文章编号: 888794 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

虚拟宿主环境允许您在一台主计算机上同时运行多个来宾操作系统。主机软件可虚拟化以下资源:
  • CPU
  • 内存
  • 磁盘
  • 网络
  • 本地设备
通过在物理计算机上虚拟化这些资源,主机软件允许您使用较少的计算机部署用于测试、开发和生产角色的操作系统。但是,在虚拟宿主环境中运行的 Active Directory 域控制器的部署适用某些限制。这些限制不适用于在物理计算机上运行的域控制器。

本文讨论基于 Microsoft Windows 2000 Server 的域控制器、基于 Windows Server 2003 的域控制器或基于 Windows Server 2008 的域控制器在虚拟宿主环境中运行时的注意事项。虚拟宿主环境包括以下几种:
  • Windows Server 2008 虚拟化(带 Hyper-V)
  • VMware 虚拟化产品系列
  • Novell 虚拟化产品系列

更多信息

虚拟化域控制器上含有更新文档,与本文相比,该文档能更准确地反映系统当前的可靠性和安全性状态:
http://technet.microsoft.com/zh-cn/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

TechNet 中的大多数注意事项也适用于第 3 方虚拟化主机。本文仍然保留,旨在提供被人们视为与 TechNet 相关性不足的其他提示和注意事项。

在虚拟宿主环境中承载域控制器角色时的注意事项

在物理计算机上部署 Active Directory 域控制器时,域控制器的整个生命周期必须满足一定的要求。虚拟宿主环境中域控制器的部署必须满足一定的要求并考虑一些注意事项。其中包括:?
  • 为了帮助保护 Active Directory 数据库在断电或其他故障情况下的完整性,Active Directory?服务将执行未缓冲的写入并尝试在承载 Active Directory 数据库和日志文件的卷上禁用磁盘写入缓存。当安装在虚拟宿主环境中时,Active Directory 也会尝试以此方式工作。

    如果虚拟宿主环境软件能正确地支持 SCSI 仿真模式(该模式支持强制单元访问 (FUA)),则 Active Directory 在此环境中执行的未缓存的写入将传递至主机操作系统。如果强制单元访问不受支持,则您必须禁用来宾操作系统上所有承载 Active Directory 数据库、日志以及检查点文件的卷上的写入缓存。

    注意
    • 您必须禁用所有数据库格式为可扩展存储引擎 (ESE) 的组件的写入缓存。这些组件包括 Active Directory、文件复制服务 (FRS)、Windows Internet 名称服务 (WINS) 和动态主机配置协议 (DHCP)。
    • 最佳做法是考虑在 VM 主机上安装不间断电源。

  • Active Directory 域控制器用于在安装后持续运行 Active Directory 模式。启动域控制器后,必须出现 Active Directory 端到端复制。请确保所有的域控制器按照站点链接和连接对象上定义的进度安排(尤其是在逻辑删除生存时间属性指定的天数内)在所有本地保存的 Active Directory 分区上执行入站复制。

    如果未发生入站复制,Directory Service 日志中可能会记录以下错误事件:

    事件 ID: 2042
    源:NTDS 复制
    类型:错误
    描述:此计算机与命名的源计算机上一次复制后的时间间隔太长。与此源的复制间隔时间已经超过逻辑删除生存时间。与该源的复制已经停止。

    如果此复制未发生,您可能会遇到林中域控制器上的 Active Directory 数据库内容不一致的问题。发生不一致的原因是删除操作在逻辑删除生存天数内持续进行。未能在滚动的逻辑删除生存天数内通过可传递的方式执行 Active Directory 更改入站复制的域控制器会导致出现延迟对象。延迟对象是由错误地存在于未及时执行复制的源 DC 上的管理员、服务或操作系统有意删除的对象。延迟对象的清理可能非常耗时,尤其是在包括多个域控制器的多域林中。
  • 当域控制器在虚拟宿主环境中运行时,请勿在恢复操作系统映像之前长时间暂停域控制器。如果您长时间暂停域控制器,则复制可能会停止并导致出现延迟对象。Directory Service 日志中可能会记录以下错误事件:

    事件 ID:2042
    源:NTDS 复制
    类型:错误
    描述:此计算机与命名的源计算机上一次复制后的时间间隔太长。与此源的复制间隔时间已经超过逻辑删除生存时间。与该源的复制已经停止。

  • Active Directory 域控制器需要进行定期系统状态备份以从用户、硬件或环境问题中恢复。系统状态备份的默认有效期为 60 或 180 天,具体取决于操作系统版本以及安装时发挥作用的 Service Pack 修订版本。此有效期由 Active Directory 中的逻辑删除生存时间属性控制。至少应该在每个逻辑删除生存天数中对林中每个域的一个域控制器进行备份。

    在生产环境中,您应该每天从两个不同的 DC 中进行系统状态备份。
  • 群集主机中的虚拟化 DC?
    为了让群集计算机上的节点、磁盘和其他资源自动启动,来自群集计算机的身份验证请求必须由群集计算机域中的 DC 提供服务。

    若要确保群集操作系统启动期间存在此类 DC,请在群集主计算机的物理硬件域上部署至少?2?台域控制器。物理 DC 应该保持联机状态并可通过网络访问(以 DNS + 所有必需的端口和协议的方式)群集主机。如果可在群集启动期间为身份验证请求提供服务的唯一?DC 驻留在正在重新启动的群集计算机上,则身份验证请求将失败,并且需要执行手动恢复步骤以使群集处于可操作状态。

    虚拟化 DC 可能可放置在群集共享卷 (CSV) 和非 CSV 卷上。只有身份验证请求由 Active Directory 提供服务,CSV 磁盘才可以联机。非 CSV 磁盘可在无身份验证的情况下联机。由于非 CSV 磁盘更易于联机,Microsoft 建议将虚拟化域控制器的文件放置在非 CSV 磁盘上。

    注意:请始终在物理硬件上放置至少一个 DC,从而使故障转移群集和其他结构能够启动。当您在由 Windows Server 2008 R2 或 Hyper-V Server 2008 R2 管理的虚拟机上承载域控制器时,我们建议您将虚拟机文件存储在未配置为群集共享卷 (CSV) 磁盘的群集磁盘上。这种做法可在特定的故障环境下进行较轻松的恢复。如果出现站点故障或问题,使得整个群集崩溃且物理硬件上的 DC 不可用,则将虚拟机文件存储在非 CSV 群集磁盘上的做法会使群集启动。在这种情况下,虚拟机需要的磁盘可以联机。这样,您就可以启动承载域控制器的虚拟机。然后,您可以使 CSV 磁盘联机并启动其他节点。只有在群集启动时不存在其他任何可用域控制器的情况下需要此过程。

有关虚拟宿主环境中 Active Directory 域控制器的支持

有关 Microsoft 和第三方虚拟宿主环境中承载域控制器的支持性的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
897615 运行非 Microsoft 硬件虚拟软件的 Microsoft 软件支持策略

属性

文章编号: 888794 - 最后修改: 2012年2月29日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
关键字:?
kbinfo kbhowto KB888794
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com