Éléments à prendre en compte lorsque vous hébergez des contrôleurs de domaine Active Directory dans des environnements d'hébergement virtuels

Traductions disponibles Traductions disponibles
Numéro d'article: 888794 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Un environnement d'hébergement virtuel vous permet d'exécuter simultanément plusieurs systèmes d'exploitation invités sur un seul ordinateur hôte. Les ressources hôte virtualisent les ressources suivantes :
  • Processeur
  • Mémoire
  • Disque
  • Réseau
  • Périphériques locaux
En virtualisant ces ressources sur un ordinateur physique, le logiciel hôte vous permet d'utiliser moins d'ordinateurs pour déployer des systèmes d'exploitation pour le test, le développement et des rôles de production. Toutefois, certaines restrictions s'appliquent au déploiement des contrôleurs de domaine Active Directory qui s'exécutent dans un environnement d'hébergement virtuel. Ces restrictions ne s'appliquent pas à un contrôleur de domaine qui s'exécute sur un ordinateur physique.

Cet article décrit les éléments à prendre en compte lorsqu'un contrôleur de domaine Microsoft Windows 2000 Server, Windows Server 2003 ou Windows Server 2008 s'exécute dans un environnement d'hébergement virtuel. Les environnements d'hébergement virtuels incluent les éléments suivants :
  • Virtualisation Windows Server 2008 avec Hyper-V
  • Gamme de produits de virtualisation VMware
  • Gamme de produits de virtualisation Novell

Plus d'informations

Il existe un document mis à jour sur les contrôleurs de domaine virtualisés qui reflète l'état actuel de la robustesse et de la sécurité du système de manière plus approfondie que cet article :
http://technet.microsoft.com/fr-fr/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

La plupart des considérations dans TechNet s'appliquent également à des hôtes de virtualisation tiers. Cet article est toujours en vigueur et fournit des considérations et conseils supplémentaires jugés insuffisamment pertinents pour TechNet.

Éléments à prendre en compte lorsque vous hébergez des rôles de contrôleur de domaine dans un environnement d'hébergement virtuel

Lors du déploiement d'un contrôleur de domaine Active Directory sur un ordinateur physique, certaines conditions requises doivent être respectées dans le cycle de vie du contrôleur de domaine. Le déploiement d'un contrôleur de domaine dans un environnement d'hébergement virtuel ajoute certaines conditions requises et considérations exposées ci-après :  
  • Afin de préserver l'intégrité de la base de données Active Directory en cas de coupure d'alimentation ou de toute autre défaillance, le service Active Directory effectue des écritures non mises en mémoire tampon et essaie de désactiver le cache en écriture sur disque sur les volumes qui hébergent la base de données et les fichiers journaux Active Directory. Active Directory tente de fonctionner également de cette manière lorsqu'il est installé dans un environnement d'hébergement virtuel.

    Si le logiciel d'environnement d'hébergement virtuel prend correctement en charge un mode d'émulation SCSI qui supporte l'accès FUA (Forced Unit Access), les écritures sans mise en mémoire tampon effectuées par Active Directory dans cet environnement sont transmises au système d'exploitation hôte. Si l'accès FUA n'est pas pris en charge, vous devez désactiver le cache en écriture sur tous les volumes du système d'exploitation invité qui héberge la base de données, les journaux et le fichier de point de contrôle Active Directory.

    Remarques
    • Vous devez désactiver le cache en écriture pour tous les composants qui utilisent le mode ESE (Extensible Storage Engine) comme format de base de données. Ces composants incluent Active Directory, le service de réplication de fichiers (FRS), le service WINS (Windows Internet Name Service) et le protocole DHCP (Dynamic Host Configuration Protocol).
    • Nous vous recommandons d'envisager l'installation d'onduleurs sur les hôtes de machines virtuelles.

  • Un contrôleur de domaine Active Directory est conçu pour l'exécution du mode Active Directory en continu une fois installé. Lorsque le contrôleur de domaine est démarré, une réplication de bout en bout Active Directory doit avoir lieu. Assurez-vous que tous les contrôleurs de domaine exécutent une réplication entrante sur toutes les partitions Active Directory locales en fonction du planning défini sur les liens de site et les objets de connexion, en particulier dans le nombre de jours qui est indiqué par l'attribut de durée de vie de désactivation.

    Si la réplication entrante ne se produit pas, l'événement d'erreur suivant peut être consigné dans le journal du service Annuaire :

    ID de l'événement : 2042
    Source : Réplication NTDS
    Type : Erreur
    Description : Trop de temps s'est écoulé depuis la dernière réplication de cet ordinateur avec l'ordinateur source nommé. La durée entre réplications avec cette source a dépassé la durée de vie de temporisation. La réplication a été arrêtée avec cette source.

    Lorsque cette réplication ne se produit pas, vous pouvez constater une incohérence dans le contenu des bases de données Active Directory sur les contrôleurs de domaine de la forêt. Cette incohérence se produit car la connaissance des suppressions persiste pour le nombre de jours de la durée de vie de désactivation. Les contrôleurs de domaine qui n'exécutent pas de réplication entrante transitive des modifications Active Directory dans un délai égal au nombre de jours de la durée de vie de désactivation génèrent des objets en attente. Les objets en attente sont des objets supprimés intentionnellement par un administrateur, un service ou un système d'exploitation qui existe de manière incorrecte sur des contrôleurs de domaine de destination qui n'ont pas exécuté de réplication dans le délai imparti. Le nettoyage d'objets en attente peut être très long, en particulier dans les forêts multi-domaine qui incluent de nombreux contrôleurs de domaine.
  • Lorsqu'un contrôleur de domaine s'exécute dans un environnement d'hébergement virtuel, ne suspendez pas le contrôleur de domaine pour de longues périodes avant de sortir de l'image du système d'exploitation. Si vous suspendez le contrôleur de domaine pendant une longue période, la réplication peut s'arrêter et générer des objets en attente. L'événement d'erreur suivant peut être consigné dans le journal du service Annuaire :

    ID de l'événement : 2042
    Source : Réplication NTDS
    Type : Erreur
    Description : Trop de temps s'est écoulé depuis la dernière réplication de cet ordinateur avec l'ordinateur source nommé. La durée entre les réplications avec cette source a dépassé la durée de vie de temporisation. La réplication avec cette source a été arrêtée.

  • Un contrôleur de domaine Active Directory requiert des sauvegardes d'état du système régulières pour permettre une récupération en cas de problèmes utilisateur, matériel, logiciel ou de problèmes d'environnement. La durée de vie par défaut d'une sauvegarde d'état du système est de 60 ou 180 jours, selon la version du système d'exploitation et la révision de Service Pack actif lors de l'installation. Cette durée de vie est contrôlée par l'attribut de durée de vie de désactivation dans Active Directory. Au moins un contrôleur de domaine de chaque domaine de la forêt doit être sauvegardé selon chaque délai défini pour la durée de vie de désactivation.

    Dans un environnement de production, vous devez effectuer des sauvegardes d'état du système à partir de deux contrôleurs de domaine différents sur une base quotidienne.
  • Contrôleurs de domaine virtualisés dans des hôtes en cluster 
    Pour que les n?uds, les disques et d'autres ressources d'un ordinateur en cluster démarrent automatiquement, les demandes d'authentification de l'ordinateur en cluster doivent être traitées par un contrôleur de domaine dans le domaine de l'ordinateur en cluster. 

    Pour s'assurer qu'un contrôleur de domaine de ce type existe lors du démarrage du système d'exploitation en cluster, déployez au moins 2 contrôleurs de domaine dans le domaine de l'ordinateur hôte en cluster sur du matériel physique. Les contrôleurs de domaine physiques doivent être en ligne et accessibles en réseau (dans DNS + tous les ports et protocoles requis) par les hôtes en cluster. Si le seul contrôleur de domaine pouvant traiter la demande d'authentification de service pendant le démarrage en cluster réside sur un ordinateur en cluster en cours de redémarrage, les demandes d'authentification échoueront et la procédure de récupération manuelle devra être effectuée pour que la mise en cluster soit opérationnelle. 

    Les contrôleurs de domaine virtualisés peuvent être placés sur des volumes partagés de cluster (CSV) et des volumes non-CSV. Il est impossible de mettre les disques CSV en ligne à moins que la demande d'authentification n'ait été traitée par Active Directory. Par contre, il est possible de mettre des disques non-CSV en ligne sans authentification. Dans la mesure où les disques non-CSV peuvent être mis en ligne plus facilement, Microsoft recommande de placer les fichiers pour les contrôleurs de domaine virtualisés sur des disques non-CSV.

    Remarque : au moins un contrôleur de domaine doit être hébergé sur du matériel physique pour que les clusters de basculement ou toute autre infrastructure puisse démarrer. Si vous hébergez des contrôleurs de domaine sur des machines virtuelles gérées par Windows Server 2008 R2 ou Hyper-V Server 2008 R2, nous vous recommandons de stocker les fichiers des machines virtuelles sur des disques en cluster qui ne sont pas configurés en tant que disques de volumes partagés de cluster (CSV). Cette opération facilite la récupération en cas d'échec spécifique. En cas d'incidents au niveau d'un site, d'un problème engendrant le blocage de l'ensemble du cluster et de la non-disponibilité du contrôleur de domaine sur le matériel physique, le stockage des fichiers des machines virtuelles sur un disque en cluster non-CSV devrait permettre le démarrage du cluster. Dans ce cas, les disques requis par la machine virtuelle peuvent être mis en ligne. Cela vous permettra de démarrer la machine virtuelle qui héberge le contrôleur de domaine. Ensuite, vous pouvez mettre en ligne les disques CSV et lancer d'autres n?uds. Ce processus est requis si aucun autre contrôleur de domaine n'est disponible au moment du démarrage du cluster.

Support pour les contrôleurs de domaine Active Directory dans les environnements d'hébergement virtuels

Pour plus d'informations sur la prise en charge des contrôleurs de domaine d'hébergement dans Microsoft et des environnements d'hébergement virtuels tiers, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
897615 Stratégie de prise en charge d'un logiciel Microsoft exécuté dans un logiciel de virtualisation de matériel autre que Microsoft

Propriétés

Numéro d'article: 888794 - Dernière mise à jour: mercredi 29 février 2012 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Mots-clés : 
kbinfo kbhowto KB888794
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com