Поделиться через

Рекомендации по размещению контроллеров домена Active Directory в виртуальных средах размещения

  • Статья

В этой статье описываются проблемы, влияющие на контроллер домена windows Server, работающий в качестве гостевой ОС в виртуальных средах размещения. В нем также рассматриваются вопросы, которые следует учитывать при запуске контроллера домена в виртуальной среде размещения.

Исходный номер базы знаний: 888794

Итоги

Виртуальная среда размещения позволяет одновременно запускать несколько гостевых операционных систем на одном хост-компьютере. Программное обеспечение узла виртуализирует следующие ресурсы:

  • ЦП
  • Память
  • Диск
  • Сеть
  • Локальные устройства

Виртуализация этих ресурсов на физическом компьютере позволяет использовать меньше компьютеров для развертывания операционных систем для тестирования и разработки, а также в рабочих ролях. Некоторые ограничения применяются к контроллеру домена Active Directory, работающему в виртуальной среде размещения. Эти ограничения не применяются к контроллеру домена, работающему на физическом компьютере.

В этой статье рассматриваются вопросы, которые следует учитывать при запуске контроллера домена на основе Windows Server в виртуальной среде размещения. К виртуальным средам размещения относятся:

  • Виртуализация Windows Server с hyper-V.
  • Семейство продуктов виртуализации VMware.
  • Семейство новых продуктов виртуализации.
  • Семейство продуктов виртуализации Citrix.
  • Любой продукт в списке гипервизора в программе проверки виртуализации сервера (SVVP).

Дополнительные сведения о текущем состоянии надежности системы и безопасности для виртуализированных контроллеров домена см. в следующей статье:

Виртуализация контроллеров домена с помощью Hyper-V.

В статье "Виртуализация контроллеров домена" приведены общие рекомендации, которые применяются ко всем конфигурациям. Многие из соображений, описанных в этой статье, также относятся к сторонним узлам виртуализации. Она может включать рекомендации и параметры, относящиеся к используемому гипервизору, в том числе:

  • Настройка синхронизации времени для контроллеров домена.
  • Управление томами дисков для целостности данных.
  • Как воспользоваться поддержкой идентификатора создания в сценариях восстановления или миграции.
  • Управление выделением и производительностью ядер ОЗУ и процессоров на узле виртуальной машины.

Примечание.

Если вы используете сторонние узлы виртуализации, обратитесь к документации по узлу виртуализации для получения конкретных рекомендаций и рекомендаций.

Эта статья дополняет статью "Виртуализация контроллеров домена", предоставляя дополнительные указания и рекомендации, которые не были в области применения статьи "Виртуализация контроллеров домена".

Что следует учитывать при размещении ролей контроллера домена в виртуальной среде размещения

При развертывании контроллера домена Active Directory на физическом компьютере определенные требования должны удовлетворяться на протяжении всего жизненного цикла контроллера домена. Развертывание контроллера домена в виртуальной среде размещения добавляет определенные требования и рекомендации, в том числе:

  • Служба Active Directory помогает сохранить целостность базы данных Active Directory в случае потери питания или другого сбоя. Для этого служба выполняет небуферированные записи и пытается отключить кэш записи диска на томах, в которых размещаются файлы базы данных и журналов Active Directory. Active Directory также пытается работать таким образом, если он установлен в виртуальной среде размещения.

    Если программное обеспечение среды виртуального размещения правильно поддерживает режим эмуляции SCSI, поддерживающий принудительный доступ к единицам (FUA), небуферированные записи, выполняемые Active Directory в этой среде, передаются в операционную систему узла. Если FUA не поддерживается, необходимо вручную отключить кэш записи на всех томах гостевой ОС, на котором размещено:

    • База данных Active Directory
    • журналы
    • файл контрольной точки

    Примечание.

    • Необходимо отключить кэш записи для всех компонентов, использующих расширяемый модуль хранилища (ESE) в качестве формата базы данных. К этим компонентам относятся Active Directory, служба репликации файлов (FRS), служба доменных имен Windows (WINS) и протокол конфигурации динамического узла (DHCP).
    • Рекомендуется установить неинтерпретируемые источники питания на узлах виртуальных машин.

  • Контроллер домена Active Directory предназначен для непрерывного запуска режима Active Directory после его установки. Не остановите или не приостанавливайте виртуальную машину в течение длительного времени. При запуске контроллера домена необходимо выполнить репликацию Active Directory. Убедитесь, что все контроллеры домена выполняют входящие репликации во всех локальных секциях Active Directory в соответствии с расписанием, определенным на каналах сайта и объектах подключения. Это особенно верно для количества дней, указанных атрибутом времени существования могилы.

    Если репликация не возникает, может возникнуть несогласованность содержимого баз данных Active Directory на контроллерах домена в лесу. Несоответствие возникает из-за того, что знания об удалении сохраняются в течение нескольких дней, определенных временем существования могилы. Если контроллеры домена не завершают транзитивную репликацию входящих изменений Active Directory в течение этого числа дней, объекты будут задерживаться в Active Directory. Очистка задерживающихся объектов может занять много времени, особенно в лесах с несколькими доменами, которые включают множество контроллеров домена.

  • Для восстановления от различных проблем контроллер домена Active Directory требует регулярного резервного копирования состояния системы. Срок действия резервной копии состояния системы по умолчанию составляет 60 или 180 дней. Она зависит от версии ОС и версии пакета обновления, которая действует во время установки. Эта полезная жизнь управляется атрибутом времени существования могилы в Active Directory. По крайней мере один контроллер домена в каждом домене в лесу должен быть резервирован на регулярном цикле в течение нескольких дней, указанных в времени существования могилы.

    В рабочей среде следует создавать ежедневные резервные копии состояния системы из двух разных контроллеров домена.

    Примечание.

    Когда узел виртуальной машины принимает моментальный снимок виртуальной машины, гостевая ОС не обнаруживает этот моментальный снимок как резервную копию. Когда узел поддерживает идентификатор поколения Hyper-V, этот идентификатор будет изменен при запуске образа из моментального снимка или реплики. По умолчанию контроллер домена будет считаться восстановленным из резервной копии.

Следует учитывать, когда вы размещаете роли контроллера домена на кластеризованных узлах или при использовании Active Directory в качестве серверной части в виртуальной среде размещения

  • При запуске контроллеров домена на кластеризованных серверах узлов вы ожидаете, что они являются отказоустойчивыми. То же ожидание применяется к развертываниям виртуальных серверов, которые не относятся к корпорации Майкрософт. Однако есть одна проблема в этом предположении: для узлов, дисков и других ресурсов на кластеризованном хост-компьютере для автоматического запуска запросы проверки подлинности с компьютера должны обслуживаться контроллером домена в домене компьютера. Кроме того, часть конфигурации кластеризованного узла должна храниться в Active Directory.

    Чтобы обеспечить доступ к таким контроллерам домена во время запуска системы кластера, разверните по крайней мере два контроллера домена компьютера в независимом решении размещения за пределами этого развертывания кластера. Вы можете использовать физическое оборудование или другое виртуальное решение для размещения, которое не имеет зависимости Active Directory. Дополнительные сведения об этом сценарии см. в статье "Избегайте создания отдельных точек сбоя".

  • Эти контроллеры домена на отдельных платформах должны храниться в сети и быть доступными для сети (в DNS и во всех необходимых портах и протоколах) для кластеризованных узлов. В некоторых случаях единственные контроллеры домена, которые могут обслуживать запросы проверки подлинности во время запуска кластера, находятся на кластеризованном компьютере узла, который перезапускается. В этом случае запросы проверки подлинности завершаются сбоем, и необходимо вручную восстановить кластер.

    Примечание.

    Не предполагайте, что эта ситуация относится только к Hyper-V. Сторонние решения виртуализации также могут использовать Active Directory в качестве хранилища конфигурации или проверки подлинности во время определенных шагов запуска или изменения конфигурации виртуальной машины.

Поддержка DCS Active Directory в виртуальных средах размещения

Дополнительные сведения см . в статье о политике поддержки программного обеспечения Майкрософт, работающего на программном обеспечении виртуализации, отличном от Майкрософт.