Šiuo metu esate neprisijungę, laukiama, kol iš naujo prisijungsite prie interneto

Dalykai, kuriuos reikia apsvarstyti, kai „Active Directory“ domeno valdikliai laikomi virtualiose išteklių nuomos aplinkose

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.


SANTRAUKA
Virtuali išteklių nuomos aplinka leidžia tuo pačiu metu viename pagrindiniame kompiuteryje vykdyti keletą svečio operacinių sistemų. Pagrindinio kompiuterio programinė įranga virtualizuoja šiuos išteklius:
  • CPU
  • Atmintis
  • Diskas
  • Tinklas
  • Vietiniai įrenginiai
Virtualizuojant šiuos išteklius fiziniame kompiuteryje, pagrindinio kompiuterio programinė įranga leidžia naudoti mažiau kompiuterių norint įdiegti operacines sistemas siekiant išbandyti, patobulinti ir įdiegti gamybos vaidmenyse. Tačiau diegiant „Active Directory“ domeno valdiklius, kurie vykdomi virtualioje išteklių nuomos aplinkoje, taikomi kai kurie apribojimai. Šie apribojimai netaikomi domeno valdikliui, kuris vykdomas fiziniame kompiuteryje. 

Šiame straipsnyje aptariami dalykai, į kuriuos reikia atsižvelgti, kai „Microsoft Windows 2000 Server“ domeno valdiklis, „Windows Server 2003“ domeno valdiklis arba „Windows Server 2008“ valdiklis vykdomi virtualioje išteklių nuomos aplinkoje. Virtualiose išteklių nuomos aplinkose yra:  
  • „Windows Server 2008“ virtualizavimas su „Hyper-V“
  • Virtualizavimo produktų „VMware“ grupė
  • Virtualizavimo produktų „Novell“ grupė
DAUGIAU INFORMACIJOS
Virtualizuotuose domenų valdikliuose yra atnaujintas dokumentas, geriau nei šis straipsnis perteikiantis dabartinę sistemos patikimumo ir saugos būseną:
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Daugelis „TechNet“ svarstymų taikomi ir 3-sios šalies virtualizavimo pagrindiniams kompiuteriams. Šis straipsnis padės įvairiais papildomais patarimais ir svarstymais, kurių „TechNet“ nelaikė labai svarbiais.

Svarstytini dalykai domeno valdiklio vaidmenis laikant virtualioje išteklių nuomos aplinkoje

Kai „Active Directory“ domeno valdiklį įdiegiate fiziniame kompiuteryje, domeno valdiklio naudojimo cikle turi būti įvykdyti tam tikri reikalavimai. Domeno valdiklį įdiegus virtualioje išteklių nuomos aplinkoje, atsiranda tam tikrų reikalavimų ir svarstymų. Štai jie:  
  • Siekiant padėti išsaugoti „Active Directory“ duomenų bazės vientisumą, jei nutrūksta maitinimas arba įvyksta kitoks gedimas, „Active Directory“ tarnyba atlieka nebuferinį įrašymą ir mėgina išjungti disko rašymo talpyklą tomuose, kuriuose laikoma „Active Directory“ duomenų bazė ir žurnalo failai. „Active Directory“ mėgina veikti šiuo būdu ir kai diegiama virtualioje išteklių nuomos aplinkoje.

    Jei virtualios išteklių nuomos aplinkos programinė įranga tinkamai palaiko SCSI imitavimo režimą, palaikantį priverstinę prieigą prie vieneto (FUA), nebuferinis „Active Directory“ atliekamas rašymas šioje aplinkoje perduodamas pagrindinio kompiuterio operacinei sistemai. Jei priverstinė prieiga prie vieneto nepalaikoma, reikia išjungti rašymo talpyklą visuose svečio operacinės sistemos tomuose, kuriuose laikoma „Active Directory“ duomenų bazė, žurnalai ir kontrolinio taško failas. 

    Pastabos
    • Reikia išjungti visų komponentų, kurie Išplėstinės saugyklos modulį (ESE) naudoja kaip duomenų bazės formatą, rašymo talpyklą. Šiems komponentams priklauso „Active Directory“, Failų dubliavimo tarnyba (FRS), „Windows“ interneto vardų tarnyba (WINS) ir Dinaminis pagrindinio kompiuterio konfigūravimo protokolas (DHCP). 
    • Geriausia VM pagrindiniuose kompiuteriuose įdiegti nepertraukiamo maitinimo šaltinius.

  • „Active Directory“ domeno valdiklis skirtas vykdyti „Active Directory“ režimą nepertraukiamai, kai tik įdiegiamas. Kai paleidžiamas domeno valdiklis, turi vykti visapusiškas „Active Directory“ dubliavimas. Įsitikinkite, kad visi domeno valdikliai atlieka gavimo dubliavimą visuose vietiniuose „Active Directory“ skaidiniuose, atsižvelgiant į svetainės saituose ir ryšio objektuose nustatytą planą, ypač į blokavimo žymeklio naudojimo laiko atributo nustatytą dienų skaičių.

    Jei gavimo dubliavimas nevyksta, Katalogų tarnybos žurnale gali būti užregistruotas šis klaidos įvykis:

    Įvykio ID: 2042
    Šaltinis: NTDS dubliavimas
    Tipas: klaida
    Aprašas: praėjo daug laiko nuo paskutinio šio įrenginio dubliavimo naudojant įvardytą šaltinio įrenginį. Laikas tarp dubliavimų naudojant šį šaltinį viršijo blokavimo žymeklio naudojimo laiką. Dubliavimas naudojant šį šaltinį sustabdytas.

    Kai šis dubliavimas nevyksta, galimas nenuoseklumas miško domeno valdiklių „Active Directory“ duomenų bazių turinyje. Šis nenuoseklumas atsiranda, nes išlieka blokavimo žymeklio naudojimo laiko dienų skaičiaus panaikinimo informacija. Jei domeno valdikliai nuolat nedubliuoja „Active Directory“ pokyčių besikeičiant blokavimo žymeklio naudojimo laiko dienų skaičiui, atsiranda užsitęsusių objektų. Užsitęsę objektai yra objektai, kuriuos administratorius, tarnyba arba operacinė sistema panaikino sąmoningai; jų neturi būti paskirties DC, laiku neatliekančiuose dubliavimo. Užsitęsusių objektų valymas gali ilgai užtrukti, ypač keleto domenų miškuose, kuriuose yra daug domenų valdiklių.
  • Kai domeno valdiklis vykdomas virtualioje išteklių nuomos aplinkoje, nepristabdykite domeno valdiklio ilgam laikotarpiui prieš toliau kurdami operacinės sistemos atvaizdą. Jei domeno valdiklį pristabdysite ilgam laikui, dubliavimas gali būti sustabdytas ir atsiras užsitęsusių objektų. Katalogų tarnybos žurnale gali būti užregistruotas toks klaidos įvykis:

    Įvykio ID: 2042
    Šaltinis: NTDS dubliavimas
    Tipas: klaida
    Aprašas: praėjo daug laiko nuo paskutinio šio įrenginio dubliavimo naudojant įvardytą šaltinio įrenginį. Laikas tarp dubliavimų naudojant šį šaltinį viršijo blokavimo žymeklio naudojimo laiką. Dubliavimas naudojant šį šaltinį sustabdytas.

  • „Active Directory“ domeno valdiklis reikalauja įprastų sistemos būsenos atsarginių kopijų, kad būtų galima atkurti esant vartotojo, aparatūros, programinės įrangos arba aplinkos problemų. Numatytasis naudingasis sistemos būsenos atsarginės kopijos naudojimo laikas yra 60 arba 180 dienų; tai priklauso nuo operacinės sistemos versijos ir pakeitimų paketo leidimo diegiant. Šį naudingąjį laiką reguliuoja „Active Directory“ blokavimo žymeklio naudojimo laiko atributas. Per kiekvieną blokavimo žymeklio naudojimo dienų laikotarpį kiekviename miško domene turėtų būti sukurta bent viena atsarginė domeno valdiklio kopija.

    Gamybos aplinkoje kas dieną reikėtų sukurti dviejų skirtingų DC sistemos būsenos atsargines kopijas.
  • Virtualizuoti DC sugrupuotuose pagrindiniuose kompiuteriuose
    Kad grupės kompiuterio mazgai, diskai ir kiti ištekliai būtų automatiškai paleisti, grupės kompiuterio autentifikavimo užklausas turi apdoroti grupės kompiuterio domeno DC. 

    Siekdami užtikrinti, kad toks DC būtų paleidžiant grupės OS, fizinės aparatūros grupės pagrindinio kompiuterio domene įdiekite bent 2 domeno valdiklius. Fiziniai DC turėtų būti laikomi prijungti ir pasiekiami tinkle (DNS + visi būtini prievadai ir protokolai) grupės pagrindiniams kompiuteriams. Jei vienintelis DC, galintis apdoroti autentifikavimo užklausą paleidžiant grupę, yra pakartotinai paleidžiamame grupės kompiuteryje, autentifikavimo užklausos bus nesėkmingos ir reikės atlikti neautomatinio atkūrimo veiksmus, kad grupė veiktų. 

    Virtualizuoti DC gali būti laikomi Bendrinamuose grupės tomuose (CSV) ir ne CSV tomuose. CSV diskai negali būti prijungti, jei autentifikavimo užklausą apdoroja ne „Active Directory“. Ne CSV diskai gali būti prijungti neautentifikavus. Ne CSV diskus lengviau prijungti, todėl „Microsoft“ rekomenduoja, kad virtualizuotų domeno valdiklių failai būtų laikomi ne CSV diskuose.

    Pastaba. Fizinėje aparatūroje visada turėkite bent vieną DC, kad būtų galima paleisti sugedusias grupes ir kitą infrastruktūrą. Kai domeno valdiklius laikote virtualiuose įrenginiuose, kuriuos valdo „Windows Server 2008 R2“ arba „Hyper-V Server 2008 R2“, rekomenduojame virtualaus įrenginio failus laikyti grupės diskuose, kurie nėra sukonfigūruoti kaip Bendrinamų grupės tomų (CSV) diskai. Tai leidžia lengviau atkurti esant specifinėms gedimo situacijoms. Jei yra svetainės gedimas arba problema, dėl kurios sugenda visa grupė ir DC nėra fizinėje aparatūroje, virtualaus įrenginio failų saugojimas ne CSV grupės diske leistų paleisti grupę. Šioje situacijoje galima prijungti diskus, kurių reikia virtualiam įrenginiui. Tai leis paleisti virtualų įrenginį, kuriame yra domeno valdiklis. Tada galėsite prijungti CSV diskus ir paleisti kitus mazgus. Šis procesas būtinas, tik jei tuo metu nėra kitų domeno valdiklių, galinčių paleisti grupę.

„Active Directory“ domeno valdiklių palaikymas virtualiose išteklių nuomos aplinkose

Daugiau informacijos apie išteklių nuomos domeno valdiklių palaikymą „Microsoft“ ir trečiosios šalies virtualiose išteklių nuomos aplinkose gausite spustelėję nurodytą straipsnio numerį ir perskaitę „Microsoft“ žinių bazės straipsnį:
897615 „Microsoft“ programinės įrangos, vykdomos ne „Microsoft“ aparatūros virtualizavimo programinėje įrangoje, palaikymo strategija (gali būti anglų k.)
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Savybės

Straipsnio ID: 888794 – Paskutinė peržiūra: 02/29/2012 14:53:00 – Peržiūra: 1.0

  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • kbinfo kbhowto KB888794
Atsiliepimai
document.write("