Momentan sunteți offline, așteptați să vă reconectați la internet

Lucruri de luat în considerare atunci când găzduiţi controlere de domeniu Active Directory în medii de găzduire virtuală

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.


REZUMAT
Un mediu de găzduire virtuală vă permite să executaţi simultan mai multe sisteme de operare vizitatoare pe un singur computer gazdă. Software-ul gazdă virtualizează resursele care includ următoarele:
  • CPU
  • Memorie
  • Disc
  • Rețea
  • Dispozitive locale
Prin virtualizarea acestor resurse pe un computer fizic, software-ul gazdă vă permite să utilizaţi mai puţine computere pentru a implementa sisteme de operare pentru testare, dezvoltare şi producere. Cu toate acestea, se aplică anumite restricţii la implementarea controlerelor de domeniu Active Directory care se execută într-un mediu de găzduire virtuală. Aceste restricții nu se aplică unui controler de domeniu care se execută pe un computer fizic.

Acest articol discută lucrurile de luat în considerare atunci când un controler de domeniu bazat pe Microsoft Windows 2000 Server, Windows Server 2003 sau Windows Server 2008 se execută într-un mediu de găzduire virtuală. Mediile de găzduire virtuală includ următoarele:
  • Virtualizare Windows Server 2008 cu Hyper-V
  • Familia produselor de virtualizare VMware
  • Familia produselor de virtualizare Novell
INFORMAŢII SUPLIMENTARE
Există un document actualizat pe controlerele de domeniu virtualizate care reflectă starea curentă a robusteţii şi securităţii sistemului într-un mod mai precis decât în acest articol:
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Multe din argumentele din TechNet se aplică, de asemenea, gazdelor de virtualizare terţe. Acest articol este în continuare disponibil pentru a vă ajuta cu sugestii şi argumente, insuficient de relevante pentru TechNet.

Lucruri de luat în considerare atunci când găzduiţi roluri ale controlerului de domenii într-un mediu de găzduire virtuală

Atunci când implementaţi controlerul de domeniu Active Directory pe un computer fizic, pe durata de funcţionare a controlerului de domeniu trebuie îndeplinite anumite cerinţe. Implementarea unui controler de domeniu într-un mediu de găzduire virtuală adaugă anumite cerințe și argumente. Printre acestea se numără:  
  • Pentru a ajuta la menţinerea integrităţii bazei de date Active Directory în cazul întreruperii alimentării sau a altei defecţiuni, serviciul Active Directory efectuează scrieri care nu trec prin memoria tampon şi şi încearcă să dezactiveze memoria cache de scriere a discului pe volume care găzduiesc baza de date Active Directory şi fişierele jurnalelor. Active Directory încearcă, de asemenea, să lucreze în acest mod atunci când se instalează într-un mediu de găzduire virtuală.

    Dacă software-ul mediului de găzduire virtuală acceptă în mod corect un mod de emulare SCSI care acceptă Forced Unit Access (FUA), scrierile care nu trec prin memoria tampon efectuate de Active Directory în acest mediu trec la sistemul de operare gazdă. Dacă nu se acceptă FUA, trebuie să dezactivaţi memoria cache de scriere pe toate volumele sistemului de operare vizitator care găzduiesc baza de date Active Directory, jurnalele şi fişierul punctului de control.

    Note
    • Trebuie să dezactivaţi memoria cache de scriere pentru toate componentele care utilizează Extensible Storage Engine (ESE) ca format al bazei de date. Aceste componente includ Active Directory, Serviciul de reproducere fişiere (FRS), Windows Internet Name Service (WINS) şi Protocol de configurare dinamică a gazdei (DHCP). 
    • Ca cea mai bună practică, luaţi în considerare instalarea unor surse de alimentare neîntreruptibile pe gazdele VM.

  • Controlerul de domeniu Active Directory are rolul de a executa continuu modul Active Directory imediat ce s-a instalat. Atunci când este pornit controlerul de domeniu, trebuie să aibă loc reproducerea integrală a serviciului Active Directory. Asiguraţi-vă că toate controlere de domeniu efectuează reproducerea la intrare pe toate partiţiile Active Directory deţinute local, în funcţie de planificarea definită pentru legăturile site-ului şi obiectele de conectare, în special în ceea ce priveşte numărul de zile specificat de atributul duratei de viaţă de dezactivare.

    Dacă nu are loc reproducerea la intrare, următorul eveniment de eroare poate fi înregistrat în jurnalul serviciului director:

    ID eveniment: 2042
    Sursă: Reproducere NTDS
    Tip: Eroare
    Descriere: A trecut prea mult timp de când acest computer a efectuat ultima reproducere cu computerul sursă denumit. Timpul dintre reproducerile efectuate cu această sursă a depășit durata de viaţă de dezactivare. Reproducerea s-a oprit pentru această sursă.

    Dacă nu are loc această reproducere, probabil există o inconsistenţă în conţinutul bazei de date Active Directory la controlerele de domeniu din rezerva de resurse. Această inconsecvenţă apare deoarece cunoaşterea elementelor şterse persistă pentru numărul de zile ale duratei de viaţă de dezactivare. Controlerele de domeniu care nu reproduc tranzitiv modificările Active Directory la intrare într-un număr de zile ale duratei de viaţă la dezactivare au ca rezultat obiecte persistente. Obiectele persistente sunt obiecte şterse intenţionat de administrator, de serviciu sau de sistemul de operare şi nu trebuie să existe pe DC-urile de destinaţie care nu au efectuat reproducerea la timp. Curăţirea obiectelor persistente poate dura foarte mult, mai ales în rezervorul de resurse extins în mai multe domenii, care includ mai multe controlere de domeniu.
  • Dacă un controler de domeniu se execută într-un mediu de găzduire virtuală, nu treceţi în pauză controlerul de domeniu pentru perioade lungi de timp înainte de a relua imaginea sistemului de operare. Dacă treceţi controlerul de domeniu în pauză pentru o lungă perioadă de timp, reproducerea se poate opri şi poate crea obiecte persistente. Următorul eveniment de eroare poate fi înregistrate în jurnalul serviciului director:

    ID eveniment: 2042
    Sursă: Reproducere NTDS
    Tip: Eroare
    Descriere: A trecut prea mult timp de când acest computer a efectuat ultima reproducere cu computerul sursă denumit. Timpul dintre reproducerile efectuate cu această sursă a depășit durata de viaţă de dezactivare. Reproducerea s-a oprit pentru această sursă.

  • Un controler de domeniu Active Directory necesită copieri de rezervă regulate ale stării sistemului pentru recuperarea după probleme ale utilizatorului, hardware-ului, software-ului sau mediului. Durata de viaţă utilă implicită a unei copii de rezervă cu starea sistemului este de 60 sau 180 de zile, în funcţie de versiunea sistemului de operare şi de versiunea pachetului Service Pack disponibile în timpul instalării. Această durată de viaţă utilă este controlată de atributul duratei de viaţă de dezactivare în Active Directory. Trebuie efectuată copia de rezervă pentru cel puţin un controler de domeniu din fiecare domeniu din rezervorul de resurse la fiecare număr de zile ale duratei de viaţă de dezactivare.

    Într-un mediu productiv, ar trebui să efectuaţi zilnic copia de rezervă cu starea sistemului din două DC-uri diferite.
  • DC-uri virtualizate în gazde grupate
    Pentru ca nodurile, discurile şi alte resurse de pe un computer grupat să pornească automat, solicitările de autentificare de la computerul grupat trebuie deservite de un DC în domeniul computerului grupat. 

    Pentru a vă asigura că există un astfel de DC în timpul pornirii în grup a sistemului de operare, implementaţi cel puţin două controlere de domeniu în domeniul computerului gazdă grupat pe hardware-ul fizic. DC-urile fizice trebuie menţinute online şi accesibile în reţea (în DNS + toate porturile şi protocoalele necesare) pentru gazdele grupate. Dac singurul DC care poate deservi solicitarea de autentificare în timpul pornirii în grup se află pe un computer grupat care este repornit, nu se vor efectua solicitările de autentificare şi vor fi necesari paşi de recuperare manuală pentru ca grupul să devină operaţional. 

    DC-urile virtualizate se pot amplasa pe volume care sunt sau nu Cluster Shared Volumes (CSV). Discurile CSV pot fi trecute online numai dacă solicitarea de autentificare a fost deservită de Active Directory. Discurile care nu sunt CSV pot fi trecute online fără autentificare. Deoarece discurile care nu sunt CSV pot fi trecute online mai uşor, Microsoft recomandă amplasarea fişierele pentru controlerele de domeniu virtualizat pe discuri care nu sunt CSV.

    Notă: Trebuie să aveţi cel puţin un DC pe hardware-ul fizic ca să poată porni grupurile şi alte infrastructuri în caz de nereuşită. Dacă găzduiţi controlere de domeniu pe maşini virtuale gestionate de Windows Server 2008 R2 sau Hyper-V Server 2008 R2, vă recomandăm să stocaţi fişierele maşinii virtuale pe discuri de grupuri care nu sunt configurate ca discuri Cluster Shared Volumes (CSV). Acest lucru permite recuperarea mai simplă în situaţii specifice de defecţiune. Dacă există o defecţiune a site-ului sau o problemă care duce la căderea întregului grup şi DC-ul de pe hardware-ul fizic nu este disponibil, stocarea fişierelor maşinii virtuale pe un disc de grupuri care nu este CSV ar trebui să permită pornirea grupului. În această situaţie, discurile necesare maşinii virtuale pot fi trecute online. Acest lucru vă va permite pornirea maşinii virtuale care găzduieşte controlerul de domeniu. Apoi, puteţi trece discurile CSV online şi porni alte noduri. Acest proces este necesar numai dacă nu există alte controlere de domeniu disponibile în momentul pornirii grupului.

Suport pentru controlerele de domeniu Active Directory în medii de găzduire virtuală

Pentru mai multe informaţii despre acceptarea găzduirii controlerelor de domeniu în Microsoft şi medii terţe de găzduire virtuală, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
897615 Politica de suport pentru software Microsoft care se execută prin software de virtualizare pe hardware care nu aparţine de Microsoft (Poate fi în engleză)
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Proprietăți

ID articol: 888794 - Ultima examinare: 02/29/2012 14:54:00 - Revizie: 1.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbinfo kbhowto KB888794
Feedback
=">