אינך במצב לא מקוון כעת, ממתין לחיבור לאינטרנט

דברים שיש לקחת בחשבון כאשר אתה מארח בקרי תחום של Active Directory בסביבות אירוח וירטואלי

התמיכה עבור Windows Server 2003 הסתיימה ב-14 ביולי, 2015

Microsoft סיימה את התמיכה עבור Windows Server 2003 ב-14 ביולי, 2015 עדכוני התוכנה שינוי זה השפיע על עדכוני התוכנה ואפשרויות האבטחה שלך. למד על מה זה אומר בשבילך ועל איך להישאר מוגן.


תקציר
סביבת אירוח וירטואלי מאפשרת להפעיל מספר מערכות הפעלה אורחות בו-זמנית על מחשב מארח יחיד. תוכנת מחשב מארח מבצעת וירטואליזציה של משאבים הכוללים:
 • מעבד
 • זיכרון
 • דיסק
 • רשת
 • התקנים מקומיים
באמצעות וירטואליזציה של משאבים אלה על מחשב פיזי, תוכנת האירוח מאפשרת להשתמש בפחות מחשבים לפריסת מערכות הפעלה לבדיקות, לפיתוח ובתפקידי ייצור. עם זאת, חלות הגבלות מסוימות על המימוש של בקרי תחום של Active Directory הפועלים בסביבת אירוח וירטואלי. הגבלות אלה אינן חלות על בקר תחום הפועל על מחשב פיזי.

מאמר זה דן בנושאים אליהם צריך להתייחס כאשר בקר תחום מבוסס Microsoft Windows 2000 Server, בקר תחום מבוסס Windows Server 2003 או בקר תחום מבוסס Windows Server 2008 פועל בסביבת אירוח וירטואלי. סביבות אירוח וירטואלי כוללות:
 • וירטואליזציית Windows Server 2008 עם Hyper-V
 • משפחת VMware של מוצרי וירטואליזציה
 • משפחת Novell של מוצרי וירטואליזציה
מידע נוסף
קיים מסמך מעודכן אודות בקרי תחום בווירטואליזציה המשקף את המצב הנוכחי של חוסן מערכות ובטיחותן באופן הדוק יותר ממאמר זה:
http://technet.microsoft.com/he-il/library/virtual_active_directory_domain_controller_virtualization_hyperv(en-us,WS.10).aspx

רבים מהשיקולים ב-TechNet חלים גם על מארחי וירטואליזציה של צד שלישי. מאמר זה קיים כדי לסייע עם עצות ושיקולים נוספים שלא נתפסו כחשובים מספיק עבור TechNet.

שיקולים רלוונטיים כאשר אתה מארח תפקידי בקר תחום בסביבת אירוח וירטואלי

כאשר אתה פורס בקר תחום של Active Directory על מחשב פיזי, יש לספק דרישות מסוימות לכל אורך מחזור החיים של בקר התחום. הפריסה של בקר תחום בסביבת אירוח וירטואלי מוסיפה מספר דרישות ושיקולים. ביניהן:  
 • כדי לסייע לשמור על שלמות מסד הנתונים של Active Directory במקרה של הפסקת חשמל או תקלה אחרת, שירות Active Directory מבצע כתיבות ללא-חציצה ומנסה להשבית את מטמון הכתיבה לדיסק באמצעי אחסון המארחים את מסד הנתונים ואת קובצי היומן של Active Directory. Active Directory גם מנסה לפעול באופן זה כאשר הוא מותקן בסביבת אירוח וירטואלי.

  אם תוכנת סביבת האירוח הווירטואלי תומכת נכון במצב אמולציית SCSI התומך בגישת forced unit access (FUA), כתיבות ללא-חציצה המתבצעות על-ידי Active Directory בסביבה זו מועברות אל מערכת ההפעלה המארחת. אם אין תמיכה ב-forced unit access, עליך להשבית את מטמון הכתיבה בכל אמצעי האחסון של מערכת ההפעלה האורחת המארחים את מסד הנתונים, קובצי היומן וקובץ נקודת הביקורת של Active Directory. 

  הערות
  • עליך להשבית את מטמון הכתיבה עבור כל הרכיבים המשתמשים ב-Extensible Storage Engine (ESE) כתבנית מסד הנתונים שלהם. רכיבים אלה כוללים את Active Directory, שירות File Replication Service (FRS), שירות Windows Internet Name Service (WINS), ו-Dynamic Host Configuration Protocol (DHCP).
  • כשיטת עבודה מומלצת, שקול להתקין התקני אל-פסק במארחי VM.

 • בקר תחום Active Directory נועד להפעיל מצב Active Directory ברצף מרגע התקנתו. כאשר בקר התחום מופעל, צריך להתבצע שכפול קצה-לקצה של Active Directory. ודא שכל בקרי התחום מבצעים שכפול נכנס על כל מחיצות Active Directory השמורות מקומית בהתאם ללוח הזמנים המוגדר בקישורי אתרים ואובייקטי חיבור, במיוחד במספר הימים שנקבע על-ידי תכונת אורך החיים של tombstone.

  אם לא יתרחש שכפול נכנס, ייתכן שאירוע השגיאה הבא יירשם ביומן של שירות מדריך הכתובות:

  מזהה אירוע: 2042
  מקור: שכפול NTDS
                  סוג: שגיאה
  תיאור: חלף זמן רב מדי מאז שמחשב זה ביצע שכפול עם מחשב המקור בעל שם זה. הזמן בין שכפולים עם מקור זה חרג מאורך החיים של tombstone. השכפול הופסק עם מקור זה.

  כאשר שכפול זה לא מתרחש, ייתכן שתיתקל בחוסר עקביות בתוכן מסדי נתונים של Active Directory בבקרי תחום ביער. חוסר העקביות נובע מכך שידע על מחיקות נשמר למשך מספר ימי אורך החיים של tombstone. בקרי תחום שאינם משכפלים פנימה באופן עובר את השינויים ב-Active Directory במהלך מספר ימי אורך החיים של tombstone מתגלגל, גורמים לאובייקטים משתרכים. אובייקטים משתרכים הם אובייקטים שנמחקו בכוונה על-ידי מנהל מערכת, שירות או מערכת הפעלה ואשר קיימים באופן שגוי בבקרי תחום יעד שלא ביצעו שכפול בזמן. ניקוי אובייקטים משתרכים עלול לדרוש זמן רב, במיוחד ביערות עם מספר תחומים אשר כוללים בקרי תחום רבים.
 • כאשר בקר תחום פועל בסביבת אירוח וירטואלי, אין להשהות את בקר התחום לפרקי זמן ארוכים לפני חידוש דמות מערכת ההפעלה. אם תשהה את בקר התחום למשך פרק זמן ארוך, השכפול עלול להיפסק וכך ייווצרו אובייקטים משתרכים. אירוע השגיאה הבא עשוי להירשם ביומן שירות מדריך הכתובות:

  מזהה אירוע: 2042
  מקור: שכפול NTDS
                  סוג: שגיאה
  תיאור: חלף זמן רב מדי מאז שמחשב זה ביצע שכפול עם מחשב המקור בעל שם זה. הזמן בין שכפולים עם מקור זה חרג מאורך החיים של tombstone. השכפול הופסק עם מקור זה.

 • בקר תחום של Active Directory דורש גיבויים סדירים של מצב המערכת כדי להתאושש מבעיות משתמש, חומרה, תוכנה או סביבה. ברירת המחדל לאורך החיים השימושי של גיבוי מצב מערכת הוא 60 או 180 יום, בהתאם לגירסת מערכת ההפעלה ולמהדורת ה-service pack הפועלים במהלך ההתקנה. אורך חיים שימושי זה נשלט על-ידי תכונת אורך החיים של tombstone ב-Active Directory. לפחות בקר תחום אחד בכל תחום ביער חייב להיות מגובה לפחות פעם במספר ימי אורך החיים של tombstone.

  בסביבת ייצור, יש לבצע גיבויי מצב מערכת משני בקרי תחום שונים מדי יום.
 • בקרי תחום וירטואליים במארחים באשכולות
  כדי שהצמתים, הדיסקים והמשאבים האחרים במחשב באשכול יוכלו להיות מופעלים אוטומטית, בקשות האימות מהמחשב באשכול חייבות לקבל שירות מבקר תחום מתוך התחום של המחשב שבאשכול.

  כדי להבטיח שבקר תחום שכזה קיים במהלך אתחול של מערכת הפעלה באשכול, יש לממש לפחות 2 בקרי תחום בתחום של מחשב מארח האשכול על חומרה פיזית. בקרי התחום הפיזיים חייבים להישמר במצב מקוון ולהיות נגישים ברשת (ב-DNS + כל היציאות והפרוטוקולים הדרושים) למארחים באשכול. אם בקרי התחום היחידים שיכולים לתת שירות לבקשת אימות במהלך אתחול אשכול נמצאים על מחשב אשכול שמופעל מחדש, בקשות האימות ייכשלו ויידרשו צעדי שחזור ידניים כדי להחזיר את האשכול למצב פעיל.

  בקרי תחום וירטואליים יכולים להיות ממוקמים על אמצעי אחסון משותפים באשכול (CSV) ואמצעי אחסון שאינם CSV. דיסקים CSV אינם יכולים לעבור למצב מקוון אלא אם בקשות האימות קיבלו שירות מ-Active Directory. דיסקים שאינם CSV ניתן להעביר למצב מקוון ללא אימות. מכיוון שדיסקים שאינם CSV ניתן להעביר למצב מקוון בקלות רבה יותר, Microsoft ממליצה שקבצים עבור בקרי תחום וירטואליים ימוקמו על דיסקים שאינם CSV.

  הערה: דאג תמיד לבקר תחום אחד לפחות על חומרה פיזית כדי שניתן יהיה להפעיל אשכולות מעבר לגיבוי בעת כשל ותשתיות אחרות. כאשר אתה מארח בקרי תחום על מחשבים וירטואליים המנוהלים על-ידי Windows Server 2008 R2 או Hyper-V Server 2008 R2, מומלץ לאחסן את קובצי המחשב הווירטואלי על דיסקים של אשכולות שאינם מוגדרים כדיסקים של CSV (Cluster Shared Volumes). הדבר מאפשר התאוששות קלה יותר במצבי כשל ספציפיים. אם יש כשל באתר או בעיה הגורמת לאשכול כולו לקרוס ובקר התחום בחומרה הפיזית אינו זמין, אחסון קובצי המחשב הווירטואלי על דיסק אשכול שאינו CSV צריכה לאפשר להפעיל את האשכול. במצב זה, ניתן להעביר את הדיסקים הנדרשים על-ידי המחשב הווירטואלי למצב מקוון. הדבר יאפשר לך להפעיל את המחשב הווירטואלי המארח את בקר התחום. לאחר מכן, תוכל להעביר למצב מקוון גם את הדיסקים שהם CSV ולהפעיל צמתים אחרים. תהליך זה נדרש רק אם לא זמינים בקרי תחום אחרים כלשהם בשעה שמופעל האשכול.

תמיכה עבור בקרי תחום של Active Directory בסביבות אירוח וירטואלי

למידע נוסף אודות היכולת לתמוך באירוח בקרי תחום בסביבות אירוח וירטואלי של Microsoft ושל צדדים שלישיים, לחץ על מספר המאמר הבא להצגתו במאגר הידע Microsoft Knowledge Base:
897615 מדיניות תמיכה בתוכנת Microsoft הפועלת על תוכנת וירטואליזצית חומרה שאינה של Microsoft (ייתכו שטקסט זה מוצג באנגלית)
מאפיינים:

מזהה פריט: 888794 - סקירה אחרונה: 02/29/2012 14:52:00 - תיקון: 2.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
משוב