Kwestie, które należy wziąć pod uwagę podczas hostowania kontrolerów domeny usługi Active Directory w wirtualnych środowiskach hostingu
W tym artykule opisano problemy, które mają wpływ na kontroler domeny oparty na systemie Windows Server (DC) działający jako system operacyjny gościa w wirtualnych środowiskach hostingu. Omówiono w nim również kwestie, które należy wziąć pod uwagę, gdy kontroler domeny działa w wirtualnym środowisku hostingu.
Dotyczy systemów: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Oryginalny numer KB: 888794
Podsumowanie
Wirtualne środowisko hostingu umożliwia uruchamianie wielu systemów operacyjnych gościa na jednym komputerze hosta w tym samym czasie. Oprogramowanie hosta wirtualizuje następujące zasoby:
- Procesor CPU
- Pamięci
- Dysku
- Sieci
- Urządzenia lokalne
Wirtualizując te zasoby na komputerze fizycznym, oprogramowanie hosta umożliwia użycie mniejszej liczby komputerów do wdrażania systemów operacyjnych do testowania i programowania oraz w rolach produkcyjnych. Niektóre ograniczenia dotyczą kontrolera domeny usługi Active Directory działającego w wirtualnym środowisku hostingu. Te ograniczenia nie mają zastosowania do kontrolera domeny działającego na komputerze fizycznym.
W tym artykule omówiono kwestie, które należy wziąć pod uwagę, gdy kontroler domeny oparty na systemie Windows Server działa w wirtualnym środowisku hostingu. Wirtualne środowiska hostingu obejmują:
- Wirtualizacja systemu Windows Server z funkcją Hyper-V.
- Rodzina produktów wirtualizacji VMware.
- Rodzina nowych produktów wirtualizacji.
- Rodzina produktów wirtualizacji firmy Citrix.
- Dowolny produkt na liście funkcji hypervisor w programie walidacji wirtualizacji serwera (SVVP).
Aby uzyskać więcej informacji na temat bieżącego stanu niezawodności i zabezpieczeń systemu dla zwirtualizowanych kontrolerów domeny, zobacz następujący artykuł:
Wirtualizacja kontrolerów domeny przy użyciu funkcji Hyper-V.
Artykuł Wirtualizacja kontrolerów domeny zawiera ogólne zalecenia dotyczące wszystkich konfiguracji. Wiele zagadnień opisanych w tym artykule dotyczy również hostów wirtualizacji innych firm. Mogą one obejmować zalecenia i ustawienia specyficzne dla używanej funkcji hypervisor, w tym:
- Jak skonfigurować synchronizację czasu dla kontrolerów domeny.
- Jak zarządzać woluminami dysków pod kątem integralności danych.
- Jak korzystać z obsługi identyfikatora generacji w scenariuszach przywracania lub migracji.
- Jak zarządzać alokacją i wydajnością pamięci RAM i rdzeni procesora na hoście maszyny wirtualnej.
Uwaga
Jeśli używasz hostów wirtualizacji innych firm, zapoznaj się z dokumentacją hosta wirtualizacji, aby uzyskać szczegółowe wskazówki i zalecenia.
Ten artykuł uzupełnia artykuł Virtualizing Domain Controllers (Wirtualizacja kontrolerów domeny), podając więcej wskazówek i zagadnień, które nie były w zakresie artykułu Virtualizing Domain Controllers (Wirtualizacja kontrolerów domeny).
Kwestie, które należy wziąć pod uwagę podczas hostowania ról kontrolera domeny w wirtualnym środowisku hostingu
Podczas wdrażania kontrolera domeny usługi Active Directory na komputerze fizycznym pewne wymagania muszą być spełnione w całym cyklu życia kontrolera domeny. Wdrożenie kontrolera domeny w wirtualnym środowisku hostingu dodaje pewne wymagania i zagadnienia, w tym:
Usługa Active Directory pomaga zachować integralność bazy danych usługi Active Directory w przypadku utraty zasilania lub innego błędu. W tym celu usługa uruchamia niezabuforowane zapisy i próbuje wyłączyć pamięć podręczną zapisu dysku na woluminach hostujących bazę danych i pliki dziennika usługi Active Directory. Usługa Active Directory próbuje również działać w ten sposób, jeśli jest zainstalowana w wirtualnym środowisku hostingu.
Jeśli oprogramowanie wirtualnego środowiska hostingu prawidłowo obsługuje tryb emulacji SCSI, który obsługuje wymuszony dostęp jednostkowy (FUA), niezabuforowane zapisy wykonywane przez usługę Active Directory w tym środowisku są przekazywane do systemu operacyjnego hosta. Jeśli funkcja FUA nie jest obsługiwana, należy ręcznie wyłączyć pamięć podręczną zapisu na wszystkich woluminach systemu operacyjnego gościa hosta:
- baza danych usługi Active Directory
- dzienniki
- plik punktu kontrolnego
Uwaga
- Należy wyłączyć pamięć podręczną zapisu dla wszystkich składników, które używają aparatu magazynu rozszerzalnego (ESE) jako formatu bazy danych. Te składniki obejmują usługę Active Directory, usługę replikacji plików (FRS), usługę nazw internetowych systemu Windows (WINS) i protokół DHCP (Dynamic Host Configuration Protocol).
- Najlepszym rozwiązaniem jest rozważenie zainstalowania zasilaczy bezinterrupii na hostach maszyn wirtualnych.
Kontroler domeny usługi Active Directory jest przeznaczony do ciągłego uruchamiania trybu usługi Active Directory, gdy tylko zostanie zainstalowany. Nie zatrzymywać ani nie wstrzymywać maszyny wirtualnej przez dłuższy czas. Po uruchomieniu kontrolera domeny musi nastąpić replikacja usługi Active Directory. Upewnij się, że wszystkie kontrolery domeny wykonują replikację przychodzącą na wszystkich lokalnych partycjach usługi Active Directory zgodnie z harmonogramem zdefiniowanym w łączach lokacji i obiektach połączenia. Jest to szczególnie prawdziwe w przypadku liczby dni określonej przez atrybut okresu istnienia reliktu.
Jeśli replikacja nie wystąpi, może wystąpić niespójna zawartość baz danych usługi Active Directory na kontrolerach domeny w lesie. Niespójność występuje, ponieważ wiedza o usunięciach trwa przez liczbę dni zdefiniowaną przez okres istnienia nagrobka. Gdy kontrolery domeny nie zakończą przechodnio replikacji przychodzącej zmian usługi Active Directory w ciągu tej liczby dni, obiekty będą się utrzymywały w usłudze Active Directory. Czyszczenie obiektów utrzymujących się może być czasochłonne, szczególnie w lasach z wieloma domenami, które zawierają wiele kontrolerów domeny.
Aby odzyskać sprawności po różnych problemach, kontroler domeny usługi Active Directory wymaga regularnych kopii zapasowych stanu systemu. Domyślny okres użytkowania kopii zapasowej stanu systemu to 60 lub 180 dni. Zależy to od wersji systemu operacyjnego i poprawki dodatku Service Pack, która obowiązuje podczas instalacji. Ten okres użytkowania jest kontrolowany przez atrybut okresu istnienia reliktu w usłudze Active Directory. Co najmniej jeden kontroler domeny w każdej domenie w lesie należy utworzyć kopię zapasową w regularnym cyklu na liczbę dni określoną w okresie istnienia nagrobka.
W środowisku produkcyjnym należy codziennie tworzyć kopie zapasowe stanu systemu z dwóch różnych kontrolerów domeny.
Uwaga
Gdy host maszyny wirtualnej tworzy migawkę maszyny wirtualnej, system operacyjny gościa nie wykrywa tej migawki jako kopii zapasowej. Gdy host obsługuje identyfikator generacji funkcji Hyper-V, ten identyfikator zostanie zmieniony po uruchomieniu obrazu z migawki lub repliki. Domyślnie kontroler domeny uzna się za przywrócony z kopii zapasowej.
Kwestie, które należy wziąć pod uwagę podczas hostowania ról kontrolera domeny na hostach klastrowanych lub gdy używasz usługi Active Directory jako zaplecza w wirtualnym środowisku hostingu
Gdy kontrolery domeny działają na klastrowanych serwerach hostów, można oczekiwać, że są odporne na uszkodzenia. To samo oczekiwanie dotyczy wdrożeń serwerów wirtualnych, które nie pochodzą od firmy Microsoft. Istnieje jednak jeden problem w tym założeniu: aby węzły, dyski i inne zasoby na klastrowanym komputerze hosta były automatycznie uruchamiane, żądania uwierzytelniania z komputera muszą być obsługiwane przez kontroler domeny w domenie komputera. Alternatywnie część konfiguracji klastrowanego hosta musi być przechowywana w usłudze Active Directory.
Aby zapewnić dostęp do takich kontrolerów domeny podczas uruchamiania systemu klastra, wdróż co najmniej dwie kontrolery DOMENY w domenie komputera w niezależnym rozwiązaniu hostingowym poza tym wdrożeniem klastra. Możesz użyć sprzętu fizycznego lub innego wirtualnego rozwiązania hostingowego, które nie ma zależności usługi Active Directory. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz Unikanie tworzenia pojedynczych punktów awarii.
Te kontrolery domeny na oddzielnych platformach powinny być przechowywane w trybie online i być dostępne dla sieci (w systemie DNS i we wszystkich wymaganych portach i protokołach) dla hostów klastrowanych. W niektórych przypadkach jedyne kontrolery domeny, które mogą obsługiwać żądania uwierzytelniania podczas uruchamiania klastra, znajdują się na klastrowanym komputerze hosta, który jest uruchamiany ponownie. W takiej sytuacji żądania uwierzytelniania nie powiodły się i należy ręcznie odzyskać klaster.
Uwaga
Nie należy zakładać, że ta sytuacja dotyczy tylko funkcji Hyper-V. Rozwiązania wirtualizacji innych firm mogą również używać usługi Active Directory jako magazynu konfiguracji lub uwierzytelniania podczas niektórych kroków uruchamiania maszyny wirtualnej lub zmian konfiguracji.
Obsługa kontrolerów domeny usługi Active Directory w wirtualnych środowiskach hostingu
Aby uzyskać więcej informacji, zobacz Zasady pomocy technicznej dla oprogramowania firmy Microsoft działającego w oprogramowaniu wirtualizacji sprzętu firmy innej niż Microsoft.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla