Aandachtspunten bij het hosten van Active Directory-domeincontrollers in virtuele hostingomgevingen
In dit artikel worden de problemen beschreven die van invloed zijn op een Windows Server-gebaseerde domeincontroller (DC) die wordt uitgevoerd als gastbesturingssysteem in virtuele hostingomgevingen. Er wordt ook besproken waar u rekening mee moet houden wanneer een DC wordt uitgevoerd in een virtuele hostingomgeving.
Van toepassing op: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Origineel KB-nummer: 888794
Samenvatting
Met een virtuele hostingomgeving kunt u meerdere gastbesturingssystemen tegelijk uitvoeren op één hostcomputer. Hostsoftware virtualiseert de volgende resources:
- CPU
- Geheugen
- Schijf
- Netwerk
- Lokale apparaten
Door deze resources op een fysieke computer te virtualiseren, kunt u met hostsoftware minder computers gebruiken om besturingssystemen te implementeren voor testen en ontwikkelen, en in productierollen. Bepaalde beperkingen zijn van toepassing op een Active Directory DC die wordt uitgevoerd in een virtuele hostingomgeving. Deze beperkingen zijn niet van toepassing op een DC die wordt uitgevoerd op een fysieke computer.
In dit artikel worden de zaken besproken waar u rekening mee moet houden wanneer een op Windows Server gebaseerde DC wordt uitgevoerd in een virtuele hostingomgeving. Virtuele hostingomgevingen zijn onder andere:
- Windows Server Virtualization met Hyper-V.
- VMware-virtualisatieproducten.
- Novell-serie van virtualisatieproducten.
- Citrix-virtualisatieproducten.
- Elk product in de hypervisorlijst in het Server Virtualization Validation Program (SVVP).
Zie het volgende artikel voor meer informatie over de huidige status van systeem robuustheid en beveiliging voor gevirtualiseerde DC's:
Domeincontrollers virtualiseren met Hyper-V.
Het artikel Domeincontrollers virtualiseren bevat algemene aanbevelingen die van toepassing zijn op alle configuraties. Veel van de overwegingen die in dat artikel worden beschreven, zijn ook van toepassing op virtualisatiehosts van derden. Het kan aanbevelingen en instellingen bevatten die specifiek zijn voor de hypervisor die u gebruikt, waaronder:
- Tijdsynchronisatie configureren voor DC's.
- Schijfvolumes beheren voor gegevensintegriteit.
- Hoe u kunt profiteren van generatie-id-ondersteuning bij herstel- of migratiescenario's.
- Toewijzing en prestaties van RAM- en processorkernen beheren op de host van de virtuele machine.
Opmerking
Als u virtualisatiehosts van derden gebruikt, raadpleegt u de documentatie van de virtualisatiehost voor specifieke richtlijnen en aanbevelingen.
Dit artikel vormt een aanvulling op het artikel Domeincontrollers virtualiseren met meer hints en overwegingen die niet binnen het bereik van het artikel Domeincontrollers virtualiseren vallen.
Aandachtspunten bij het hosten van DC-rollen in een virtuele hostingomgeving
Wanneer u een Active Directory DC op een fysieke computer implementeert, moet aan bepaalde vereisten worden voldaan gedurende de levenscyclus van de domeincontroller. De implementatie van een DC in een virtuele hostingomgeving voegt bepaalde vereisten en overwegingen toe, waaronder:
De Active Directory-service helpt de integriteit van de Active Directory-database te behouden als er stroomuitval of een andere fout optreedt. Hiervoor voert de service niet-gebufferde schrijfbewerkingen uit en probeert de schijfschrijfcache uit te schakelen op de volumes die als host fungeren voor de Active Directory-database en logboekbestanden. Active Directory probeert ook op deze manier te werken als het is geïnstalleerd in een virtuele hostingomgeving.
Als de software van de virtuele hostingomgeving correct ondersteuning biedt voor een SCSI-emulatiemodus die geforceerde toegang tot eenheden (FUA) ondersteunt, worden niet-gebufferde schrijfbewerkingen die door Active Directory in deze omgeving worden uitgevoerd, doorgegeven aan het hostbesturingssysteem. Als FUA niet wordt ondersteund, moet u de schrijfcache handmatig uitschakelen op alle volumes van het gastbesturingssystem dat als host fungeert:
- de Active Directory-database
- de logboeken
- het controlepuntbestand
Opmerking
- U moet de schrijfcache uitschakelen voor alle onderdelen die gebruikmaken van Extensible Storage Engine (ESE) als database-indeling. Deze onderdelen omvatten Active Directory, de File Replication Service (FRS), Windows Internet Name Service (WINS) en DHCP (Dynamic Host Configuration Protocol).
- Als best practice kunt u overwegen om niet-onderbreekbare voedingen te installeren op hosts van virtuele machines.
Een Active Directory DC is bedoeld om de Active Directory-modus continu uit te voeren zodra deze is geïnstalleerd. Stop of onderbreek de virtuele machine niet voor langere tijd. Wanneer de domeincontroller wordt gestart, moet de replicatie van Active Directory plaatsvinden. Zorg ervoor dat alle DC's binnenkomende replicatie uitvoeren op alle lokaal opgeslagen Active Directory-partities volgens de planning die is gedefinieerd op sitekoppelingen en verbindingsobjecten. Dit geldt met name voor het aantal dagen dat is opgegeven door het kenmerk Tombstone Lifetime.
Als de replicatie niet plaatsvindt, kan de inhoud van Active Directory-databases op DC's in het forest inconsistent zijn. De inconsistentie treedt op omdat de kennis van verwijderingen blijft bestaan gedurende het aantal dagen dat wordt gedefinieerd door de tombstone-levensduur. Wanneer dc's binnen dit aantal dagen de binnenkomende replicatie van Active Directory-wijzigingen niet transitief voltooien, blijven objecten in Active Directory hangen. Het opschonen van achtergebleven objecten kan tijdrovend zijn, met name in forests met meerdere domeinen die veel DC's bevatten.
Voor het herstellen van verschillende problemen moet een Active Directory-domeincontroller regelmatig back-ups maken van de systeemstatus. De standaardlevensduur van een systeemstatusback-up is 60 of 180 dagen. Dit is afhankelijk van de versie van het besturingssysteem en de revisie van het servicepack die van kracht is tijdens de installatie. Deze nuttige levensduur wordt bepaald door het kenmerk tombstone-levensduur in Active Directory. Er moet een back-up van ten minste één DC in elk domein in het forest worden gemaakt volgens een normale cyclus, per aantal dagen dat is opgegeven in de tombstone-levensduur.
In een productieomgeving moet u dagelijks back-ups maken van de systeemstatus van twee verschillende DC's.
Opmerking
Wanneer de host van de virtuele machine een momentopname van een virtuele machine maakt, detecteert het gastbesturingssystemen deze momentopname niet als back-up. Wanneer de host de Hyper-V-generatie-id ondersteunt, wordt deze id gewijzigd wanneer de installatiekopie wordt gestart vanuit een momentopname of replica. Standaard beschouwt de DC zichzelf als hersteld vanuit een back-up.
Aandachtspunten bij het hosten van DC-rollen op geclusterde hosts of wanneer u Active Directory gebruikt als back-end in een virtuele hostingomgeving
Wanneer uw DC's worden uitgevoerd op geclusterde hostservers, zou u verwachten dat ze fouttolerant zijn. Dezelfde verwachting geldt voor virtuele serverimplementaties die niet van Microsoft zijn. Er is echter één probleem in deze veronderstelling: om ervoor te zorgen dat de knooppunten, schijven en andere resources op een geclusterde hostcomputer automatisch kunnen worden gestart, moeten verificatieaanvragen van de computer worden uitgevoerd door een DC in het domein van de computer. Een deel van de configuratie van de geclusterde host moet ook worden opgeslagen in Active Directory.
Om ervoor te zorgen dat dergelijke DC's kunnen worden geopend tijdens het opstarten van het clustersysteem, implementeert u ten minste twee DC's in het domein van de computer op een onafhankelijke hostingoplossing buiten deze clusterimplementatie. U kunt fysieke hardware of een andere virtuele hostingoplossing gebruiken die geen Active Directory-afhankelijkheid heeft. Zie Het maken van single points of failure voorkomen voor meer informatie over dit scenario.
Deze DC's op afzonderlijke platforms moeten online worden gehouden en via het netwerk toegankelijk zijn (in DNS en in alle vereiste poorten en protocollen) voor de geclusterde hosts. In sommige gevallen bevinden de enige DC's die verificatieaanvragen kunnen verwerken tijdens het opstarten van het cluster zich op een geclusterde hostcomputer die opnieuw wordt opgestart. In deze situatie mislukken verificatieaanvragen en moet u het cluster handmatig herstellen.
Opmerking
Ga er niet vanuit dat deze situatie alleen van toepassing is op Hyper-V. Virtualisatieoplossingen van derden kunnen Active Directory ook gebruiken als een configuratiearchief of voor verificatie tijdens bepaalde stappen van het opstarten van de VM of configuratiewijzigingen.
Ondersteuning voor Active Directory DC's in virtuele hostingomgevingen
Zie Ondersteuningsbeleid voor Microsoft-software die wordt uitgevoerd op niet-Microsoft-hardwarevirtualisatiesoftware voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor