Aspetti da considerare quando si ospitano controller di dominio Active Directory in ambienti di hosting virtuale
Questo articolo descrive i problemi che interessano un controller di dominio basato su Windows Server in esecuzione come sistema operativo guest negli ambienti di hosting virtuale. Vengono inoltre illustrati gli aspetti da considerare quando un controller di dominio viene eseguito in un ambiente di hosting virtuale.
Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 888794
Riepilogo
Un ambiente di hosting virtuale consente di eseguire contemporaneamente più sistemi operativi guest in un singolo computer host. Il software host virtualizza le risorse seguenti:
- CPU
- Memoria
- Disco
- Rete
- Dispositivi locali
Virtualizzando queste risorse in un computer fisico, il software host consente di usare meno computer per distribuire sistemi operativi per il test e lo sviluppo e nei ruoli di produzione. Alcune restrizioni si applicano a un controller di dominio di Active Directory eseguito in un ambiente di hosting virtuale. Queste restrizioni non si applicano a un controller di dominio eseguito in un computer fisico.
Questo articolo illustra gli aspetti da considerare quando un controller di dominio basato su Windows Server viene eseguito in un ambiente di hosting virtuale. Gli ambienti di hosting virtuale includono:
- Virtualizzazione di Windows Server con Hyper-V.
- Famiglia VMware di prodotti di virtualizzazione.
- Nuova famiglia di prodotti di virtualizzazione.
- Famiglia citrix di prodotti di virtualizzazione.
- Qualsiasi prodotto nell'elenco di hypervisor nel server Virtualization Validation Program (SVVP).
Per altre informazioni sullo stato corrente di affidabilità e sicurezza del sistema per i controller di dominio virtualizzati, vedere l'articolo seguente:
Virtualizzazione dei controller di dominio tramite Hyper-V.
L'articolo Virtualizing Domain Controllers (Virtualizzazione dei controller di dominio) fornisce consigli generali che si applicano a tutte le configurazioni. Molte delle considerazioni descritte in questo articolo si applicano anche agli host di virtualizzazione di terze parti. Potrebbe includere raccomandazioni e impostazioni specifiche per l'hypervisor in uso, tra cui:
- Come configurare la sincronizzazione dell'ora per i controller di dominio.
- Come gestire i volumi del disco per l'integrità dei dati.
- Come sfruttare il supporto dell'ID di generazione negli scenari di ripristino o migrazione.
- Come gestire l'allocazione e le prestazioni di RAM e core del processore nell'host della macchina virtuale.
Nota
Se si usano host di virtualizzazione di terze parti, consultare la documentazione dell'host di virtualizzazione per indicazioni e raccomandazioni specifiche.
Questo articolo integra l'articolo Virtualizzazione dei controller di dominio fornendo altri suggerimenti e considerazioni che non rientravano nell'ambito dell'articolo Virtualizzazione dei controller di dominio.
Aspetti da considerare quando si ospitano i ruoli del controller di dominio in un ambiente di hosting virtuale
Quando si distribuisce un controller di dominio di Active Directory in un computer fisico, è necessario soddisfare determinati requisiti per tutto il ciclo di vita del controller di dominio. La distribuzione di un controller di dominio in un ambiente di hosting virtuale aggiunge alcuni requisiti e considerazioni, tra cui:
Il servizio Active Directory consente di mantenere l'integrità del database di Active Directory se si verifica una perdita di alimentazione o un altro errore. A tale scopo, il servizio esegue scritture senza buffer e tenta di disabilitare la cache di scrittura del disco nei volumi che ospitano il database e i file di log di Active Directory. Active Directory tenta anche di funzionare in questo modo se è installato in un ambiente di hosting virtuale.
Se il software dell'ambiente di hosting virtuale supporta correttamente una modalità di emulazione SCSI che supporta l'accesso forzato alle unità (FUA), le scritture senza buffer eseguite da Active Directory in questo ambiente vengono passate al sistema operativo host. Se FUA non è supportato, è necessario disabilitare manualmente la cache di scrittura in tutti i volumi del sistema operativo guest che ospitano:
- il database di Active Directory
- i log
- il file del checkpoint
Nota
- È necessario disabilitare la cache di scrittura per tutti i componenti che usano ESE (Extensible Storage Engine) come formato di database. Questi componenti includono Active Directory, il servizio replica file (FRS), Windows Internet Name Service (WINS) e DHCP (Dynamic Host Configuration Protocol).
- Come procedura consigliata, prendere in considerazione l'installazione di alimentatori non interruppebili negli host di macchine virtuali.
Un controller di dominio di Active Directory è progettato per eseguire la modalità Active Directory in modo continuo non appena è installato. Non arrestare o sospendere la macchina virtuale per un periodo di tempo prolungato. All'avvio del controller di dominio, è necessario eseguire la replica di Active Directory. Assicurarsi che tutti i controller di dominio eservino la replica in ingresso in tutte le partizioni di Active Directory ospitate in locale in base alla pianificazione definita nei collegamenti del sito e negli oggetti di connessione. È particolarmente vero per il numero di giorni specificato dall'attributo di durata della rimozione definitiva.
Se la replica non viene eseguita, potrebbe verificarsi un contenuto incoerente dei database di Active Directory nei controller di dominio nella foresta. L'incoerenza si verifica perché la conoscenza delle eliminazioni persiste per il numero di giorni definito dalla durata della rimozione definitiva. Quando i controller di dominio non completano in modo transitivo la replica in ingresso delle modifiche di Active Directory entro questo numero di giorni, gli oggetti rimarranno in Active Directory. La pulizia degli oggetti persistenti può richiedere molto tempo, soprattutto nelle foreste multidominio che includono molti controller di dominio.
Per il ripristino da vari problemi, un controller di dominio di Active Directory richiede backup regolari dello stato del sistema. La durata utile predefinita di un backup dello stato del sistema è di 60 o 180 giorni. Dipende dalla versione del sistema operativo e dalla revisione del Service Pack attiva durante l'installazione. Questa vita utile è controllata dall'attributo di durata della rimozione definitiva in Active Directory. È necessario eseguire il backup di almeno un controller di dominio in ogni dominio della foresta in un ciclo regolare, in base al numero di giorni specificato nella durata della rimozione definitiva.
In un ambiente di produzione è consigliabile eseguire backup giornalieri dello stato del sistema da due controller di dominio diversi.
Nota
Quando l'host della macchina virtuale acquisisce uno snapshot di una macchina virtuale, il sistema operativo guest non rileva questo snapshot come backup. Quando l'host supporta l'ID di generazione Hyper-V, questo ID verrà modificato quando l'immagine viene avviata da uno snapshot o da una replica. Per impostazione predefinita, il controller di dominio si considererebbe ripristinato da un backup.
Aspetti da considerare quando si ospitano ruoli controller di dominio in host in cluster o quando si usa Active Directory come back-end in un ambiente di hosting virtuale
Quando i controller di dominio vengono eseguiti in server host cluster, si prevede che siano a tolleranza di errore. La stessa aspettativa si applica alle distribuzioni di server virtuali che non provengono da Microsoft. Tuttavia, c'è un problema in questo presupposto: affinché i nodi, i dischi e altre risorse in un computer host cluster possano essere riavviati automaticamente, le richieste di autenticazione dal computer devono essere eseguite da un controller di dominio nel dominio del computer. In alternativa, una parte della configurazione dell'host cluster deve essere archiviata in Active Directory.
Per assicurarsi che tali controller di dominio siano accessibili durante l'avvio del sistema del cluster, distribuire almeno due controller di dominio nel dominio del computer in una soluzione di hosting indipendente all'esterno della distribuzione del cluster. È possibile usare hardware fisico o un'altra soluzione di hosting virtuale che non ha una dipendenza active directory. Per altre informazioni su questo scenario, vedere Evitare di creare singoli punti di errore.
Questi controller di dominio su piattaforme separate devono essere mantenuti online ed essere accessibili alla rete (in DNS e in tutte le porte e i protocolli necessari) agli host cluster. In alcuni casi, gli unici controller di dominio in grado di eseguire richieste di autenticazione durante l'avvio del cluster si trovano in un computer host cluster che viene riavviato. In questo caso, le richieste di autenticazione hanno esito negativo ed è necessario ripristinare manualmente il cluster.
Nota
Non presupporre che questa situazione si applichi solo a Hyper-V. Le soluzioni di virtualizzazione di terze parti possono anche usare Active Directory come archivio di configurazione o per l'autenticazione durante determinati passaggi dell'avvio della macchina virtuale o delle modifiche alla configurazione.
Supporto per controller di dominio Active Directory negli ambienti di hosting virtuale
Per altre informazioni, vedere Criteri di supporto per il software Microsoft eseguito su software di virtualizzazione hardware non Microsoft.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per