通过

在虚拟托管环境中托管 Active Directory 域控制器时要考虑的事项

  • 项目

本文介绍影响在虚拟托管环境中作为来宾 OS 运行的基于 Windows Server 的域控制器(DC)的问题。 它还讨论了在虚拟托管环境中运行 DC 时要考虑的事项。

原始 KB 数: 888794

总结

虚拟托管环境允许同时在单个主计算机上运行多个来宾操作系统。 主机软件虚拟化以下资源:

  • CPU
  • 内存
  • 磁盘
  • 网络
  • 本地设备

通过在物理计算机上虚拟化这些资源,主机软件使你能够使用更少的计算机来部署操作系统进行测试和开发,并在生产角色中。 某些限制适用于在虚拟托管环境中运行的 Active Directory DC。 这些限制不适用于在物理计算机上运行的 DC。

本文讨论在虚拟托管环境中运行基于 Windows Server 的 DC 时要考虑的事项。 虚拟托管环境包括:

  • 使用 Hyper-V 的 Windows Server 虚拟化。
  • VMware 系列虚拟化产品。
  • Novell 系列虚拟化产品。
  • Citrix 系列虚拟化产品。
  • 服务器虚拟化验证计划(SVVP)中虚拟机监控程序列表中的任何产品。

有关虚拟化 DC 的系统稳定性和安全性的当前状态的详细信息,请参阅以下文章:

使用 Hyper-V 虚拟化域控制器。

虚拟化域控制器文章提供了适用于所有配置的一般建议。 本文中所述的许多注意事项也适用于第三方虚拟化主机。 它可能包括特定于你正在使用的虚拟机监控程序的建议和设置,包括:

  • 如何为 DC 配置时间同步。
  • 如何管理磁盘卷以保持数据完整性。
  • 如何在还原或迁移方案中利用生成 ID 支持。
  • 如何管理虚拟机主机上 RAM 和处理器核心的分配和性能。

注意

如果使用第三方虚拟化主机,请参阅虚拟化主机文档以获取特定指导和建议。

本文通过提供更多不在虚拟化域控制器文章范围内的提示和注意事项来补充虚拟化域控制器文章。

在虚拟托管环境中托管 DC 角色时要考虑的事项

在物理计算机上部署 Active Directory DC 时,必须在 DC 生命周期内满足某些要求。 在虚拟托管环境中部署 DC 会增加某些要求和注意事项,包括:

  • 如果发生断电或其他故障,Active Directory 服务有助于保留 Active Directory 数据库的完整性。 为此,该服务运行无缓冲写入,并尝试在托管 Active Directory 数据库和日志文件的卷上禁用磁盘写入缓存。 如果 Active Directory 安装在虚拟托管环境中,也会尝试以这种方式工作。

    如果虚拟托管环境软件正确支持支持强制单元访问的 SCSI 仿真模式(FUA),则会将此环境中的 Active Directory 执行的无缓冲区写入传递到主机 OS。 如果不支持 FUA,则必须在主机的所有来宾 OS 卷上手动禁用写入缓存:

    • Active Directory 数据库
    • 日志
    • 检查点文件

    注意

    • 必须为使用可扩展存储引擎(ESE)作为数据库格式的所有组件禁用写入缓存。 这些组件包括 Active Directory、文件复制服务(FRS)、Windows Internet 名称服务(WINS)和动态主机配置协议(DHCP)。
    • 最佳做法是考虑在虚拟机主机上安装不间断电源。

  • Active Directory DC 旨在一旦安装 Active Directory 模式,就会持续运行 Active Directory 模式。 不要长时间停止或暂停虚拟机。 DC 启动时,必须复制 Active Directory。 确保所有 DC 都根据站点链接和连接对象上定义的计划对所有本地保留的 Active Directory 分区执行入站复制。 对于逻辑删除生存期属性指定的天数,尤其如此。

    如果未发生复制,则可能在林中的 DC 上遇到 Active Directory 数据库不一致的内容。 之所以出现不一致,是因为知道删除操作持续了逻辑删除生存期定义的天数。 当 DC 在此天数内无法传递地完成 Active Directory 的入站复制更改时,对象将徘徊在 Active Directory 中。 清理挥发对象可能非常耗时,尤其是在包含许多 DC 的多域林中。

  • 若要从各种问题中恢复,Active Directory DC 需要定期系统状态备份。 系统状态备份的默认使用寿命为 60 或 180 天。 这取决于在安装过程中生效的 OS 版本和 Service Pack 修订。 此有用生命周期由 Active Directory 中的逻辑删除生存期属性控制。 林中每个域中至少有一个 DC 应按逻辑删除生存期中指定的天数定期备份。

    在生产环境中,应从两个不同的 DC 进行每日系统状态备份。

    注意

    当虚拟机主机拍摄虚拟机的快照时,来宾 OS 不会将此快照检测为备份。 当主机支持 Hyper-V 生成 ID 时,从快照或副本启动映像时,会更改此 ID。 默认情况下,DC 会考虑从备份中还原。

在群集主机上托管 DC 角色或在虚拟托管环境中将 Active Directory 用作后端时要考虑的事项

  • DC 在群集主机服务器上运行时,你期望它们具有容错能力。 相同的期望适用于不是来自Microsoft的虚拟服务器部署。 但是,此假设存在一个问题:为了使群集主计算机上的节点、磁盘和其他资源自动启动,来自计算机的身份验证请求必须由计算机域中的 DC 提供服务。 或者,群集主机配置的一部分必须存储在 Active Directory 中。

    若要确保在群集系统启动期间可以访问此类 DC,请在此群集部署外部的独立托管解决方案的计算机域中至少部署两个 DC。 可以使用物理硬件或其他没有 Active Directory 依赖项的虚拟托管解决方案。 有关此方案的详细信息,请参阅 避免创建单一故障点。

  • 在单独的平台上,这些 DC 应保持联机状态,并可供群集主机访问(在 DNS 中和所有必需的端口和协议中)。 在某些情况下,在群集启动时服务身份验证请求的唯一 DC 位于正在重启的群集主计算机上。 在这种情况下,身份验证请求会失败,必须手动恢复群集。

    注意

    不要假定这种情况仅适用于 Hyper-V。 第三方虚拟化解决方案还可以在 VM 启动或配置更改的某些步骤中使用 Active Directory 作为配置存储或进行身份验证。

支持虚拟托管环境中的 Active Directory DC

有关详细信息,请参阅 非Microsoft硬件虚拟化软件上运行Microsoft软件的支持策略。