Mõned asjad, mida tuleks arvesse võtta, kui majutate Active Directory domeenikontrollereid virtuaalse majutuse keskkondades

Windows Server 2003 tugi lõppes 14. juulil 2015.

Microsoft lõpetas Windows Server 2003 toe 14. juulil 2015. Muudatus mõjutas teie tarkvaravärskendusi ja turbesuvandeid. Lugege, mida see teie jaoks tähendab ja kuidas saate kaitset säilitada.


KOKKUVÕTE
Virtuaalmajutuskeskkond võimaldab teil kasutada ühes hostis korraga mitut külalisoperatsioonisüsteemi. Majutustarkvara muudab virtuaalseks ressursid, mis sisaldavad järgmist:
 • CPU
 • Mälu
 • Ketas
 • Võrk
 • Kohalikud seadmed
Nende ressursside füüsilises arvutis virtuaalseks muutmisega lubab majutustarkvara teil operatsioonisüsteemide testimiseks, arendamiseks ja tootmiseks juurutamisel vähem arvuteid kasutada. Samas kehtivad virtuaalmajutuskeskkonnas töötavate Active Directory domeenikontrollerite juurutamisele teatud piirangud. Need piirangud ei rakendu domeenikontrollerile, mis töötab füüsilises arvutis.

Selles artiklis käsitletakse küsimusi, mida tuleks arvesse võtta, kui Microsoft Windows 2000 Serveril põhinevat domeenikontrollerit, Windows Server 2003-l põhinevat domeenikontrollerit või Windows Server 2008-l põhinevat domeenikontrollerit kasutatakse virtuaalmajutuskeskkonnas. Virtuaalmajutuskeskkonnad on järgmised:
 • Windows Server 2008 virtualiseerimine Hyper-V abil
 • VMware'i virtualiseerimistoodete pere
 • Novelli virtualiseerimistoodete pere
LISATEAVE
Virtualiseeritud domeenikontrollerite kohta on olemas värskendatud dokument, mis peegeldab süsteemi töökindluse ja turbe praegust olekut täpsemalt kui see artikkel:
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Paljud TechNeti kaalutlused rakenduvad ka teise tootja virtualiseerimishostidele. See artikkel on siiski abiks täiendavate vihjete ja kaalutlustega, mis pole TechNeti jaoks piisavalt asjakohased.

Mõned asjad, mida tuleks arvesse võtta, kui majutate domeenikontrolleri rolle virtuaalmajutuskeskkonnas

Active Directory domeenikontrolleri juurutamisel füüsilises arvutis tuleb kogu domeenikontrolleri elutsükli jooksul vastata teatud nõudmistele. Domeenikontrolleri juurutamine virtuaalmajutuskeskkonnas lisab teatud nõudeid ja kaalutlusi. Need hõlmavad järgmist.  
 • Aitamaks säilitada voolukatkestuse või mõne muu tõrke korral Active Directory andmebaasi terviklikkust, teeb Active Directory teenus puhverdamata kirjutusi ja püüab keelata ketta vahemällu kirjutamist draividel, mis majutavad Active Directory andmebaasi ja logifaile. Virtuaalmajutuskeskkonda installitud Active Directory üritab ka sel viisil töötada.

  Kui virtuaalmajutuskeskkonna tarkvara toetab õigesti SCSI emuleerimisrežiimi, mis toetab omakorda käsku Forced Unit Access (FUA), edastatakse selles keskkonnas Active Directory tehtud puhverdamata kirjutused hostoperatsioonisüsteemi. Kui käsku Forced Unit Access ei toetata, peate keelama vahemällu kirjutamise kõikidel külalisoperatsioonisüsteemi draividel, mis majutavad Active Directory andmebaasi, logisid ja kontrollpunkti faili.

  Märkused.
  • Peate keelama vahemällu kirjutamise kõikide komponentide puhul, mille andmebaasi vorminguks on Extensible Storage Engine (ESE). Nende komponentide hulka kuuluvad Active Directory, failipaljundusteenus (FRS), Windows Internet Name Service (WINS) ja Dynamic Host Configuration Protocol (DHCP).
  • Hea tavana kaaluge VM-hostidele katkematu toite allikate paigaldamist.

 • Active Directory domeenikontrolleri ülesandeks on kohe pärast installimist pidevalt Active Directory režiimi käitada. Domeenikontrolleri käivitamisel peab toimuma Active Directory täielik kopeerimine. Veenduge, et kõik domeenikontrollerid sooritavad kõikides kohalikes Active Directory sektsioonides sissetulevat kopeerimist vastavalt saidilinkidel ja ühendusobjektides määratud ajakavale, eriti päevade arvu puhul, mida täpsustab hauakivi eluaja atribuut.

  Kui sissetulevat kopeerimist ei toimu, võidakse kataloogiteenuse logisse kanda järgmine tõrkesündmus:

  Event ID (sündmuse ID): 2042
  Source (allikas): NTDS-i kopeerimine
  Type (tüüp): tõrge
  Description (kirjeldus): selle arvuti viimasest nimetatud lähtearvutiga kopeerimisest on liiga palju aega möödas. Lähtearvutiga kopeerimiste vahele jääv aeg on ületanud hauakivi eluaja. Selle lähtearvutiga kopeerimine on lõpetatud.

  Kui kopeerimist ei toimu, võib metsa domeenikontrollerites olevate Active Directory andmebaaside sisu vastuolus olla. Vastuolu ilmneb seetõttu, et teavet kustutuste kohta hoitakse alles hauakivi eluaja jagu päevi. Domeenikontrollerid, mis ei soorita hauakivi eluajale vastava arvu päevade tagant sihiliselt Active Directory muudatuse sissetulevat kopeerimist, põhjustavad pikaldaste objektide teket. Pikaldased objektid on objektid, mille administraator, teenus või operatsioonisüsteem, mis eksisteerib vääralt õigeaegset kopeerimist mittesooritanud sihtdomeenikontrollerites, on tahtlikult kustutanud. Pikaldastest objektidest puhastamine võib olla väga aeganõudev, eriti mitme domeeniga metsades, mis sisaldavad palju domeenikontrollereid.
 • Kui domeenikontroller töötab virtuaalmajutuskeskkonnas, ärge peatage seda pikaks ajaks enne operatsioonisüsteemi tõmmise jätkamist. Kui domeenikontrolleri pikaks ajaks peatate, võib kopeerimine peatuda ja pikaldaste objektide teket põhjustada. Kataloogiteenuse logisse võib olla kantud järgmine tõrkesündmus:

  Event ID (sündmuse ID): 2042
  Source (allikas): NTDS-i kopeerimine
  Type (tüüp): tõrge
  Description (kirjeldus): selle arvuti viimasest nimetatud lähtearvutiga kopeerimisest on liiga palju aega möödas. Lähtearvutiga kopeerimiste vahele jääv aeg on ületanud hauakivi eluaja. Selle lähtearvutiga kopeerimine on lõpetatud.

 • Active Directory domeenikontroller vajab kasutaja, riistvara, tarkvara või keskkonnaga seotud probleemide lahendamiseks regulaarseid süsteemi oleku varukoopiaid. Süsteemi oleku varukoopia vaikeeluiga on 60 või 180 päeva olenevalt installimise ajal esitatavast operatsioonisüsteemi versioonist ja hoolduspaketi redaktsioonist. Eluiga kontrollitakse Active Directory hauakivi eluaja atribuudiga. Vähemalt üht domeenikontrollerit metsa igas domeenis tuleks hauakivi eluajale vastava arvu päevade tagant varundada.

  Tootmiskeskkonnas peaksite iga päev kahest erinevast domeenikontrollerist süsteemi oleku varukoopiaid tegema.
 • Virtualiseeritud domeenikontrollerid klasterhostides 
  Selleks, et sõlmed, kettad ja muud klasterarvutis olevad ressursid automaatselt käivituksid, peab klasterarvuti domeenis asuv domeenikontroller klasterarvutist pärit autentimistaotlusi teenindama.

  Tagamaks, et selline domeenikontroller on klasteroperatsioonisüsteemi käivitumisel olemas, juurutage füüsilise riistvara klasterhosti domeenis vähemalt 2 domeenikontrollerit. Füüsilisi domeenikontrollereid tuleks hoida võrgus ja need peaksid olema klasterhostide jaoks võrgu kaudu ligipääsetavad (DNS-is + kõikides nõutavates portides ja protokollides). Kui ainsad domeenikontrollerid, mis suudavad klastri käivitumisel autentimistaotlust teenindada, asuvad taaskäivitatavas klasterarvutis, siis autentimistaotlused nurjuvad ja klaster tuleb käsitsi taastada.

  Virtualiseeritud domeenikontrollereid võib paigutada klastri jagatud draividele (CSV) ja mitte-CSV draividele. CSV-kettaid ei saa võrku üle tuua, välja arvatud juhul, kui autentimistaotluse teenindajaks on Active Directory. Mitte-CSV-kettaid saab autentimata võrku üle tuua. Kuna mitte-CSV-ketaste võrku ületoomine on lihtsam, soovitab Microsoft virtualiseeritud domeenikontrollerite failid mitte-CSV-ketastele paigutada.

  Märkus. Veenduge alati, et vähemalt üks domeenikontroller asub füüsilisel riistvaral, et rikkeümberlülituse klastrid ja muu taristu saaks käivituda. Kui majutate domeenikontrollereid Windows Server 2008 R2 või Hyper-V Server 2008 R2 hallatavates virtuaalarvutites, soovitame virtuaalarvutis olevad failid sellistele klasterketastele salvestada, mida ei konfigureerita klastri jagatud draivide (CSV) ketastena. See võimaldab kindlates tõrkeolukordades probleemi hõlpsamini lahendada. Kui esineb saidi tõrge või kogu klastri krahhi minemist põhjustav probleem ning füüsilisel riistvaral asuv domeenikontroller pole kättesaadav, siis peaks virtuaalarvuti failide salvestamine mitte-CSV-klasterkettale võimaldama klastril käivituda. Sellises olukorras saab virtuaalarvuti nõutavad kettad võrku üle tuua. See võimaldab teil käivitada domeenikontrollerit majutava virtuaalarvuti. Seejärel saate CSV-kettad võrku üle tuua ja teisi sõlmi käivitada. See protsess on nõutav vaid juhul, kui klastri käivitamise ajal pole ühtki teist domeenikontrollerit saadaval.

Virtuaalmajutuskeskkondades asuvate Active Directory domeenikontrollerite tugi

Et saada lisateavet Microsoftis domeenikontrollerite majutuse ja teise tootja virtuaalmajutuskeskkondade toe kohta, klõpsake Microsofti teabebaasi artikli kuvamiseks järgmisel artiklinumbril:
897615 Mitte-Microsofti riistvara virtualiseerimise tarkvaraga töötava Microsofti tarkvara tugiteenuste poliitika (võib olla inglise keeles)
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Atribuudid

Artikli ID: 888794 – viimati läbi vaadatud: 02/29/2012 14:52:00 – redaktsioon: 1.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
Tagasiside