Saker att tänka på när du är värd för Active Directory-domänkontrollanter i virtuella värdmiljöer

Den här artikeln beskriver de problem som påverkar en Windows Server-baserad domänkontrollant (DC) som körs som gästoperativsystem i virtuella värdmiljöer. Den beskriver också saker att tänka på när en domänkontrollant körs i en virtuell värdmiljö.

              Gäller för: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprungligt KB-nummer: 888794

Sammanfattning

Med en virtuell värdmiljö kan du köra flera gästoperativsystem på en enda värddator samtidigt. Värdprogramvaran virtualiserar följande resurser:

• CPU
• Minne
• Disk
• Nätverk
• Lokala enheter

Genom att virtualisera dessa resurser på en fysisk dator kan du använda färre datorer för att distribuera operativsystem för testning och utveckling och i produktionsroller. Vissa begränsningar gäller för en Active Directory DC som körs i en virtuell värdmiljö. Dessa begränsningar gäller inte för en domänkontrollant som körs på en fysisk dator.

Den här artikeln beskriver saker att tänka på när en Windows Server-baserad domänkontrollant körs i en virtuell värdmiljö. Virtuella värdmiljöer omfattar:

• Windows Server Virtualization med Hyper-V.
• VMware-serien med virtualiseringsprodukter.
• Novell-serien med virtualiseringsprodukter.
• Citrix-serien med virtualiseringsprodukter.
• Alla produkter i hypervisor-listan i SVVP ( Server Virtualization Validation Program ).

Mer information om den aktuella statusen för systemets robusthet och säkerhet för virtualiserade domänkontrollanter finns i följande artikel:

Virtualisera domänkontrollanter med Hjälp av Hyper-V.

Artikeln Virtualisera domänkontrollanter innehåller allmänna rekommendationer som gäller för alla konfigurationer. Många av de överväganden som beskrivs i den artikeln gäller även virtualiseringsvärdar från tredje part. Det kan innehålla rekommendationer och inställningar som är specifika för hypervisor-programmet som du använder, inklusive:

• Så här konfigurerar du tidssynkronisering för domänkontrollanter.
• Hantera diskvolymer för dataintegritet.
• Så här drar du nytta av generations-ID-stöd i återställnings- eller migreringsscenarier.
• Hantera allokering och prestanda för RAM- och processorkärnor på den virtuella datorvärden.

Den här artikeln kompletterar artikeln Virtualisera domänkontrollanter genom att ge fler tips och överväganden som inte fanns i omfånget för artikeln Virtualisera domänkontrollanter.

Saker att tänka på när du är värd för DC-roller i en virtuell värdmiljö

När du distribuerar en Active Directory DC på en fysisk dator måste vissa krav uppfyllas under hela domänkontrollantens livscykel. Distributionen av en domänkontrollant i en virtuell värdmiljö lägger till vissa krav och överväganden, inklusive:

• Active Directory-tjänsten hjälper till att bevara Active Directory-databasens integritet om det uppstår strömavbrott eller andra fel. För att göra det kör tjänsten obuffrade skrivningar och försöker inaktivera diskskrivningscacheminnet på de volymer som är värdar för Active Directory-databasen och loggfilerna. Active Directory försöker också arbeta på det här sättet om det är installerat i en virtuell värdmiljö.

  Om programvaran för den virtuella värdmiljön stöder ett SCSI-emuleringsläge som stöder åtkomst till tvingad enhet (FUA) skickas obuffertade skrivningar som utförs av Active Directory i den här miljön till värdoperativsystemet. Om FUA inte stöds måste du manuellt inaktivera skrivcachen på alla volymer i gästoperativsystemet som är värd för:

  • Active Directory-databasen
  • loggarna
  • kontrollpunktsfilen

  Obs!

  • Du måste inaktivera skrivcachen för alla komponenter som använder ESE (Extensible Storage Engine) som databasformat. Dessa komponenter omfattar Active Directory, Tjänsten filreplikering (FRS), Windows Internet Name Service (WINS) och DHCP (Dynamic Host Configuration Protocol).
  • Vi rekommenderar att du installerar avbrottsfria strömförsörjningar på virtuella datorvärdar.

• En Active Directory-domänkontrollant är avsedd att köra Active Directory-läge kontinuerligt så snart den har installerats. Stoppa eller pausa inte den virtuella datorn under en längre tid. När domänkontrollanten startar måste replikering av Active Directory ske. Se till att alla domänkontrollanter utför inkommande replikering på alla lokalt lagrade Active Directory-partitioner enligt det schema som definieras på platslänkar och anslutningsobjekt. Det gäller särskilt för det antal dagar som anges av tombstone-livstidsattributet.

  Om replikeringen inte utförs kan det uppstå inkonsekvent innehåll i Active Directory-databaser på domänkontrollanter i skogen. Inkonsekvensen uppstår eftersom kunskapen om borttagningar kvarstår under det antal dagar som definieras av tombstone-livslängden. När domänkontrollanter inte transitivt slutför inkommande replikering av Active Directory-ändringar inom det här antalet dagar dröjer objekt kvar i Active Directory. Att rensa kvardröjande objekt kan vara tidskrävande, särskilt i skogar med flera domäner som innehåller många domänkontrollanter.

• För att återställa från olika problem kräver en Active Directory-domänkontrollant regelbundna säkerhetskopieringar av systemtillstånd. Standardlivslängden för säkerhetskopiering av systemtillstånd är 60 eller 180 dagar. Det beror på os-versionen och den service pack-revision som gäller under installationen. Den här livslängden styrs av tombstone-livslängdsattributet i Active Directory. Minst en domänkontrollant i varje domän i skogen bör säkerhetskopieras under en vanlig cykel, per det antal dagar som anges under tombstone-livslängden.

  I en produktionsmiljö bör du göra dagliga säkerhetskopieringar av systemtillstånd från två olika domänkontrollanter.

  Obs!

  När den virtuella datorvärden tar en ögonblicksbild av en virtuell dator identifierar gästoperativsystemet inte den här ögonblicksbilden som en säkerhetskopia. När värden stöder Hyper-V-generations-ID ändras detta ID när avbildningen startas från en ögonblicksbild eller replik. Som standard skulle domänkontrollanten betrakta sig själv som återställd från en säkerhetskopia.

Saker att tänka på när du är värd för DC-roller på klustrade värdar eller när du använder Active Directory som en serverdel i en virtuell värdmiljö

• När dina domänkontrollanter körs på klustrade värdservrar förväntar du dig att de är feltoleranta. Samma förväntningar gäller för distributioner av virtuella servrar som inte kommer från Microsoft. Det finns dock ett problem i det här antagandet: För att noderna, diskarna och andra resurser på en klustrad värddator ska kunna startas automatiskt måste autentiseringsbegäranden från datorn hanteras av en domänkontrollant i datorns domän. En del av konfigurationen av den klustrade värden måste också lagras i Active Directory.

  För att säkerställa att sådana domänkontrollanter kan nås vid start av klustersystem distribuerar du minst två domänkontrollanter i datorns domän på en oberoende värdlösning utanför klusterdistributionen. Du kan använda fysisk maskinvara eller en annan virtuell värdlösning som inte har något Active Directory-beroende. Mer information om det här scenariot finns i Undvik att skapa enskilda felpunkter.

• Dessa domänkontrollanter på separata plattformar bör vara online och vara nätverkstillgängliga (i DNS och i alla nödvändiga portar och protokoll) för de klustrade värdarna. I vissa fall finns de enda domänkontrollanter som kan hantera autentiseringsbegäranden vid klusterstart på en klustrad värddator som startas om. I det här fallet misslyckas autentiseringsbegäranden och du måste återställa klustret manuellt.

  Obs!

  Anta inte att den här situationen endast gäller Hyper-V. Virtualiseringslösningar från tredje part kan också använda Active Directory som ett konfigurationsarkiv eller för autentisering under vissa steg i vm-start eller konfigurationsändringar.

Stöd för Active Directory-domänkontrollanter i virtuella värdmiljöer

Mer information finns i Supportprincip för Microsoft-programvara som körs på programvara för maskinvaruvirtualisering som inte kommer från Microsoft.