共用方式為

當您在虛擬裝載環境中裝載 Active Directory 域控制器時,需要考慮的事項

  • 發行項

本文說明影響在虛擬裝載環境中以客體OS身分執行的Windows Server域控制器 (DC) 的問題。 它也會討論DC在虛擬裝載環境中執行時要考慮的事項。

原始 KB 編號: 888794

摘要

虛擬裝載環境可讓您同時在單一主計算機上執行多個客體作業系統。 主機軟體會虛擬化下列資源:

  • CPU
  • 記憶體
  • 磁碟
  • 網路
  • 本機裝置

藉由在實體計算機上虛擬化這些資源,主機軟體可讓您使用較少的計算機來部署操作系統以進行測試和開發,以及在生產角色中。 某些限制適用於在虛擬裝載環境中執行的 Active Directory DC。 這些限制不適用於在實體計算機上執行的DC。

本文討論 Windows Server 型 DC 在虛擬裝載環境中執行時要考慮的事項。 虛擬載入環境包括:

  • 使用 Hyper-V 的 Windows Server 虛擬化。
  • VMware 系列虛擬化產品。
  • Novell 系列虛擬化產品。
  • Citrix 系列虛擬化產品。
  • 伺服器虛擬化驗證計劃 (SVVP) 中 Hypervisor 清單上的任何產品。

如需虛擬化DC系統健全性和安全性目前狀態的詳細資訊,請參閱下列文章:

使用 Hyper-V 虛擬化域控制器。

虛擬化域控制器一文提供適用於所有設定的一般建議。 該文章中所述的許多考慮也適用於第三方虛擬化主機。 它可能包含您所使用 Hypervisor 特有的建議和設定,包括:

  • 如何設定 DC 的時間同步處理。
  • 如何管理數據完整性的磁碟區。
  • 如何在還原或移轉案例中利用世代標識碼支援。
  • 如何管理虛擬機主機上 RAM 和處理器核心的配置和效能。

注意

如果您使用第三方虛擬化主機,請參閱虛擬化主機檔以取得特定指引和建議。

本文提供更多不在虛擬化域控制器範圍中的提示和考慮,以補充虛擬域控制器一文。

當您在虛擬裝載環境中裝載DC角色時,需要考慮的事項

當您在實體計算機上部署 Active Directory DC 時,必須在 DC 生命週期中滿足特定需求。 虛擬裝載環境中的DC部署會增加特定需求和考慮,包括:

  • 如果發生電源遺失或其他失敗,Active Directory 服務有助於保留 Active Directory 資料庫的完整性。 若要這樣做,服務會執行未壓縮的寫入,並嘗試在裝載 Active Directory 資料庫和記錄檔的磁碟區上停用磁碟寫入快取。 如果 Active Directory 安裝在虛擬裝載環境中,也會嘗試以這種方式運作。

    如果虛擬裝載環境軟體正確支援支持強制單位存取的 SCSI 模擬模式(FUA),此環境中 Active Directory 所執行的未壓縮寫入會傳遞至主機 OS。 如果不支援 FUA,您必須在主機的所有客體 OS 磁碟區上手動停用寫入快取:

    • Active Directory 資料庫
    • 記錄
    • 檢查點檔案

    注意

    • 您必須針對使用可延伸儲存引擎 (ESE) 做為其資料庫格式的所有元件停用寫入快取。 這些元件包括 Active Directory、檔案復寫服務 (FRS)、Windows 因特網名稱服務 (WINS) 和動態主機設定通訊協定 (DHCP)。
    • 最佳做法是考慮在虛擬機主機上安裝不穩定的電源供應器。

  • Active Directory DC 的目的是在安裝 Active Directory 模式後立即持續執行。 不要長時間停止或暫停虛擬機。 DC 啟動時,必須復寫 Active Directory。 請確定所有 DC 都會根據網站鏈接和連線物件上定義的排程,在所有本機保留的 Active Directory 分割區上執行輸入複寫。 對於由墓碑存留期屬性指定的天數,特別如此。

    如果復寫未發生,您可能會遇到樹系中 DC 上的 Active Directory 資料庫內容不一致。 之所以發生不一致,是因為知道刪除會持續存在墓碑存留期所定義的天數。 當 DC 在此天數內無法轉移地完成 Active Directory 的輸入復寫變更時,物件會在 Active Directory 中揮之不去。 清除揮之不去的物件可能很耗時,特別是在包含許多DC的多網域樹系中。

  • 若要從各種問題復原,Active Directory DC 需要一般系統狀態備份。 系統狀態備份的預設使用期限為 60 或 180 天。 這取決於操作系統版本和安裝期間生效的 Service Pack 修訂。 這個有用的壽命是由 Active Directory 中的墓碑存留期屬性所控制。 樹系中每個網域中至少有一個 DC 應該在一般迴圈中備份,根據墓碑存留期中指定的天數。

    在生產環境中,您應該從兩個不同的DC進行每日系統狀態備份。

    注意

    當虛擬機主機擷取虛擬機的快照時,客體OS不會偵測到此快照集作為備份。 當主機支援 Hyper-V 世代識別碼時,當映像從快照集或複本啟動時,將會變更此標識符。 根據預設,DC 會考慮從備份還原。

當您在叢集主機上裝載DC角色,或使用Active Directory 作為虛擬裝載環境中的後端時,需要考慮的事項

  • 當您的 DC 在叢集主機伺服器上執行時,您會預期它們具有容錯能力。 相同的期望適用於不是來自Microsoft的虛擬伺服器部署。 不過,此假設有一個問題:為了讓叢集主計算機上的節點、磁碟和其他資源自動啟動,計算機的驗證要求必須由計算機網域中的DC提供服務。 或者,叢集主機設定的一部分必須儲存在 Active Directory 中。

    為了確保可以在叢集系統啟動期間存取這類 DC,請在此叢集部署外部獨立主控解決方案的計算機網域中部署至少兩個 DC。 您可以使用實體硬體或其他沒有 Active Directory 相依性虛擬裝載解決方案。 如需此案例的詳細資訊,請參閱 避免建立單一失敗點。

  • 個別平臺上的這些 DC 應該保持在線狀態,且可在 DNS 和所有必要埠和通訊協定中存取叢集主機。 在某些情況下,在叢集啟動時,唯一可以服務驗證要求的DC是在重新啟動的叢集主電腦上。 在此情況下,驗證要求會失敗,您必須手動復原叢集。

    注意

    請勿假設這種情況僅適用於 Hyper-V。 第三方虛擬化解決方案也可以使用 Active Directory 作為組態存放區,或在 VM 啟動或設定變更的特定步驟期間進行驗證。

支援虛擬裝載環境中的 Active Directory DC

如需詳細資訊,請參閱 非Microsoft硬體虛擬化軟體上執行之Microsoft軟體的支持原則。