次の方法で共有

仮想ホスティング環境で Active Directory ドメイン コントローラーをホストする場合の考慮事項

  • [アーティクル]

この記事では、仮想ホスティング環境でゲスト OS として実行されている Windows Server ベースのドメイン コントローラー (DC) に影響する問題について説明します。 また、仮想ホスティング環境で DC を実行する場合の考慮事項についても説明します。

元の KB 番号: 888794

まとめ

仮想ホスティング環境では、1 台のホスト コンピューターで複数のゲスト オペレーティング システムを同時に実行できます。 ホスト ソフトウェアは、次のリソースを仮想化します。

  • CPU
  • メモリ
  • ディスク
  • ネットワーク
  • ローカル デバイス

物理コンピューターでこれらのリソースを仮想化することで、ホスト ソフトウェアを使用すると、テストと開発、運用の役割でオペレーティング システムを展開するために使用するコンピューターを減らすことができます。 仮想ホスティング環境で実行される Active Directory DC には、特定の制限が適用されます。 これらの制限は、物理コンピューター上で実行される DC には適用されません。

この記事では、仮想ホスティング環境で Windows Server ベースの DC を実行する場合の考慮事項について説明します。 仮想ホスティング環境には次のものが含まれます。

  • Hyper-V を使用した Windows Server 仮想化。
  • 仮想化製品の VMware ファミリ。
  • 仮想化製品の Novell ファミリ。
  • Citrix の仮想化製品ファミリ。
  • Server Virtualization Validation Program (SVVP) のハイパーバイザー リスト上の任意の製品。

仮想化 DC のシステム堅牢性とセキュリティの現在の状態の詳細については、次の記事を参照してください。

Hyper-V を使用したドメイン コントローラーの仮想化

ドメイン コントローラーの仮想化に関する記事では、すべての構成に適用される一般的な推奨事項を示します。 この記事で説明されている考慮事項の多くは、サード パーティの仮想化ホストにも適用されます。 これには、次のような、使用しているハイパーバイザーに固有の推奨事項と設定が含まれる場合があります。

  • DC の時刻同期を構成する方法。
  • データ整合性のためにディスク ボリュームを管理する方法。
  • 復元または移行のシナリオでジェネレーション ID のサポートを利用する方法。
  • 仮想マシン ホスト上の RAM とプロセッサ コアの割り当てとパフォーマンスを管理する方法。

Note

サード パーティ製の仮想化ホストを使用している場合は、特定のガイダンスと推奨事項については、仮想化ホストのドキュメントを参照してください。

この記事では、仮想化ドメイン コントローラーに関する記事の範囲外のヒントと考慮事項を提供することで、ドメイン コントローラーの仮想化に関する記事を補足します。

仮想ホスティング環境で DC ロールをホストする場合の考慮事項

物理コンピューターに Active Directory DC を展開する場合は、DC のライフサイクル全体で特定の要件を満たす必要があります。 仮想ホスティング環境に DC をデプロイすると、次のような特定の要件と考慮事項が追加されます。

  • Active Directory サービスは、停電やその他の障害が発生した場合に Active Directory データベースの整合性を維持するのに役立ちます。 これを行うために、サービスはバッファーなしの書き込みを実行し、Active Directory データベースとログ ファイルをホストするボリュームのディスク書き込みキャッシュを無効にしようとします。 Active Directory は、仮想ホスティング環境にインストールされている場合にも、この方法で動作しようとします。

    仮想ホスティング環境ソフトウェアが、強制ユニット アクセス (FUA) をサポートする SCSI エミュレーション モードを正しくサポートしている場合、この環境で Active Directory によって実行されるバッファーなし書き込みがホスト OS に渡されます。 FUA がサポートされていない場合は、ホストするゲスト OS のすべてのボリュームで書き込みキャッシュを手動で無効にする必要があります。

    • Active Directory データベース
    • ログ
    • チェックポイント ファイル

    Note

    • Extensible Storage Engine (ESE) をデータベース形式として使用するすべてのコンポーネントの書き込みキャッシュを無効にする必要があります。 これらのコンポーネントには、Active Directory、ファイル レプリケーション サービス (FRS)、Windows インターネット ネーム サービス (WINS)、動的ホスト構成プロトコル (DHCP) が含まれます。
    • ベスト プラクティスとして、仮想マシン ホストに無停電電源装置をインストールすることを検討してください。

  • Active Directory DC は、インストールされるとすぐに Active Directory モードを継続的に実行することを目的としています。 仮想マシンを長時間停止または一時停止しないでください。 DC の起動時に、Active Directory のレプリケーションが行われる必要があります。 サイト リンクと接続オブジェクトで定義されているスケジュールに従って、すべての DC がローカルに保持されているすべての Active Directory パーティションで受信レプリケーションを実行するようにします。 特に、tombstone の有効期間属性で指定された日数に当てはまります。

    レプリケーションが発生しない場合は、フォレスト内の DC 上の Active Directory データベースのコンテンツに不整合が発生する可能性があります。 この不整合は、削除に関する知識が、廃棄石の有効期間で定義されている日数にわたって保持されるために発生します。 DC がこの日数内に Active Directory の受信レプリケーションを推移的に完了しない場合、オブジェクトは Active Directory に残ります。 残留オブジェクトのクリーンアップは、特に多くの DC を含むマルチドメイン フォレストでは、時間がかかる場合があります。

  • さまざまな問題から復旧するには、Active Directory DC には通常のシステム状態バックアップが必要です。 システム状態バックアップの既定の耐用年数は 60 日または 180 日です。 これは、インストール中に有効になっている OS のバージョンとサービス パックのリビジョンによって異なります。 この耐用年数は、Active Directory の tombstone 有効期間属性によって制御されます。 フォレスト内のすべてのドメインの少なくとも 1 つの DC は、廃棄の有効期間で指定された日数に従って、定期的なサイクルでバックアップする必要があります。

    運用環境では、2 つの異なる DC から毎日システム状態のバックアップを作成する必要があります。

    Note

    仮想マシン ホストが仮想マシンのスナップショットを取得すると、ゲスト OS はこのスナップショットをバックアップとして検出しません。 ホストが Hyper-V 世代 ID をサポートしている場合、イメージがスナップショットまたはレプリカから開始されると、この ID が変更されます。 既定では、DC ではそれ自体がバックアップから復元されると見なされます。

クラスター化されたホストで DC ロールをホストする場合、または仮想ホスティング環境でバックエンドとして Active Directory を使用する場合の考慮事項

  • DC がクラスター化されたホスト サーバー上で実行されている場合は、フォールト トレラントである必要があります。 同じ期待が、Microsoft 以外の仮想サーバーのデプロイにも当てはまります。 ただし、この前提には 1 つの問題があります。クラスター化されたホスト コンピューター上のノード、ディスク、およびその他のリソースを自動起動するには、コンピューターのドメイン内の DC によってコンピューターからの認証要求を処理する必要があります。 または、クラスター化されたホストの構成の一部を Active Directory に格納する必要があります。

    クラスター システムの起動時にこのような DC に確実にアクセスできるようにするには、コンピューターのドメイン内の少なくとも 2 つの DC を、このクラスター展開の外部にある独立したホスティング ソリューションに展開します。 物理ハードウェアまたは Active Directory 依存関係のない別の仮想ホスティング ソリューションを使用できます。 このシナリオの詳細については、「 Avoid での単一障害点の作成」を参照してください

  • 個別のプラットフォーム上のこれらの DC は、オンラインに保ち、クラスター化されたホストに対して (DNS およびすべての必要なポートとプロトコルで) ネットワークにアクセスできるようにする必要があります。 場合によっては、クラスターの起動中に認証要求を処理できる DC は、再起動中のクラスター化されたホスト コンピューター上にあります。 このような場合、認証要求は失敗し、クラスターを手動で復旧する必要があります。

    Note

    この状況が Hyper-V にのみ適用されるとは想定しないでください。 サード パーティ製の仮想化ソリューションでは、構成ストアとして、または VM の起動または構成の変更の特定の手順中に認証のために Active Directory を使用することもできます。

仮想ホスティング環境での Active Directory DC のサポート

詳細については、Microsoft 以外のハードウェア仮想化ソフトウェアで実行される Microsoft ソフトウェアのサポート ポリシーを参照してください。