Du er offline. Venter på, at der oprettes forbindelse til internettet igen

Overvejelser, du skal gøre dig, når du er vært for Active Directory-domænecontrollere i virtuelle værtsmiljøer

Support til Windows Server 2003 ophørte den 14. juli 2015

Microsoft afsluttede support til Windows Server 2003 den 14. juli 2015. Denne ændring har haft indflydelse på dine softwareopdateringer og sikkerhedsindstillinger. Se, hvad det betyder for dig, og hvordan du kan forblive beskyttet.


Sammenfatning
Med et virtuelt værtsmiljø kan du køre flere gæsteoperativsystemer på en enkelt værtscomputer på samme tid. Værtssoftware virtualiserer ressourcer, som omfatter følgende:
 • CPU
 • Hukommelse
 • Disk
 • Netværk
 • Lokale enheder
Ved at virtualisere disse ressourcer på en fysisk computer, giver værtssoftwaren dig mulighed for at bruge færre computere til at udrulle operativsystemer til test og udvikling samt i produktionsroller. Der er dog visse begrænsninger for udrulning af Active Directory-domænecontrollere, som kører i et virtuelt værtsmiljø. Disse restriktioner gælder ikke for en domænecontroller, der kører på en fysisk computer. 

I denne artikel diskuteres de ting, du bør overveje, når en Microsoft Windows 2000 Server-baseret domænecontroller, en Windows Server 2003-baseret domænecontroller eller en Windows Server 2008-baseret controller kører i et virtuelt værtsmiljø. Virtuelle værtsmiljøer omfatter følgende:  
 • Windows Server 2008-virtualisering med Hyper-V
 • VMware-serien af virtualiseringsprodukter
 • Novell-serien af virtualiseringsprodukter
Yderligere Information
Der er et opdateret dokument om virtualiserede domænecontrollere, der afspejler den aktuelle status for systemets stabilitet og sikkerhed mere detaljeret end denne artikel:
http://technet.microsoft.com/da-dk/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Mange af overvejelserne i TechNet gælder også for virtualiseringsværter fra tredjepart. Formålet med denne artikel er at hjælpe med tip og overvejelser, der ikke vurderes til at være tilstrækkeligt relevante til TechNet.

Overvejelser, du skal gøre, når du er vært for domænecontrollere i virtuelle værtsmiljøer

Når du installerer en Active Directory-domænecontroller på en fysisk computer, er der visse krav, der skal opfyldes, i hele domænecontrollerens levetid. Installationen af en domænecontroller i et virtuelt værtsmiljø medfører visse krav og overvejelser. Det drejer sig om følgende:  
 • Hvis der opstår strømsvigt eller en anden fejl udfører Active Directory-tjenesten skrivninger, der ikke beskyttes, og den forsøger at deaktivere cachelagringen af diskskrivningen på enheder, der er vært for Active Directory-databasen og logfilerne, for at hjælpe med at bevare Active Directory-databasens integritet. Active Directory forsøger også at arbejde på denne måde, når den er installeret i et virtuelt værtsmiljø.

  Hvis softwaren i det virtuelle værtsmiljø understøtter en SCSI-emuleringstilstand, der understøtter tvungen adgang til enheden korrekt, videresendes ubeskyttede skrivninger udført af Active Directory i dette miljø til værtsoperativsystemet. Hvis tvungen adgang til enheden ikke understøttes, skal du deaktivere skrivecachen på alle enheder i det gæsteoperativsystem, der er vært for Active Directory-databasen, loggene og kontrolpunktsfilen. 

  Bemærk!
  • Du skal deaktivere skrivecachen for alle komponenter, der bruger databaseformatet ESE (Extensible Storage Engine). Disse komponenter omfatter Active Directory, FRS (File Replication Service), WINS (Windows Internet Name Service) og DHCP (Dynamic Host Configuration Protocol). 
  • Som bedste fremgangsmåde, skal du overveje at installere UPS'er på VM-værter.

 • Det er meningen, at en Active Directory-domænecontroller konstant skal køre i Active Directory-tilstand, så snart den er installeret. Når domænecontrolleren startes, skal der ske en replikering af Active Directory fra ende til anden. Kontrollér, at alle domænecontrollere udfører indgående replikering på alle lokale Active Directory-partitioner i henhold til den plan, der er defineret for webstedslinks og forbindelsesobjekter, især med hensyn til det antal dage, der er angivet af attributten tombstone-levetiden.

  Hvis der ikke udføres indgående replikering, kan følgende fejlhændelse logføres i loggen for katalogtjenesten:

  Hændelses-id: 2042
  Kilde: NTDS-replikering
  Type: Fejl
  Beskrivelse: Det er for længe siden, at computeren sidst replikerede med den navngivne kildecomputer. Tiden mellem replikeringerne med denne kilde har overskredet tombstone-levetiden. Replikeringen med denne kilde er stoppet.

  Når denne replikering ikke udføres, kan du opleve uoverensstemmelser i forhold til indholdet af Active Directory-databaser på domænecontrollere i skoven. Denne uoverensstemmelse opstår, fordi kendskabet til sletninger skal bevares i det antal dage, der svarer til tombstone-levetiden. Domænecontrollere, der ikke transitivt replikerer indgående Active Directory-ændringer i et rullende antal dage i henhold til tombstone-levetiden, medfører ventende objekter. Ventende objekter er objekter, som bevidst slettes af en administrator, tjeneste eller et operativsystem, der uretmæssigt findes på destinationsdomænecontrollere, der ikke udfører rettidig replikering. Oprydning i ventende objekter kan være meget tidskrævende, især i skove med flere domæner, der omfatter mange domænecontrollere.
 • Når en domænecontroller kører i et virtuelt værtsmiljø, må du ikke midlertidigt afbryde domænecontrolleren i længere tid, før du genoptager forbindelsen til operativsystembilledet. Hvis du midlertidigt afbryder domænecontrolleren i lang tid, kan replikeringen stoppe og forårsage ventende objekter. Den følgende fejlhændelse registreres eventuelt i loggen for katalogtjenesten:

  Hændelses-id: 2042
  Kilde: NTDS-replikering
  Type: Fejl
  Beskrivelse: Det er for længe siden, at computeren sidst replikerede med den navngivne kildecomputer. Tiden mellem replikeringerne med denne kilde har overskredet tombstone-levetiden. Replikeringen med denne kilde er stoppet.

 • En Active Directory-domænecontroller kræver sikkerhedskopiering af systemet med jævne mellemrum for at gendanne data som følge af fejl relateret til brugerne, hardwaren, softwaren eller miljøet. Standardlevetiden for en sikkerhedskopi af systemet er 60 eller 180 dage, afhængigt af hvilken version af operativsystemet og hvilken servicepakke der er installeret. Denne levetid styres af attributten tombstone-levetid i Active Directory. Der er mindst én domænecontroller i hvert domæne i skoven, der skal sikkerhedskopieres i løbet af det antal dage, der svarer til tombstone-levetiden.

  I et produktionsmiljø, bør du dagligt foretage sikkerhedskopieringer af systemet fra to forskellige domænecontrollere.
 • Virtualiserede domænecontrollere i klyngeopdelte værter
  Godkendelsesanmodninger skal serviceres af en domænecontroller på den klyngeopdelte computers domæne, for at noder, diske og andre ressourcer på en klyngeopdelt computer kan starte automatisk. 

  Installér mindst to domænecontrollere på den klyngeopdelte værtscomputers domæne på fysisk hardware for at sikre, at sådan en domænecontroller bliver fundet under start af det klyngeopdelte operativsystem. De fysiske domænecontrollere skal være online og have netværksadgang (i DNS + alle obligatoriske porte og protokoller) til de klyngeopdelte værter. Hvis den eneste domænecontroller, der kan servicere godkendelsesanmodninger under start af klynger, findes på en klyngeopdelt computer, der genstartes, vil godkendelsesanmodningerne mislykkes, og det vil være nødvendigt at gennemgå vejledningen til gendannelse manuelt for at aktivere klyngen. 

  Virtualiserede domænecontrollere kan være placeret på klyngeopdelte og ikke-klyngeopdelte enheder. Klyngeopdelte diske kan ikke være online, medmindre godkendelsesanmodningen er serviceret af Active Directory. Ikke-klyngeopdelte diske kan være online uden godkendelse. Da ikke-klyngeopdelte diske er lettere at gøre tilgængelige online, anbefaler Microsoft, at filer til virtualiserede domænecontrollere placeres på ikke-klyngeopdelte diske.

  Bemærk! Du skal altid have mindst én domænecontroller på den fysiske hardware, så failoverklynger og andre infrastrukturer kan starte. Når du er vært for domænecontrollere på virtuelle maskiner, som styres af Windows Server 2008 R2 eller Hyper-V Server 2008 R2, anbefaler vi, at du gemmer filerne fra den virtuelle maskine på klyngediske, der ikke er konfigureret som klyngeopdelte diskenheder. Dette giver mulighed for nemmere genoprettelse i tilfælde af bestemte fejl. Hvis der opstår en fejl på et websted, eller der opstår et problem, som bevirker, at hele klyngen går ned, og domænecontrolleren på den fysiske hardware ikke er tilgængelig, bør klyngen kunne startes ved at gemme filerne fra den virtuelle maskine på en ikke-klyngeopdelt disk. I denne situation kan de diske, der kræves af den virtuelle maskine, blive gjort tilgængelige online. Du kan dermed starte den virtuelle maskine, som er vært for domænecontrolleren. Derefter kan du gøre de klyngeopdelte diske tilgængelige online og starte andre noder. Denne proces kræves kun, hvis der ikke er andre domænecontrollere tilgængelige på det tidspunkt, hvor klyngen startes.

Understøttelse af Active Directory-domænecontrollere i virtuelle værtsmiljøer

Du kan finde flere oplysninger om understøttelse af værtsdomænecontrollere i Microsoft og virtuelle værtsmiljøer fra tredjepart ved at klikke på følgende artikelnummer for at få vist artiklen Microsoft Knowledge Base. Artiklen er evt. på engelsk:
897615 Politik for understøttelse af Microsoft-software, der kører i virtualiseringssoftware på hardware, der ikke er fra Microsoft
Egenskaber

Artikel-id: 888794 – Seneste udgave 02/29/2012 17:03:00 – Udgave 3.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
Feedback