Aspectos a tener en cuenta al hospedar controladores de dominio de Active Directory en entornos de hospedaje virtual

  • Artículo

En este artículo se describen los problemas que afectan a un controlador de dominio basado en Windows Server (DC) que se ejecuta como sistema operativo invitado en entornos de hospedaje virtual. También se describen los aspectos que se deben tener en cuenta cuando un controlador de dominio se ejecuta en un entorno de hospedaje virtual.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 888794

Resumen

Un entorno de hospedaje virtual le permite ejecutar varios sistemas operativos invitados en un único equipo host al mismo tiempo. El software host virtualiza los siguientes recursos:

  • CPU
  • Memoria
  • Disco
  • Red
  • Dispositivos locales

Al virtualizar estos recursos en un equipo físico, el software host le permite usar menos equipos para implementar sistemas operativos para pruebas y desarrollo, y en roles de producción. Ciertas restricciones se aplican a un controlador de dominio de Active Directory que se ejecuta en un entorno de hospedaje virtual. Estas restricciones no se aplican a un controlador de dominio que se ejecuta en un equipo físico.

En este artículo se describen los aspectos a tener en cuenta cuando se ejecuta un controlador de dominio basado en Windows Server en un entorno de hospedaje virtual. Los entornos de hospedaje virtual incluyen:

  • Virtualización de Windows Server con Hyper-V.
  • Familia de productos de virtualización de VMware.
  • Familia Novell de productos de virtualización.
  • Familia Citrix de productos de virtualización.
  • Cualquier producto de la lista de hipervisores del Programa de validación de virtualización de servidor (SVVP).

Para obtener más información sobre el estado actual de la solidez del sistema y la seguridad de los controladores de dominio virtualizados, consulte el siguiente artículo:

Virtualización de controladores de dominio mediante Hyper-V.

En el artículo Virtualizing Domain Controllers (Virtualización de controladores de dominio) se proporcionan recomendaciones generales que se aplican a todas las configuraciones. Muchas de las consideraciones que se describen en ese artículo también se aplican a los hosts de virtualización de terceros. Puede incluir recomendaciones y configuraciones específicas del hipervisor que esté usando, entre las que se incluyen:

  • Cómo configurar la sincronización de hora para controladores de dominio.
  • Cómo administrar volúmenes de disco para la integridad de los datos.
  • Cómo aprovechar la compatibilidad con id. de generación en escenarios de restauración o migración.
  • Cómo administrar la asignación y el rendimiento de ram y núcleos de procesador en el host de máquina virtual.

Nota:

Si usa hosts de virtualización de terceros, consulte la documentación del host de virtualización para obtener instrucciones y recomendaciones específicas.

Este artículo complementa el artículo Virtualizing Domain Controllers (Virtualización de controladores de dominio) proporcionando más sugerencias y consideraciones que no estaban en el ámbito del artículo Virtualizing Domain Controllers (Virtualización de controladores de dominio).

Aspectos a tener en cuenta al hospedar roles de controlador de dominio en un entorno de hospedaje virtual

Al implementar un controlador de dominio de Active Directory en un equipo físico, se deben cumplir determinados requisitos durante todo el ciclo de vida del controlador de dominio. La implementación de un controlador de dominio en un entorno de hospedaje virtual agrega ciertos requisitos y consideraciones, entre los que se incluyen:

  • El servicio Active Directory ayuda a conservar la integridad de la base de datos de Active Directory si se produce una pérdida de energía u otro error. Para ello, el servicio ejecuta escrituras sin búfer e intenta deshabilitar la memoria caché de escritura en disco en los volúmenes que hospedan la base de datos de Active Directory y los archivos de registro. Active Directory también intenta funcionar de esta manera si está instalado en un entorno de hospedaje virtual.

    Si el software del entorno de hospedaje virtual admite correctamente un modo de emulación SCSI que admite el acceso a unidades forzadas (FUA), las escrituras no almacenadas en búfer realizadas por Active Directory en este entorno se pasan al sistema operativo host. Si no se admite FUA, debe deshabilitar manualmente la caché de escritura en todos los volúmenes del sistema operativo invitado que hospeda:

    • la base de datos de Active Directory
    • los registros
    • el archivo de punto de control

    Nota:

    • Debe deshabilitar la caché de escritura para todos los componentes que usan el Motor de almacenamiento extensible (ESE) como formato de base de datos. Estos componentes incluyen Active Directory, el servicio de replicación de archivos (FRS), el servicio de nombres de Internet de Windows (WINS) y el protocolo de configuración dinámica de host (DHCP).
    • Como procedimiento recomendado, considere la posibilidad de instalar fuentes de alimentación ininterrumpidas en hosts de máquinas virtuales.

  • Un controlador de dominio de Active Directory está diseñado para ejecutar el modo de Active Directory continuamente en cuanto se instala. No detenga ni detenga la máquina virtual durante un tiempo prolongado. Cuando se inicia el controlador de dominio, debe producirse la replicación de Active Directory. Asegúrese de que todos los controladores de dominio realizan la replicación entrante en todas las particiones de Active Directory mantenidas localmente según la programación definida en los vínculos de sitio y los objetos de conexión. Es especialmente cierto para el número de días especificado por el atributo de duración del lápiz.

    Si no se produce la replicación, es posible que experimente contenido incoherente de bases de datos de Active Directory en controladores de dominio del bosque. La incoherencia se produce porque el conocimiento de las eliminaciones persiste durante el número de días definido por la duración del lápiz. Cuando los controladores de dominio no completen transitivamente la replicación entrante de Active Directory cambia en este número de días, los objetos permanecerán en Active Directory. La limpieza de objetos persistentes puede llevar mucho tiempo, especialmente en bosques de varios dominios que incluyen muchos controladores de dominio.

  • Para recuperarse de varios problemas, un controlador de dominio de Active Directory requiere copias de seguridad de estado del sistema normales. La vida útil predeterminada de una copia de seguridad de estado del sistema es de 60 o 180 días. Depende de la versión del sistema operativo y de la revisión del Service Pack que esté en vigor durante la instalación. Esta vida útil se controla mediante el atributo de duración de lápiz en Active Directory. Se debe hacer una copia de seguridad de al menos un controlador de dominio en cada dominio del bosque en un ciclo normal, según el número de días especificado en la duración de la lápida.

    En un entorno de producción, debe realizar copias de seguridad diarias del estado del sistema desde dos controladores de dominio diferentes.

    Nota:

    Cuando el host de la máquina virtual toma una instantánea de una máquina virtual, el sistema operativo invitado no detecta esta instantánea como copia de seguridad. Cuando el host admite el identificador de generación de Hyper-V, este identificador se cambiaría cuando la imagen se inicie desde una instantánea o réplica. De forma predeterminada, el controlador de dominio se consideraría restaurado a partir de una copia de seguridad.

Aspectos a tener en cuenta al hospedar roles de controlador de dominio en hosts en clúster o al usar Active Directory como back-end en un entorno de hospedaje virtual

  • Cuando los controladores de dominio se ejecutan en servidores host en clúster, se espera que sean tolerantes a errores. La misma expectativa se aplica a las implementaciones de servidor virtual que no son de Microsoft. Sin embargo, hay un problema en esta suposición: para que los nodos, los discos y otros recursos de un equipo host en clúster inicien automáticamente, un controlador de dominio del dominio del equipo debe atender las solicitudes de autenticación del equipo. Como alternativa, parte de la configuración del host clúster debe almacenarse en Active Directory.

    Para asegurarse de que se puede acceder a estos controladores de dominio durante el inicio del sistema de clúster, implemente al menos dos controladores de dominio en el dominio del equipo en una solución de hospedaje independiente fuera de esta implementación de clúster. Puede usar hardware físico u otra solución de hospedaje virtual que no tenga una dependencia de Active Directory. Para obtener más información sobre este escenario, vea Evitar la creación de puntos de error únicos.

  • Estos controladores de dominio en plataformas independientes deben mantenerse en línea y ser accesibles para la red (en DNS y en todos los puertos y protocolos necesarios) para los hosts agrupados. En algunos casos, los únicos controladores de dominio que pueden atender las solicitudes de autenticación durante el inicio del clúster se encuentran en un equipo host en clúster que se está reiniciando. En esta situación, se produce un error en las solicitudes de autenticación y debe recuperar manualmente el clúster.

    Nota:

    No suponga que esta situación solo se aplica a Hyper-V. Las soluciones de virtualización de terceros también pueden usar Active Directory como almacén de configuración o para la autenticación durante determinados pasos de inicio o cambios de configuración de la máquina virtual.

Compatibilidad con controladores de dominio de Active Directory en entornos de hospedaje virtual

Para obtener más información, consulte Directiva de soporte técnico para software de Microsoft que se ejecuta en software de virtualización de hardware que no es de Microsoft.