Что следует учитывать при размещении контроллеров домена Active Directory в виртуальных средах размещения

  • Статья

В этой статье описываются проблемы, влияющие на контроллер домена на основе Windows Server, работающий в качестве гостевой ОС в виртуальных средах размещения. В нем также рассматриваются моменты, которые следует учитывать при запуске контроллера домена в виртуальной среде размещения.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 888794

Сводка

Виртуальная среда размещения позволяет одновременно запускать несколько гостевых операционных систем на одном хост-компьютере. Программное обеспечение узла виртуализирует следующие ресурсы:

  • ЦП
  • Память
  • Диск
  • Сеть
  • Локальные устройства

Виртуализация этих ресурсов на физическом компьютере позволяет использовать меньше компьютеров для развертывания операционных систем для тестирования и разработки, а также в рабочих ролях. Определенные ограничения применяются к контроллеру домена Active Directory, который работает в виртуальной среде размещения. Эти ограничения не применяются к контроллеру домена, работающему на физическом компьютере.

В этой статье рассматриваются вопросы, которые следует учитывать при запуске контроллера домена на основе Windows Server в виртуальной среде размещения. Виртуальные среды размещения включают:

  • Виртуализация Windows Server с Hyper-V.
  • Семейство продуктов виртуализации VMware.
  • Семейство продуктов виртуализации Novell.
  • Семейство продуктов виртуализации Citrix.
  • Любой продукт в списке гипервизоров в программе проверки виртуализации сервера (SVVP).

Дополнительные сведения о текущем состоянии надежности и безопасности системы для виртуализированных контроллеров домена см. в следующей статье:

Виртуализация контроллеров домена с помощью Hyper-V.

В статье Виртуализация контроллеров домена содержатся общие рекомендации, применимые ко всем конфигурациям. Многие рекомендации, описанные в этой статье, также относятся к сторонним узлам виртуализации. Он может включать рекомендации и параметры, относящиеся к используемой низкоуровневой оболочке, в том числе:

  • Настройка синхронизации времени для контроллеров домена.
  • Управление томами дисков для обеспечения целостности данных.
  • Как воспользоваться преимуществами поддержки создания идентификаторов в сценариях восстановления или миграции.
  • Управление выделением и производительностью ОЗУ и процессорных ядер на узле виртуальной машины.

Примечание.

Если вы используете сторонние узлы виртуализации, обратитесь к документации по узлу виртуализации для получения конкретных рекомендаций и рекомендаций.

Эта статья дополняет статью Виртуализация контроллеров домена, предоставляя дополнительные указания и рекомендации, которые не были в область для статьи Виртуализация контроллеров домена.

Что следует учитывать при размещении ролей контроллера домена в виртуальной среде размещения

При развертывании контроллера домена Active Directory на физическом компьютере на протяжении всего жизненного цикла контроллера домена должны выполняться определенные требования. Развертывание контроллера домена в виртуальной среде размещения добавляет определенные требования и рекомендации, в том числе:

  • Служба Active Directory помогает сохранить целостность базы данных Active Directory в случае потери питания или другого сбоя. Для этого служба выполняет небуферизованные операции записи и пытается отключить кэш записи на диске на томах, на которых размещены файлы базы данных Active Directory и журналов. Active Directory также пытается работать таким образом, если он установлен в виртуальной среде размещения.

    Если программное обеспечение виртуальной среды размещения правильно поддерживает режим эмуляции SCSI, поддерживающий принудительный доступ к единицам (FUA), небуферизованные записи, выполняемые Active Directory в этой среде, передаются в ОС узла. Если FUA не поддерживается, необходимо вручную отключить кэш записи на всех томах гостевой ОС, на которых размещается:

    • база данных Active Directory
    • журналы
    • файл контрольных точек

    Примечание.

    • Необходимо отключить кэш записи для всех компонентов, использующих расширяемое ядро хранилища (ESE) в качестве формата базы данных. К этим компонентам относятся Active Directory, служба репликации файлов (FRS), служба windows INTERNET Name Service (WINS) и протокол DHCP.
    • Рекомендуется установить источники бесперебойного питания на узлах виртуальных машин.

  • Контроллер домена Active Directory предназначен для непрерывного запуска режима Active Directory сразу после установки. Не останавливайте и не приостанавливайте работу виртуальной машины в течение длительного времени. При запуске контроллера домена должна произойти репликация Active Directory. Убедитесь, что все контроллеры домена выполняют входящую репликацию во всех локальных секциях Active Directory в соответствии с расписанием, определенным в ссылках на сайт и объектах подключения. Это особенно верно для количества дней, указанного атрибутом времени существования надгробия.

    Если репликация не выполняется, вы можете столкнуться с несогласованным содержимым баз данных Active Directory на контроллерах домена в лесу. Несоответствие возникает из-за того, что сведения об удалении сохраняются в течение количества дней, определенного временем существования надгробия. Если контроллеры домена не завершают транзитивную репликацию изменений Active Directory в течение этого количества дней, объекты будут задерживаться в Active Directory. Очистка затяжных объектов может занять много времени, особенно в лесах с несколькими доменами, в которых много контроллеров домена.

  • Для восстановления после различных проблем контроллеру домена Active Directory требуется регулярное резервное копирование состояния системы. Срок использования резервной копии состояния системы по умолчанию составляет 60 или 180 дней. Это зависит от версии ОС и редакции пакета обновления, которая действует во время установки. Этот срок использования управляется атрибутом времени существования надгробия в Active Directory. По крайней мере один контроллер домена в каждом домене в лесу должен выполняться по регулярному циклу в зависимости от количества дней, указанного в течение времени существования надгробия.

    В рабочей среде следует создавать ежедневные резервные копии состояния системы из двух разных контроллеров домена.

    Примечание.

    Когда узел виртуальной машины принимает snapshot виртуальной машины, гостевая ОС не обнаруживает эту snapshot в качестве резервной копии. Если узел поддерживает идентификатор поколения Hyper-V, этот идентификатор будет изменен при запуске образа с snapshot или реплика. По умолчанию контроллер домена считается восстановленным из резервной копии.

Что следует учитывать при размещении ролей контроллера домена на кластеризованных узлах или при использовании Active Directory в качестве серверной части в виртуальной среде размещения

  • Когда контроллеры домена работают на кластеризованных серверах узлов, вы ожидаете, что они отказоустойчивы. Это же ожидание относится к развертываниям виртуальных серверов, которые не от корпорации Майкрософт. Однако в этом предположении существует одна проблема: для автоматического запуска узлов, дисков и других ресурсов на кластеризованном хост-компьютере запросы проверки подлинности с компьютера должны обслуживаться контроллером домена в домене компьютера. Кроме того, часть конфигурации кластеризованного узла должна храниться в Active Directory.

    Чтобы обеспечить доступ к таким контроллерам домена во время запуска системы кластера, разверните по крайней мере два контроллера домена в домене компьютера в независимом решении размещения за пределами этого развертывания кластера. Вы можете использовать физическое оборудование или другое виртуальное решение для размещения без зависимости Active Directory. Дополнительные сведения об этом сценарии см. в статье Предотвращение создания отдельных точек сбоя.

  • Эти контроллеры домена на отдельных платформах должны быть подключены к сети и быть доступными по сети (в DNS и во всех необходимых портах и протоколах) для кластеризованных узлов. В некоторых случаях единственные контроллеры домена, которые могут обслуживать запросы проверки подлинности во время запуска кластера, находятся на кластеризованном хост-компьютере, который перезапускается. В этой ситуации запросы проверки подлинности завершаются ошибкой, и необходимо вручную восстановить кластер.

    Примечание.

    Не предполагайте, что эта ситуация относится только к Hyper-V. Сторонние решения виртуализации также могут использовать Active Directory в качестве хранилища конфигураций или для проверки подлинности на определенных этапах запуска виртуальной машины или изменения конфигурации.

Поддержка контроллеров домена Active Directory в виртуальных средах размещения

Дополнительные сведения см. в статье Политика поддержки программного обеспечения Майкрософт, выполняемого в программном обеспечении виртуализации оборудования сторонних разработчиков.