仮想ホスティング環境で Active Directory ドメイン コントローラーをホストする場合に考慮する必要がある事項

  • [アーティクル]

この記事では、仮想ホスティング環境でゲスト OS として実行されている Windows Server ベースのドメイン コントローラー (DC) に影響する問題について説明します。 また、仮想ホスティング環境で DC が実行される場合の考慮事項についても説明します。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 888794

概要

仮想ホスティング環境を使用すると、1 つのホスト コンピューター上で複数のゲスト オペレーティング システムを同時に実行できます。 ホスト ソフトウェアは、次のリソースを仮想化します。

  • CPU
  • メモリ
  • ディスク
  • Network
  • ローカル デバイス

物理コンピューターでこれらのリソースを仮想化することで、ホスト ソフトウェアを使用するコンピューターの数を減らして、テストと開発、および運用環境の役割でオペレーティング システムを展開できます。 仮想ホスティング環境で実行される Active Directory DC には、特定の制限が適用されます。 これらの制限は、物理コンピューターで実行される DC には適用されません。

この記事では、Windows Server ベースの DC が仮想ホスティング環境で実行される場合に考慮すべき事項について説明します。 仮想ホスティング環境には、次のものが含まれます。

  • Hyper-V を使用した Windows Server 仮想化。
  • VMware ファミリの仮想化製品。
  • 仮想化製品の新しいファミリ。
  • Citrix ファミリの仮想化製品。
  • サーバー仮想化検証プログラム (SVVP) のハイパーバイザー リスト上の任意の製品。

仮想化された DC のシステム堅牢性とセキュリティの現在の状態の詳細については、次の記事を参照してください。

Hyper-V を使用したドメイン コントローラーの仮想化

仮想化ドメイン コントローラーに関する記事では、すべての構成に適用される一般的な推奨事項について説明します。 この記事で説明されている考慮事項の多くは、サード パーティの仮想化ホストにも適用されます。 これには、使用しているハイパーバイザーに固有の推奨事項と設定が含まれる場合があります。これには、次のものが含まれます。

  • DC の時刻同期を構成する方法。
  • データ整合性のためにディスク ボリュームを管理する方法。
  • 復元または移行のシナリオでジェネレーション ID のサポートを利用する方法。
  • 仮想マシン ホスト上の RAM とプロセッサ コアの割り当てとパフォーマンスを管理する方法。

注:

サード パーティの仮想化ホストを使用している場合は、仮想化ホストのドキュメントを参照して、特定のガイダンスと推奨事項を確認してください。

この記事では、仮想化ドメイン コントローラーに関する記事のスコープに含まれなかった、より多くのヒントと考慮事項を提供することで、仮想化ドメイン コントローラーに関する記事を補完します。

仮想ホスティング環境で DC ロールをホストする場合に考慮する必要がある事項

Active Directory DC を物理コンピューターに展開する場合、DC のライフサイクル全体を通じて特定の要件を満たす必要があります。 仮想ホスティング環境での DC のデプロイでは、次のような特定の要件と考慮事項が追加されます。

  • Active Directory サービスは、停電やその他の障害が発生した場合に Active Directory データベースの整合性を維持するのに役立ちます。 これを行うには、サービスはバッファーなしの書き込みを実行し、Active Directory データベースとログ ファイルをホストするボリュームのディスク書き込みキャッシュを無効にしようとします。 Active Directory は、仮想ホスティング環境にインストールされている場合にも、この方法で動作しようとします。

    仮想ホスティング環境ソフトウェアが、強制ユニット アクセス (FUA) をサポートする SCSI エミュレーション モードを正しくサポートしている場合、この環境で Active Directory によって実行されるバッファーなしの書き込みがホスト OS に渡されます。 FUA がサポートされていない場合は、ホストするゲスト OS のすべてのボリュームで書き込みキャッシュを手動で無効にする必要があります。

    • Active Directory データベース
    • ログ
    • チェックポイント ファイル

    注:

    • 拡張可能記憶域エンジン (ESE) をデータベース形式として使用するすべてのコンポーネントの書き込みキャッシュを無効にする必要があります。 これらのコンポーネントには、Active Directory、ファイル レプリケーション サービス (FRS)、Windows インターネット ネーム サービス (WINS)、動的ホスト構成プロトコル (DHCP) が含まれます。
    • ベスト プラクティスとして、仮想マシン ホストに無停電電源装置をインストールすることを検討してください。

  • Active Directory DC は、インストールされるとすぐに Active Directory モードを継続的に実行することを目的としています。 仮想マシンを長時間停止または一時停止しないでください。 DC が起動すると、Active Directory のレプリケーションが発生する必要があります。 サイト リンクと接続オブジェクトで定義されているスケジュールに従って、すべての DC がローカルに保持されているすべての Active Directory パーティションで受信レプリケーションを実行することを確認します。 特に、tombstone の有効期間属性で指定された日数に当てはまります。

    レプリケーションが発生しない場合は、フォレスト内の DC 上の Active Directory データベースのコンテンツに不整合が発生する可能性があります。 不整合が発生するのは、削除に関する知識が、廃棄ストーンの有効期間によって定義された日数にわたって保持されるためです。 DC がこの日数内に Active Directory の受信レプリケーションを推移的に完了しない場合、オブジェクトは Active Directory に残ります。 特に多くの DC を含むマルチドメイン フォレストでは、残留オブジェクトのクリーンアップに時間がかかる場合があります。

  • さまざまな問題から復旧するには、Active Directory DC には通常のシステム状態バックアップが必要です。 システム状態バックアップの既定の耐用年数は 60 日または 180 日です。 これは、インストール中に有効な OS のバージョンとサービス パックのリビジョンによって異なります。 この耐用年数は、Active Directory の tombstone 有効期間属性によって制御されます。 フォレスト内のすべてのドメイン内の少なくとも 1 つの DC は、廃棄ストーンの有効期間で指定された日数に従って、定期的なサイクルでバックアップする必要があります。

    運用環境では、2 つの異なる DC から毎日システム状態のバックアップを作成する必要があります。

    注:

    仮想マシン ホストが仮想マシンのスナップショットを受け取ると、ゲスト OS はこのスナップショットをバックアップとして検出しません。 ホストが Hyper-V 世代 ID をサポートしている場合、イメージがスナップショットまたはレプリカから開始されると、この ID が変更されます。 既定では、DC はそれ自体をバックアップから復元すると見なします。

クラスター化されたホストで DC ロールをホストする場合、または仮想ホスティング環境でバックエンドとして Active Directory を使用する場合に考慮する必要がある事項

  • DC がクラスター化されたホスト サーバー上で実行される場合は、フォールト トレラントである必要があります。 Microsoft 以外の仮想サーバーのデプロイにも同じ期待が適用されます。 ただし、この前提には 1 つの問題があります。クラスター化されたホスト コンピューター上のノード、ディスク、およびその他のリソースを自動起動するには、コンピューターからの認証要求をコンピューターのドメイン内の DC によって処理する必要があります。 または、クラスター化されたホストの構成の一部を Active Directory に格納する必要があります。

    クラスター システムの起動時にこのような DC にアクセスできるようにするには、このクラスター展開の外部にある独立したホスティング ソリューションに、コンピューターのドメインに少なくとも 2 つの DC を展開します。 物理ハードウェアまたは Active Directory 依存関係のない別の仮想ホスティング ソリューションを使用できます。 このシナリオの詳細については、「 単一障害点の作成を回避する」を参照してください。

  • 個別のプラットフォーム上のこれらの DC はオンラインに保ち、(DNS およびすべての必要なポートとプロトコルで) クラスター化されたホストにネットワークアクセスできるようにする必要があります。 場合によっては、クラスターの起動時に認証要求を処理できる DC は、再起動中のクラスター化されたホスト コンピューター上にあります。 このような場合、認証要求は失敗し、クラスターを手動で復旧する必要があります。

    注:

    この状況が Hyper-V にのみ適用されるとは想定しないでください。 サード パーティの仮想化ソリューションでは、構成ストアとして Active Directory を使用したり、VM の起動または構成の変更の特定の手順で認証を行ったりすることもできます。

仮想ホスティング環境での Active Directory DC のサポート

詳細については、「 Microsoft 以外のハードウェア仮想化ソフトウェアで実行される Microsoft ソフトウェアのサポート ポリシー」を参照してください。