Otázky ke zvážení při hostování řadičů domény služby Active Directory ve virtuálních hostitelských prostředích

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.


Souhrn
Virtuální hostitelské prostředí umožňuje spustit současně několik hostovaných operačních systémů v jednom hostitelském počítači. Hostitelský software virtualizuje prostředky, mezi něž patří:
 • Procesor
 • Paměť
 • Disk
 • Síť
 • Místní zařízení
Virtualizací těchto prostředků ve fyzickém počítači hostitelský software umožňuje využít méně počítačů k nasazení operačních systémů pro testování, vývoj a provozní role. U nasazení řadičů domény služby Active Directory, které jsou spouštěny ve virtuálním hostitelském prostředí, však platí určitá omezení. Tato omezení se nevztahují na řadiče domény, které jsou spouštěny ve fyzickém počítači. 

Tento článek popisuje aspekty, které je třeba vzít v úvahu, je-li řadič domény se systémem Microsoft Windows 2000, Windows Server 2003 nebo Windows Server 2008 spuštěn ve virtuálním hostitelském prostředí. Virtuální hostitelská prostředí zahrnují následující:  
 • Windows Server 2008 Virtualization s technologií Hyper-V
 • Řada virtualizačních produktů VMware
 • Řada virtualizačních produktů Novell
Další informace
K dispozici je aktualizovaný dokument týkající se virtualizovaných řadičů domény, který lépe odpovídá současnému stavu robustnosti systémů a zabezpečení než tento článek:
http://technet.microsoft.com/cs-cz/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Řada aspektů v článku na webu TechNet se rovněž vztahuje na virtualizační hostitele jiných výrobců. Tento článek vám může pomoci s dalšími radami a aspekty ke zvážení, které nebyly pro web TechNet dostatečně relevantní.

Aspekty, které je třeba zvážit, jsou-li role řadičů domény hostovány ve virtuálním hostitelském prostředí

Nasadíte-li řadič domény služby Active Directory ve fyzickém počítači, je třeba, aby byly v průběhu životního cyklu řadiče domény splněny určité požadavky. Nasazení řadiče domény ve virtuálním hostitelském prostředí tyto požadavky dále rozšiřuje. Jedná se mimo jiné o následující aspekty:  
 • S cílem napomoci zachování integrity databáze služby Active Directory v případě výpadku napájení nebo jiného selhání provádí služba Active Directory zápisy bez vyrovnávací paměti a pokouší se zakázat mezipaměť pro zápis na disk u svazků, které jsou hostiteli souborů protokolů a databáze služby Active Directory. Služba Active Directory se rovněž pokouší tímto způsobem pracovat, je-li nainstalována ve virtuálním hostitelském prostředí.

  Pokud software virtuálního hostitelského prostředí správně podporuje režim emulace SCSI, který podporuje vynucený přístup k jednotce (FUA), jsou zápisy bez vyrovnávací paměti, které služba Active Directory provede v tomto prostředí, předány hostitelskému operačnímu systému. Pokud vynucený přístup k jednotce není podporován, je třeba zakázat mezipaměť pro zápis u všech svazků hostovaného operačního systému, které jsou hostiteli souboru kontrolních bodů, protokolů a databáze služby Active Directory. 

  Poznámky
  • Je třeba zakázat mezipaměť pro zápis u všech komponent, které používají databázový formát ESE (Extensible Storage Engine). Mezi tyto komponenty patří služba Active Directory, Služba replikace souborů (FRS), služba WINS (Windows Internet Name Service) a protokol DHCP (Dynamic Host Configuration Protocol). 
  • Doporučeným postupem je zvážit u hostitelů VM instalaci nepřerušitelného zdroje napájení.

 • U řadiče domény služby Active Directory se předpokládá, že bude po dokončení instalace provozován trvale v režimu Active Directory. Je-li spuštěn řadič domény, musí dojít k úplné replikaci služby Active Directory. Ověřte, zda všechny řadiče domény provádějí příchozí replikaci všech lokálních oddílů služby Active Directory podle rozvrhu definovaného u propojení lokalit a objektů připojení, a to zejména s ohledem na počet dní určený atributem doby zachování odstraněných objektů.

  Pokud k příchozí replikaci nedojde, může být v protokolu adresářové služby zaznamenána následující událost chyby:

  ID události: 2042
  Zdroj: Replikace NTDS
  Typ: Chyba
  Popis: Tento počítač nebyl s uvedeným zdrojovým počítačem delší dobu replikován. Čas mezi replikacemi s tímto zdrojem přesáhl dobu zachování odstraněných objektů. Replikace s tímto zdrojem byla ukončena.

  Pokud k této replikaci nedojde, může dojít k nekonzistenci obsahu databází služby Active Directory v řadičích domény v doménové struktuře. K této nekonzistenci dojde, protože znalosti o odstraněních jsou zachovány po počet dní určených atributem doby zachování odstraněných objektů. Řadiče domény, které neprovádějí transitivní příchozí replikaci změn služby Active Directory v průběhu počtu dní určených atributem doby zachování odstraněných objektů, způsobí vznik přetrvávajících odstraněných objektů. Přetrvávající odstraněné objekty jsou objekty záměrně odstraněné správcem, službou nebo operačním systémem, které nesprávně existují v cílových řadičích domény, jež neprovedly včasnou replikaci. Čištění přetrvávajících odstraněných objektů může být velmi časově náročné, zejména ve strukturách s více doménami, které obsahují velký počet řadičů domén.
 • Je-li řadič domény spuštěn ve virtuálním hostitelském prostředí, neukončujte jeho práci na delší časové období, než obnovíte bitovou kopii operačního systému. Pokud řadič domény pozastavíte na dlouhou dobu, může dojít k zastavení replikace a vzniku přetrvávajících odstraněných objektů. V protokolu adresářové služby může být zaznamenána následující událost chyby:

  ID události: 2042
  Zdroj: Replikace NTDS
  Typ: Chyba
  Popis: Tento počítač nebyl s uvedeným zdrojovým počítačem delší dobu replikován. Čas mezi replikacemi s tímto zdrojem přesáhl dobu zachování odstraněných objektů. Replikace s tímto zdrojem byla ukončena.

 • Řadič domény služby Active Directory vyžaduje pravidelné zálohování stavu systému, aby se mohl zotavit z potíží s uživateli, hardwarem, softwarem nebo prostředím. Výchozí doba životnosti zálohy stavu systému je 60 nebo 180 dní, v závislosti na verzi operačního systému a aktualizace Service Pack použité v průběhu instalace. Životnost je ve službě Active Directory řízena atributem doby zachování odstraněných objektů. Po uplynutí počtu dní určených atributem doby zachování odstraněných objektů by měl být zálohován nejméně jeden řadič v každé doméně dané doménové struktury.

  V provozním prostředí byste měli každý den vytvářet zálohu stavu systému ze dvou různých řadičů domény.
 • Virtualizované řadiče domény v clusterovaných hostitelích
  K tomu, aby se uzly, disky a další prostředky v clusterovaném počítači mohly automaticky spustit, je třeba, aby požadavky na ověření z clusterovaného počítače byly obslouženy řadičem domény v doméně počítače clusteru. 

  Chcete-li zajistit, aby takový řadič domény existoval v průběhu spuštění operačního systému clusteru, nasaďte na fyzickém hardwaru v doméně clusterovaného hostitelského počítače nejméně 2 řadiče domény. Tyto fyzické řadiče domény by měly být udržovány v režimu online a měly by být pro clusterované hostitele přístupné prostřednictvím sítě (prostřednictvím DNS a všech požadovaných portů a protokolů). Je-li jediný řadič domény, který může obsloužit požadavky na ověření v průběhu spuštění clusteru, umístěn v počítači clusteru, který je restartován, požadavky na ověření se nezdaří a ke zprovoznění clusteru bude nutné provést ruční obnovení. 

  Virtualizované řadiče domény mohou být umístěny na sdílených svazcích clusteru (CSV) a na svazcích, které nejsou typu CSV. Disky CSV lze převést do stavu online pouze v případě, že požadavky na ověření byly obslouženy službou Active Directory. Disky, které nejsou typu CSV, lze do režimu online převést bez ověřování. Vzhledem k tomu, že disky, které nejsou typu CSV, lze převést do režimu online snadněji, společnost Microsoft doporučuje umístit virtualizované řadiče domény právě na tyto disky.

  Poznámka: Mějte vždy k dispozici nejméně jeden řadič domén, který je umístěn na fyzickém hardwaru, aby bylo možné spustit clustery s podporou převzetí služeb při selhání a další infrastrukturu. Pokud hostíte řadiče domény ve virtuálních počítačích, které jsou spravovány serverem Windows Server 2008 R2 nebo Hyper-V Server 2008 R2, doporučujeme uložit soubory virtuálního počítače na disky clusteru, které nejsou konfigurovány jako sdílené disky clusteru (disky CSV). To umožňuje snazší obnovení při konkrétních selháních. Dojde-li k selhání webu nebo k potížím, které způsobí chybu celého clusteru, a řadič domény na fyzickém hardwaru není k dispozici, mělo by uložení souborů virtuálního počítače na disku clusteru, který není typu CSV, umožnit spuštění clusteru. V takovém případě lze disky, které jsou vyžadovány virtuálním počítačem, převést do režimu online. To umožní spustit virtuální počítač, který je hostitelem řadiče domény. Potom je možné převést do režimu online disky CSV a spustit další uzly. Tento proces je vyžadován pouze v případě, že v době spuštění clusteru nejsou k dispozici žádné jiné řadiče domény.

Podpora řadičů domény služby Active Directory ve virtuálních hostitelských prostředích

Další informace o možnostech podpory hostitelských řadičů domény ve virtuálních hostitelských prostředích společnosti Microsoft a jiných výrobců naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
897615 Zásady podpory pro software společnosti Microsoft spuštěný v prostředí softwaru pro virtualizaci hardwaru jiných výrobců
Vlastnosti

ID článku: 888794 - Poslední kontrola: 02/29/2012 14:51:00 - Revize: 4.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
Váš názor