiger Netzteile auf virtuellen Computerhosts in Betracht ziehen.

  • Ein Active Directory DC soll den Active Directory-Modus kontinuierlich ausführen, sobald er installiert ist. Beenden Oder anhalten Sie den virtuellen Computer nicht für längere Zeit. Wenn der DC gestartet wird, muss die Replikation von Active Directory erfolgen. Stellen Sie sicher, dass alle DCs die eingehende Replikation auf allen lokal gehaltenen Active Directory-Partitionen gemäß dem Zeitplan ausführen, der für Standortlinks und Verbindungsobjekte definiert ist. Dies gilt insbesondere für die Anzahl der Tage, die durch das Attribut "tombstone lifetime" angegeben werden.

    Wenn die Replikation nicht auftritt, treten möglicherweise inkonsistente Inhalte von Active Directory-Datenbanken auf DCs in der Gesamtstruktur auf. Die Inkonsistenz tritt auf, da das Wissen über Löschungen für die Anzahl der Tage, die durch die Grabsteinlebensdauer definiert sind, beibehalten wird. Wenn DCs die eingehende Replikation von Active Directory-Änderungen innerhalb dieser Anzahl von Tagen nicht transitiv abschließen, bleiben Objekte in Active Directory erhalten. Das Bereinigen von Objekten kann zeitaufwendig sein, insbesondere in Domänenstrukturen mit mehreren Domänen, die viele DCs enthalten.

  • Zur Wiederherstellung von verschiedenen Problemen erfordert ein Active Directory DC regelmäßige Systemstatussicherungen. Die Standardmäßige Nutzungsdauer einer Systemstatussicherung beträgt 60 oder 180 Tage. Dies hängt von der Betriebssystemversion und der Service Pack-Revision ab, die während der Installation wirksam ist. Diese Lebensdauer wird durch das Tombstone-Lebensdauer-Attribut in Active Directory gesteuert. Mindestens ein DC in jeder Domäne in der Gesamtstruktur sollte auf einem regulären Zyklus gesichert werden, je nach Anzahl von Tagen, die in der Grabsteinlebensdauer angegeben sind.

    In einer Produktionsumgebung sollten Sie tägliche Systemstatussicherungen von zwei verschiedenen DCs erstellen.

    Notiz

    Wenn der Host des virtuellen Computers eine Momentaufnahme eines virtuellen Computers erstellt, erkennt das Gastbetriebssystem diese Momentaufnahme nicht als Sicherung. Wenn der Host die Hyper-V-Generation-ID unterstützt, würde diese ID geändert, wenn das Bild aus einer Momentaufnahme oder einem Replikat gestartet wird. Standardmäßig betrachtet sich der DC selbst als wiederhergestellt aus einer Sicherung.

Dinge, die Sie berücksichtigen sollten, wenn Sie DC-Rollen auf gruppierten Hosts hosten oder Active Directory als Back-End in einer virtuellen Hostingumgebung verwenden

  • Wenn Ihre DCs auf clusterierten Hostservern ausgeführt werden, erwarten Sie, dass sie fehlertolerant sind. Die gleiche Erwartung gilt für virtuelle Serverbereitstellungen, die nicht von Microsoft stammen. Bei dieser Annahme gibt es jedoch ein Problem: Damit die Knoten, Datenträger und andere Ressourcen auf einem gruppierten Hostcomputer automatisch gestartet werden können, müssen Authentifizierungsanforderungen vom Computer von einem DC in der Domäne des Computers gewartet werden. Alternativ muss ein Teil der Konfiguration des gruppierten Hosts in Active Directory gespeichert werden.

    Um sicherzustellen, dass auf solche DCs beim Starten des Clustersystems zugegriffen werden kann, stellen Sie mindestens zwei DCs in der Domäne des Computers auf einer unabhängigen Hostinglösung außerhalb dieser Clusterbereitstellung bereit. Sie können physische Hardware oder eine andere virtuelle Hostinglösung verwenden, die keine Active Directory-Abhängigkeit aufweist. Weitere Informationen zu diesem Szenario finden Sie unter Vermeiden einzelner Fehlerpunkte.

  • Diese DCs auf separaten Plattformen sollten online gehalten werden und netzwerkverwendbar sein (in DNS und in allen erforderlichen Ports und Protokollen) für die gruppierten Hosts. In einigen Fällen befinden sich die einzigen DCs, die während des Clusterstarts Authentifizierungsanforderungen verarbeiten können, auf einem clusterbasierten Hostcomputer, der neu gestartet wird. In diesem Fall schlagen Authentifizierungsanforderungen fehl, und Sie müssen den Cluster manuell wiederherstellen.

    Notiz

    Gehen Sie nicht davon aus, dass diese Situation nur für Hyper-V gilt. Virtualisierungslösungen von Drittanbietern können Active Directory auch als Konfigurationsspeicher oder für die Authentifizierung während bestimmter Schritte beim Start oder bei Konfigurationsänderungen des virtuellen Computers verwenden.

Unterstützung für Active Directory-DCs in virtuellen Hostingumgebungen

Weitere Informationen finden Sie in der Supportrichtlinie für Microsoft-Software, die auf Nicht-Microsoft-Hardwarevirtualisierungssoftware ausgeführt wird.