Šobrīd esat bezsaistē, tiek gaidīts atkārtots savienojums ar internetu

Apsvērumi, kas ir jāņem vērā, viesojot Active Directory domēna kontrollerus virtuālās viesošanas vidēs

Windows Server 2003 atbalsts beidzās 2015. gada 14. jūlijā

Korporācija Microsoft 2015. gada 14. jūlijā beidz Windows Server 2003 atbalsta nodrošināšanu. Šīs izmaiņas skāra programmatūras atjauninājumus un drošības opcijas. Uzziniet, kā tas ietekmēs jūs un kā nodrošināt aizsardzību arī turpmāk.


KOPSAVILKUMS
Izmantojot virtuālo viesošanas vidi, vienā resursdatorā varat vienlaikus darbināt vairākas viesa operētājsistēmas. Resursdatora programmatūrā virtualizētie resursi ietver tostarp tālāk norādītos.
  • Centrālais procesors
  • Atmiņa
  • Disks
  • Tīkls
  • Lokālās ierīces
Ja virtualizējat šos resursus fiziskā datorā, tad, izmantojot resursdatora programmatūru, testam paredzēto operētājsistēmu ieviešanai, izstrādei un ražošanas lomām varēsit izmantot mazāk datoru. Tomēr to Active Directory domēna kontrolleru izvietošanai, kas darbojas virtuālā viesošanas vidē, ir piemērojami noteikti ierobežojumi. Šie ierobežojumi neattiecas uz domēna kontrolleri, kas darbojas fiziskā datorā.

Šajā rakstā ir izklāstīti apsvērumi, kas ir jāņem vērā gadījumā, kad Microsoft Windows 2000 Server domēna kontrolleris, Windows Server 2003 domēna kontrolleris vai Windows Server 2008 kontrolleris darbojas virtuālā viesošanas vidē. Virtuālās viesošanas vidēs ietver šīs: 
  • Windows Server 2008 virtualizācija ar Hyper-V
  • VMware virtualizācijas produktu saime
  • Novell virtualizācijas produktu saime
PAPILDINDORMĀCIJA
Ir pieejams atjaunināts dokuments par virtualizētiem domēna kontrolleriem, kas attēlo pašreizējo sistēmas robustuma un drošības stāvokli daudz precīzāk nekā šis raksts:
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Daudzi no TechNet apsvērumiem attiecas arī uz trešās puses virtualizācijas resursdatoriem. Šis raksts vēl arvien ir pieejams, lai sniegtu papildu norādes un apsvērumus, kuri TechNet nav uzskatīti par pietiekami svarīgiem.

Par to, kas jāņem, viesojot domēna kontrolleru lomas virtuālā viesošanas vidē

Ieviešot Active Directory domēna kontrolleri fiziskā datorā, visa domēna kontrollera dzīves cikla laikā jānodrošina, lai tiktu izpildītas noteiktas prasības. Uz domēna kontrollera ieviešanu virtuālā viesošanas vidē attiecas noteiktas prasības un apsvērumi. Tie ir šādas:  
  • Lai palīdzētu saglabāt Active Directory datu bāzes integritāti elektroenerģijas padeves zuduma vai citas kļūmes dēļ, Active Directory pakalpojums veic nebuferētus ierakstus un mēģina atspējot diska rakstīšanas kešatmiņu apjomiem, kas vieso Active Directory datu bāzi un žurnālfailus. Active Directory mēģina darboties šādi arī tad, ja tiek instalēts virtuālā viesošanas vidē.

    Ja virtuālās viesošanas vides programmatūra pareizi atbalsta SCSI emulācijas režīmu, kas saistīts ar FUA (Forced unit access — Piespiedu piekļūšana vienībām), nebuferētie ieraksti, kurus Active Directory veic šajā vidē, tiek pārsūtīti uz viesa operētājsistēmu. Ja piespiedu piekļūšana vienībām netiek atbalstīta, atspējojiet to viesa operētājsistēmas visu apjomu rakstīšanas kešatmiņu, kas vieso Active Directory datu bāzi, žurnālus un kontrolpunkta failu. 

    Piezīmes
    • Atspējojiet visu to komponentu rakstīšanas kešatmiņu, kas kā datu bāzes formātu izmanto ESE (Extensible Storage Engine — Paplašināmās krātuves programma). Šajos komponentos ir iekļauti šādi vienumi: Active Directory, FRS (File Replication Service — Failu replicēšanas pakalpojums), WINS (Windows Internet Name Service — Windows interneta nosaukumdošanas pakalpojums) un DHCP (Dynamic Host Configuration Protocol — Dinamiskā resursdatora konfigurācijas protokols). 
    • Lai nodrošinātu optimālu darbu, apsveriet nepārtrauktas barošanas iekārtas uzstādīšanu VM resursdatoros.

  • Active Directory domēna kontrolleris paredzēts, lai palaistu Active Directory nepārtrauktas darbības režīmā uzreiz pēc tā instalēšanas. Kad domēna kontrolleris palaists, jānotiek Active Directory nepārtrauktai replicēšanai. Pārliecinieties, ka domēna kontrolleris veic ienākošo replicēšanu visiem lokālajiem Active Directory nodalījumiem saskaņā ar vietņu saitēs un savienojuma objektos definēto grafiku, it īpaši ņemot vērā to dienu skaitu, kas noteikts dzēsuma zīmju darbības laika atribūtā.

    Ja ienākošā replicēšana nenotiek, direktoriju pakalpojuma žurnālā var ierakstīt šādu kļūdas notikumu:

    Notikuma ID: 2042
    Avots: NTDS replicēšana
    Tips: Kļūda
    Apraksts: Ir pagājis pārāk ilgs laiks, kopš šī mašīna pēdējo reizi tika replicēta, izmantojot nosaukto avota mašīnu. Laiks starp replikācijām ar šo avotu ir pārsniedzis dzēsuma zīmju darbības laiku. Replicēšana ar šo avotu tika apturēta.

    Ja šī replicēšana nenotiek, mežā iekļautajos domēna kontrolleros var rasties Active Directory datu bāzes satura nekonsekvence. Šī nekonsekvence rodas tādēļ, ka zināšanas par izdzēstajiem vienumiem tiek saglabātas noteiktu dzēsuma zīmju darbības laika dienu skaitu. Domēna kontrolleri, kas pārejoši neveic Active Directory ienākošo replicēšanu ritošā dzēsuma zīmju noteikto dienu darbības laikā, rada ilgstošus objektus. Ilgstošie objekti ir objekti, kurus ar nodomu dzēš administrators, pakalpojums vai operētājsistēma, kas nepareizi pastāv mērķa DC, kuri neveic replicēšanu noteiktā laikā. Ilgstošo objektu tīrīšana var būt laikietilpīga, it īpaši vairāku domēnu mežos, kuros ir daudz domēna kontrolleru.
  • Ja domēna kontrolleris darbojas virtuālā viesošanas vidē, pirms atsākt operētājsistēmas attēlu, neapturiet domēna kontrollera darbību uz ilgu laiku. Ja domēna kontrollera darbība ir apturēta uz ilgu laiku, replicēšana var tikt pārtraukta un rasties ilgstoši objekti. Direktoriju pakalpojuma žurnālā var būt reģistrēts šāds kļūdas notikums:

    Notikuma ID: 2042
    Avots: NTDS replicēšana
    Tips: Kļūda
    Apraksts: Ir pagājis pārāk ilgs laiks, kopš šī mašīna pēdējo reizi tika replicēta, izmantojot nosaukto avota mašīnu. Laiks starp replikācijām ar šo avotu ir pārsniedzis dzēsuma zīmju darbības laiku. Replicēšana ar šo avotu tika apturēta.

  • Lai veiktu atkopšanu no lietotāja, aparatūras, programmatūras vai vides problēmām, Active Directory domēna kontrollerim nepieciešami regulāri sistēmas stāvokļa dublējumi. Noklusējuma lietderīgais sistēmas dublējuma kalpošanas laiks ir 60–180 dienas atkarībā no operētājsistēmas versijas un servisa pakas pārskatīšanas, kas tiek noteikta instalēšanas laikā. Šo lietderīgo kalpošanas laiku pārrauga Active Directory esošs dzēsuma zīmju darbības laika atribūts. Dzēsuma zīmju darbības laikā jādublē vismaz viens domēna kontrolleris katrā mežā domēnā.

    Ražošanas vidē ik dienas jāveic sistēmas stāvokļa dublējumi no diviem dažādiem DC.
  • Virtualizēti domēna kontrolleri (DC) sagrupētos resursdatoros 
    Lai sagrupētā datorā automātiski palaistu mezglus, diskus un citus resursus, sagrupētā datora autentifikācijas pieprasījumus jāapstrādā domēna kontrollerim klastera datora domēnā. 

    Lai panāktu, ka klastera OS startēšanas laikā pastāvētu šādi DC, fiziskās aparatūras sagrupētā resursdatora domēnā izvietojiet vismaz 2 domēna kontrollerus. Fiziskie DC jāsaglabā tiešsaistes režīmā un tiem jābūt pieejamiem tīklā (DNS un visos nepieciešamos portos un protokolos) sagrupētos resursdatoros. Ja DC, kas var apstrādāt autentifikācijas pieprasījumu klastera startēšanas laikā, atrodas klastera datorā, kas tiek restartēts, autentifikācijas pieprasījumi neizdosies un būs vajadzīgas manuālas atkopšanas darbības klastera darbības nodrošināšanai.

    Virtualizētus DC var izvietot CSV (Cluster Shared Volumes — Klastera koplietotie sējumi) un citos apjomos. CSV diskus nevar ievietot tiešsaistē, ja vien Active Directory neapstrādā autentifikācijas pieprasījumu. Diskus, kas nav CSV, var ievietot tiešsaistē bez autentifikācijas. Tā kā diskus, kuri nav CSV, var ērtāk ievietot tiešsaistē, Microsoft iesaka virtualizēto domēna kontrolleru failus ievietot ar CSV nesaistītos diskos.

    Piezīme. Gādājiet, lai fiziskā aparatūrā ir vismaz viens DC, tādējādi nodrošinot, ka var tikt startēti kļūmjpārlēces klasteri un infrastruktūra. Viesojot domēna kontrollerus virtuālās mašīnās, kuras pārvalda Windows Server 2008 R2 vai Hyper-V Server 2008 R2, ieteicams saglabāt virtuālos mašīnas failus klastera diskos, kas nav konfigurēti kā CSV diski. Tādējādi varēsit ērtāk atkopt noteiktus kļūmju gadījumus. Ja rodas vietnes kļūme vai problēma, kas izraisa visa klastera avarēšanu, bet DC fiziskā aparatūrā nav pieejams, virtuālo mašīnas failu saglabāšanai ar CSV nesaistītā klastera diskā vajadzētu iespējot klastera startēšanu. Šādā gadījumā tiešsaistē var ievietot diskus, kurus pieprasa virtuālā mašīna. Tādējādi varēsit startēt virtuālo mašīnu, kas vieso domēna kontrolleri. Pēc tam tiešsaistē varat ievietot CSV diskus un palaist citus mezglus. Šis process nepieciešams tikai tad, ja, palaižot klasteri, nav pieejami citi domēna kontrolleri.

Active Directory domēna kontrolleru atbalsts virtuālās viesošanas vidēs

Lai iegūtu plašāku informāciju par viesošanas domēna kontrolleru Microsoft nodrošinātām atbalsta iespējām un trešās puses virtuālām viesošanas vidēm, noklikšķiniet uz šī raksta numura un lasiet rakstu Microsoft zināšanu bāzē:
897615 Atbalsta politika Microsoft programmatūrai, kas darbojas ar Microsoft nesaistītā aparatūras virtualizācijas programmatūrā (šī informācija var būt angļu valodā)
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Rekvizīti

Raksta ID: 888794. Pēdējo reizi pārskatīts: 02/29/2012 14:53:00. Pārskatījums: 1.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbinfo kbhowto KB888794
Atsauksmes
ows-ppe.net/common/oauth2/authorize?response_type=id_token&client_id=fdf9885b-dd37-42bf-82e5-c3129ef5a302&redirect_uri=https%3A%2F%2Fpreview.support.microsoft.com%2Fsilentauth&state=4d98d68c-a7d8-444f-93d9-7ae60ab3756e%7Cfdf9885b-dd37-42bf-82e5-c3129ef5a302&client-request-id=52a8453b-ba6e-4b1a-9ef1-53a4279e109f&x-client-SKU=Js&x-client-Ver=1.0.11&prompt=none&nonce=0f7ca7d7-ddea-406f-8632-74ae9bde3463">