Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Ting du bør vurdere når du er vert for Active Directory-domenekontrollere i virtuelle vertsmiljøer

Kundestøtte for Windows Server 2003 opphørte 14. juli 2015

Microsoft avsluttet kundestøtte for Windows Server 2003 den 14. juli 2015. Denne endringen har påvirket programvareoppdateringene og sikkerhetsalternativene dine. Finn ut hvordan dette påvirker deg og hvordan du forblir beskyttet.


Sammendrag
Et virtuelt vertsmiljø lar deg kjøre flere gjesteoperativsystemer på én enkelt vertsdatamaskin samtidig. Vertsprogramvaren virtualiserer ressursene, som inkluderer følgende:
 • CPU
 • Minne
 • Disk
 • Nettverk
 • Lokale enheter
Ved å virtualisere disse ressursene på en fysisk datamaskin, lar vertsprogramvaren deg bruke færre datamaskiner til å distribuere operativsystemer for testing, for utvikling og i produksjonsroller. Enkelte restriksjoner gjelder imidlertid for distribusjonen av Active Directory-domenekontrollere som kjører i et virtuelt vertsmiljø. Disse begrensningene gjelder ikke for en domenekontroller som kjører på en fysisk datamaskin.

Denne artikkelen diskuterer tingene som må vurderes når en Microsoft Windows 2000 Server-basert domenekontroller, en Windows Server 2003-basert domenekontroller eller en Windows Server 2008-basert kontroller kjører i et virtuelt vertsmiljø. Virtuelle vertsmiljøer inkluderer følgende:
 • Windows Server 2008 virtualisering med Hyper-V
 • VMware-familien med virtualiseringsprodukter
 • Novell-familien med virtualiseringsprodukter
Mer informasjon
Det finnes et oppdatert dokument om virtualiserte domenekontroller som gjenspeiler gjeldende status for systemets styrke og sikkerhet nærmere enn denne artikkelen:
http://technet.microsoft.com/nb-no/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Mange av hensynene i TechNet gjelder også for tredjeparts virtualiseringsverter. Denne artikkelen er fremdeles tilgjengelig for å gi ekstra tips og hensyn som ikke er relevante nok for TechNet.

Ting du bør vurdere når du er vert for domenekontrollroller i et virtuelt vertsmiljø

Når du distribuerer en Active Directory-domenekontroller på en fysisk datamaskin, må visse krav oppfylles gjennom hele domenekontrollerens livssyklus. Distribusjonen av en domenekontroller i et virtuelt vertsmiljø legger til bestemte krav og hensyn. Disse inkluderer:  
 • Active Directory-tjenesten utfører ikke-bufrede skriveoperasjoner og prøver å deaktivere hurtigbuffer som skriver til disken på volumer som er vert for Active Directory-databasen og -loggfilene, for å hjelpe med å beholde integriteten til Active Directory-databasen i tilfelle strømbrudd eller annen feil. Active Directory prøver også å arbeide på denne måten når den er installert i et virtuelt vertsmiljø.

  Hvis programvaren for det virtuelle vertsmiljøet har riktig støtte for en SCSI-emuleringsmodus som støtter tvunget enhetstilgang (FUA), sendes ikke-bufrede skriveoperasjoner som utføres i dette miljøet, til vertsoperativsystemet. Hvis tvunget enhetstilgang ikke støttes, må du deaktivere skrivehurtigbufferen på alle volumer til gjesteoperativsystemet som er vert for Active Directory-databasen, loggene og kontrollpunktfilen.

  Merk
  • Du må deaktivere skrivehurtigbufferen for alle komponenter som bruker Extensible Storage Engine (ESE) som databaseformat. Disse komponentene inkluderer Active Directory, File Replication Service (FRS), Windows Internet Name Service (WINS) og Dynamic Host Configuration Protocol (DHCP).
  • Som beste praksis bør du vurdere å installere strømforsyning som ikke forstyrres, for VM-verter.

 • En Active Directory-domenekontroller er beregnet å kjøre Active Directory-modus kontinuerlig så snart den installeres. Når du starter domenekontrolleren, må ende-til-ende-replikering av Active Directory forekomme. Påse at alle domenekontrollene utfører innkommende replikering på alle lokale Active Directory-partisjoner i henhold til planen angitt på områdekoblinger og tilkoblingsobjekter, spesielt antall dager som er angitt i tombstone-levetidattributtet.

  Hvis innkommende replikering ikke oppstår, kan den følgende feilhendelsen loggføres i katalogtjenestenloggen:

  Hendelses-ID: 2042
  Kilde: NTDS-replikering
  Type: Feil
  Beskrivelse: Det er for lenge siden maskinen sist replikert med den navngitte kildemaskin. Tiden mellom replikeringer med denne kilden har overskredet tombstone-levetiden. Replikering ble stoppet med denne kilden.

  Når denne replikeringen ikke oppstår, kan du oppleve inkonsekvens i innholdet i Active Directory-databasen på domenekontrollere i skogen. Denne inkonsekvensen oppstår fordi kunnskap om slettinger er fast for antall dager for utløpstiden. Domenekontrollere som ikke transitivt utfører innkommende replikering på Active Directory-endringer i rullerende antall dager for utløpstiden, forårsaker etterlatte objekter. Etterlatte objekter er objekter som med hensikt ble slettet av en administrator, tjeneste eller operativsystem, og som feilaktig eksisterer på mål-DCer som ikke utførte replikering til rett tid. Opprydding av etterlatte objekter kan være svært tidkrevende, spesielt i flerdomeneskoger som inkluderer mange domenekontrollere.
 • Når en domenekontroller kjører i et virtuelt vertsmiljø, må ikke domenekontrolleren settes på pause i lange perioder før du starter operativsystemavbildning på nytt. Hvis du setter domenekontrolleren på pause i lang tid, kan replikering stoppe og forårsake etterlatte objekter. Følgende feilhendelse kan loggføres i katalogtjenesteloggen:

  Hendelses-ID: 2042
  Kilde: NTDS-replikering
  Type: Feil
  Beskrivelse: Det er for lenge siden maskinen sist replikert med den navngitte kildemaskin. Tiden mellom replikeringer med denne kilden har overskredet utløpstiden. Replikering ble stoppet med denne kilden.

 • En Active Directory-domenekontroller krever regelmessig sikkerhetskopiering av systemtilstanden for å kunne gjenopprette etter problemer med bruker, maskinvare, programvare eller miljø. Standard levetid for en sikkerhetskopi av systemtilstanden er 60 eller 180 dager, avhengig av operativsystemversjonen og servicepakkeversjonen som kjørte under installasjonen. Denne levetid styres av utløpstid-levetid-attributtet i Active Directory. Minst én domenekontroller i hvert domene i skogen skal sikkerhetskopieres hvert antall dager for tombstone-levetiden.

  I et produksjonsmiljø bør du lage sikkerhetskopier av systemtilstanden fra to forskjellige DCer daglig.
 • Virtualiserte DCer i klyngebaserte verter
  Godkjenningsforespørselen fra den klyngebaserte datamaskinen må behandles av en DC i klyngedatamaskinens domene for å få nodene, diskene og andre ressurser på en klyngebasert datamaskin til starte automatisk.

  Distribuer minst to domenekontrollere i den klyngebaserte vertsdatamaskinens domene på fysisk maskinvare for å sikre at en slik DC eksisterer under klyngebasert OS-oppstart. Den fysiske DCen skal være koblet til og tilgjengelig over nettverket (i DNS + alle påkrevde porter og protokoller) for de klyngebaserte vertene. Hvis den eneste DCen som kan behandle godkjenningsforespørselen under klyngeoppstart, ligger på en klyngedatamaskin som holder på å starte på nytt, vil godkjenningsforespørselen mislykkes og manuelle trinn for gjenoppretting kreves for å gjøre klyngen driftsklar.

  Virtualiserte DCer kan plasseres på CSV-volumer (Cluster Shared Volumes) og ikke-CSV-volumer. CSV-disker kan ikke kobles til med mindre godkjenningsforespørselen er behandlet av Active Directory. Ikke-CSV-disker kan kobles til uten godkjenning. Siden ikke-CSV-disker kan enklere kobles til, anbefaler Microsoft at filer for virtualiserte domenekontrollere plasseres på ikke-CSV-disker.

  Merk: Ha alltid minst én DC på en fysisk maskinvare slik at failoverklynger og annen infrastruktur kan starte. Når du er vert for domenekontrollere på virtuelle maskiner som administreres av Windows Server 2008 R2 eller av Hyper-V Server 2008 R2, anbefaler vi at du lagrer de virtuelle maskinfilene på klyngedisker som ikke er konfigurerte som CSV-disker (Cluster Shared Volumes). Dette gjør gjenoppretting enklere i bestemte feilsituasjoner. Hvis det er en områdefeil eller et problem som gjør at hele klyngen krasjer og DCen på den fysiske maskinvaren ikke er tilgjengelig, bør lagring av virtuelle maskinfiler på en ikke-CSV-klyngedisk gjøre det mulig for klyngen å starte på nytt. I dette tilfellet kan diskene som kreves av den virtuelle maskinen, kobles til. Dette lar deg starter den virtuelle maskinen som er vert for domenekontrolleren. Deretter kan du koble til CSV-diskene og starte andre noder. Denne prosessen er bare nødvendig hvis det ikke er noen andre domenekontrollere tilgjengelige på det tidspunktet da klyngen startet.

Støtte for Active Directory-domenekontrollere i virtuelle vertsmiljøer

Hvis du vil ha mer informasjon om støtten for å være vert for domenekontrollere i Microsoft og tredjeparts virtuelle vertsmiljøer, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
897615 Støttepolicy for Microsoft-programvare som kjører i virtualiseringsprogramvare på ikke-Microsoft-maskinvare (Dette kan være på engelsk)
Eigenschappen

Artikel-id: 888794 - Laatst bijgewerkt: 02/29/2012 17:05:00 - Revisie: 3.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
Feedback