Virtualização do Active Directory

14

Minha empresa está tentando tentar virtualizar todos os nossos servidores e estamos tentando descobrir se a virtualização do Active Directory é uma boa idéia. É algo que pode ser feito? Se houver, existem algumas desvantagens em configurá-lo dessa maneira. Minha rede está configurada com vários servidores físicos, vários servidores virtuais e uma SAN.

Se precisar de mais informações, entre em contato.

active-directory  virtualization 
poconnor
fonte
1
Zoredache
@Zoredache Talvez as duas perguntas possam ser mescladas?
Ward - Reinstate Monica
@ Ward, pode ser necessário reescrever as perguntas e algumas das respostas. A outra pergunta é perguntar se um 'controlador de domínio' pode ser virtualizado; este parece ser sobre a virtualização de todos os controladores de domínio.
Zoredache

Respostas:

19

A Microsoft recomenda manter pelo menos um controlador de domínio físico em cada domínio.

Para a maioria dos ambientes, isso não precisa ser muito um servidor. Mesmo um servidor Atom de montagem em rack de núcleo dual de 64 bits , consumindo 25 watts de energia e custando menos de US $ 500 quando configurado com 4 GB de RAM e um par de discos rígidos de 2,5 "no RAID1, pode fornecer um controlador de domínio físico / DNS / muito útil Servidor DHCP executando o Server 2008 R2.

O principal benefício do mundo real de sempre manter um controlador de domínio físico é evitar problemas de "inicialização a frio" ao reiniciar o ambiente virtualizado após atualizações / upgrades, falta de energia etc. Isso é especialmente relevante se você usar servidores Hyper-V como hosts de virtualização , pois essas máquinas esperam encontrar um controlador de domínio na inicialização.

Falcão do céu
fonte
6
Miles tem um ótimo ponto de partida a frio. Ele também resolve o problema de tempo se a máquina física tiver a função de emulador PDC.
Jim B
1
@ Jim B: É bom ter a função de emulador PDC no controlador de domínio físico, mas você ainda precisa garantir que seus convidados estejam configurados para as melhores práticas do fornecedor do hipervisor.
Evan Anderson
Além disso, se você estiver usando DCs do Windows para serviços DNS, o O / S do hipervisor (VMware / Hyper-V / etc) estará esperando usar o DNS para resoluções de nomes antes mesmo de iniciar as VMs convidadas (incluindo DCs virtualizadas) ... mais uma razão para ter pelo menos um CD físico por perto.
eWall
@evan Anderson é verdade, mas na maioria das vezes eles ecoam recomendações de microsofts para convidados virtuais e quando entram em conflito, você precisa fazer um julgamento.
Jim B
Por alguns dos mesmos motivos apresentados anteriormente, não recomendo instalar o hypervisor em uma instalação física do Windows que seja membro do domínio, mas NÃO seja um controlador de domínio. Você pode obter melhores resultados se o host nem mesmo ingressar no domínio.
Jonathan J
16

O principal problema que eu vi nos computadores controladores de domínio do Active Directory (DC) virtualizados está relacionado a problemas de sincronização de horário. O AD depende muito da sincronização de tempo entre seus controladores de domínio. Portanto, verifique se os hipervisores estão configurados de acordo com as especificações do fabricante para permitir que as VMs convidadas tenham uma sincronização de tempo sólida.

Além da sincronização de tempo, não tenho experiências ruins com controladores de domínio virtualizados para relatar. Não faça nada com eles que você não faria com controladores de domínio físicos. Certifique-se de que você não está revertendo as VMs de DC usando recursos como instantâneos, pois isso pode causar problemas de replicação de banco de dados (equivalente a restaurar um backup antigo de um DC físico). Não clone VMs de DC (equivalente aos DCs de criação de imagens em disco).

Editar:

Eu recomendo manter pelo menos um CD físico por perto, também, para ecoar a resposta de @ MilesErickson. Eu diria que você precisa de um controlador de domínio físico em cada local em que hospeda computadores servidores para permitir que essas máquinas sejam "iniciadas a frio" quando a conectividade da WAN estiver inoperante.

Evan Anderson
fonte
3
Concordo - tenho vários DCs virtualizados rodando sem problemas. O tempo pode ser um problema se você não os configurar adequadamente.
Driftpeasant
1
Eu também. Sem problemas para falar.
Joeqwerty
6
Ah, o cheiro da reversão da USN pela manhã ...
Massimo
1
Eu corro vários sites há anos com um controlador de domínio físico e um controlador de domínio virtual sem problemas.
Keith Stokes
Engraçado como você lê sobre a reversão da USN em uma postagem do ServerFault depois de não ter ouvido falar por um tempo ... e, de repente, aparece no dia seguinte no site de um cliente.
Massimo
4

No passado, virtualizamos controladores de domínio para o AD / Server 2003. Funcionou bem, exceto quando uma das máquinas tinha uma versão mais antiga de sua VM iniciada no lugar da versão mais recente. Isso causou um problema SÉRIO - e fez com que o AD Server parasse de replicar e confiar nos outros servidores.

O que mais tarde descobri que foi acionado foi uma reversão da USN - é muito desagradável de consertar. http://support.microsoft.com/kb/885875

Consegui corrigir o problema e continuamos nossa virtualização. No entanto - desta vez, eu só tinha uma VM pronta em espera no caso de um host do Controlador de Domínio falhar. Eu apenas ingressaria o proprietário no domínio como um novo Controlador de Domínio - isso funcionava bem.

Isso é mais atualizado e pode ser útil: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Ben DeMott
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.