O que considerar ao hospedar controladores de domínio do Active Directory em ambientes de hospedagem virtual

  • Artigo

Este artigo descreve os problemas que afetam um DC (controlador de domínio baseado em Windows Server) em execução como um sistema operacional convidado em ambientes de hospedagem virtual. Ele também discute as coisas a serem consideradas quando um DC é executado em um ambiente de hospedagem virtual.

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 888794

Resumo

Um ambiente de hospedagem virtual permite que você execute vários sistemas operacionais convidados em um único computador host ao mesmo tempo. O software host virtualiza os seguintes recursos:

  • CPU
  • Memória
  • Disco
  • Rede
  • Dispositivos locais

Ao virtualizar esses recursos em um computador físico, o software host permite que você use menos computadores para implantar sistemas operacionais para teste e desenvolvimento e em funções de produção. Determinadas restrições se aplicam a um DC do Active Directory que é executado em um ambiente de hospedagem virtual. Essas restrições não se aplicam a um DC executado em um computador físico.

Este artigo discute as coisas a serem consideradas quando um DC baseado no Windows Server é executado em um ambiente de hospedagem virtual. Os ambientes de hospedagem virtual incluem:

  • Virtualização do Windows Server com o Hyper-V.
  • Família VMware de produtos de virtualização.
  • Família novell de produtos de virtualização.
  • Família Citrix de produtos de virtualização.
  • Qualquer produto na lista de hipervisores no Programa de Validação de Virtualização do Servidor (SVVP).

Para obter mais informações sobre o status atual de robustez e segurança do sistema para DCs virtualizados, consulte o seguinte artigo:

Virtualizando controladores de domínio usando o Hyper-V.

O artigo Virtualizando Controladores de Domínio fornece recomendações gerais que se aplicam a todas as configurações. Muitas das considerações descritas nesse artigo também se aplicam a hosts de virtualização de terceiros. Ele pode incluir recomendações e configurações específicas para o hipervisor que você está usando, incluindo:

  • Como configurar a sincronização de tempo para DCs.
  • Como gerenciar volumes de disco para integridade de dados.
  • Como aproveitar o suporte à ID de geração em cenários de restauração ou migração.
  • Como gerenciar a alocação e o desempenho dos núcleos de RAM e processador no host da máquina virtual.

Observação

Se você estiver usando hosts de virtualização de terceiros, consulte a documentação do host de virtualização para obter diretrizes e recomendações específicas.

Este artigo complementa o artigo Virtualizando controladores de domínio fornecendo mais dicas e considerações que não estavam no escopo do artigo Virtualizando Controladores de Domínio.

Coisas a considerar quando você hospeda funções DC em um ambiente de hospedagem virtual

Quando você implanta um DC do Active Directory em um computador físico, determinados requisitos devem ser atendidos durante todo o ciclo de vida do DC. A implantação de um DC em um ambiente de hospedagem virtual adiciona alguns requisitos e considerações, incluindo:

  • O serviço do Active Directory ajuda a preservar a integridade do banco de dados do Active Directory se ocorrer uma perda de energia ou outra falha. Para fazer isso, o serviço executa gravações não oferecidas e tenta desabilitar o cache de gravação de disco nos volumes que hospedam o banco de dados do Active Directory e os arquivos de log. O Active Directory também tentará trabalhar dessa maneira se ele estiver instalado em um ambiente de hospedagem virtual.

    Se o software de ambiente de hospedagem virtual der suporte corretamente a um modo SCSI-emulation que dá suporte ao FUA (acesso forçado à unidade), as gravações não oferecidas executadas pelo Active Directory nesse ambiente serão passadas para o sistema operacional host. Se o FUA não tiver suporte, você deve desabilitar manualmente o cache de gravação em todos os volumes do sistema operacional convidado que hospedam:

    • o banco de dados do Active Directory
    • os logs
    • o arquivo de ponto de verificação

    Observação

    • Você deve desabilitar o cache de gravação para todos os componentes que usam o ESE (Mecanismo de Armazenamento Extensível) como formato de banco de dados. Esses componentes incluem o Active Directory, o FRS (Serviço de Replicação de Arquivos), o WINS (Serviço de Nome da Internet do Windows) e o DHCP (Dynamic Host Configuration Protocol).
    • Como prática recomendada, considere instalar fontes de energia ininterruptas em hosts de máquinas virtuais.

  • Um DC do Active Directory destina-se a executar o modo active directory continuamente assim que ele for instalado. Não pare ou interrompa a máquina virtual por um longo tempo. Quando o DC é iniciado, a replicação do Active Directory deve ocorrer. Verifique se todos os DCs fazem replicação de entrada em todas as partições do Active Directory controladas localmente de acordo com o cronograma definido em links de site e objetos de conexão. É especialmente verdadeiro para o número de dias especificados pelo atributo de vida da lápide.

    Se a replicação não ocorrer, você poderá experimentar conteúdo inconsistente de bancos de dados do Active Directory em DCs na floresta. A inconsistência ocorre porque o conhecimento das exclusões persiste para o número de dias definidos pelo tempo de vida da lápide. Quando os DCs não concluirem transitivamente a replicação de entrada de alterações do Active Directory nesse número de dias, os objetos permanecerão no Active Directory. Limpar objetos persistentes pode ser demorado, especialmente em florestas de vários domínios que incluem muitos DCs.

  • Para se recuperar de vários problemas, um DC do Active Directory requer backups de estado regulares do sistema. A vida útil padrão de um backup de estado do sistema é de 60 ou 180 dias. Depende da versão do sistema operacional e da revisão do service pack que está em vigor durante a instalação. Essa vida útil é controlada pelo atributo de vida da lápide no Active Directory. Pelo menos um DC em cada domínio da floresta deve ser apoiado em um ciclo regular, de acordo com o número de dias especificados no tempo de vida da lápide.

    Em um ambiente de produção, você deve fazer backups diários do estado do sistema de dois DCs diferentes.

    Observação

    Quando o host da máquina virtual usa uma instantâneo de uma máquina virtual, o sistema operacional convidado não detecta esse instantâneo como um backup. Quando o host dá suporte à ID da Geração Hyper-V, essa ID será alterada quando a imagem for iniciada de um instantâneo ou réplica. Por padrão, o DC se consideraria restaurado de um backup.

Coisas a considerar ao hospedar funções DC em hosts clusterizados ou quando você usa o Active Directory como back-end em um ambiente de hospedagem virtual

  • Quando seus DCs são executados em servidores host clusterizados, você esperaria que eles fossem tolerantes a falhas. A mesma expectativa se aplica a implantações de servidor virtual que não são da Microsoft. No entanto, há um problema nessa suposição: para que os nós, discos e outros recursos em um computador host clusterizado iniciem automaticamente, as solicitações de autenticação do computador devem ser atendidas por um DC no domínio do computador. Como alternativa, parte da configuração do host clusterizado deve ser armazenada no Active Directory.

    Para garantir que esses DCs possam ser acessados durante a inicialização do sistema de cluster, implante pelo menos dois DCs no domínio do computador em uma solução de hospedagem independente fora dessa implantação de cluster. Você pode usar hardware físico ou outra solução de hospedagem virtual que não tenha uma dependência do Active Directory. Para obter mais informações sobre esse cenário, consulte Evitar criar pontos únicos de falha.

  • Esses DCs em plataformas separadas devem ser mantidos online e acessíveis à rede (em DNS e em todas as portas e protocolos necessários) para os hosts clusterizados. Em alguns casos, os únicos DCs que podem atender solicitações de autenticação durante a inicialização de cluster estão em um computador host clusterizado que está sendo reiniciado. Nessa situação, as solicitações de autenticação falham e você deve recuperar manualmente o cluster.

    Observação

    Não suponha que essa situação se aplique somente ao Hyper-V. Soluções de virtualização de terceiros também podem usar o Active Directory como um repositório de configurações ou para autenticação durante determinadas etapas de inicialização ou alterações de configuração da VM.

Suporte para DCs do Active Directory em ambientes de hospedagem virtual

Para obter mais informações, consulte Política de suporte para software da Microsoft que é executado em softwares de virtualização de hardware que não são da Microsoft.