Saker att tänka på vid värdskap för Active Directory-domänkontrollanter i virtuella värdmiljöer

Supporten för Windows Server 2003 upphörde 14 juli 2015

Microsoft upphörde med supporten för Windows Server 2003 den 14 juli 2015. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.


Sammanfattning
I en virtuell värdmiljö kan du köra flera gästoperativsystem på en enda värddator samtidigt. Värdprogramvara virtualiserar bland annat följande resurser:
 • Processor
 • Minne
 • Disk
 • Nätverk
 • Lokala enheter
Genom att virtualisera resurserna på en fysisk dator kan du med värdprogramvara använda färre datorer för att distribuera operativsystem i test-, utvecklings- och produktionsroller. Vissa restriktioner gäller dock för distributionen av Active Directory-domänkontrollanter som körs i en virtuell värdmiljö. Restriktionerna gäller inte en domänkontrollant som körs på en fysisk dator.

I artikeln diskuteras saker att tänka på när en Microsoft Windows 2000 Server-baserad domänkontrollant, en Windows Server 2003-baserad domänkontrollant eller en Windows Server 2008-baserad kontrollant körs i en virtuell värdmiljö. Bland virtuella värdmiljöer ingår följande:
 • Windows Server 2008 Virtualization med Hyper-V
 • VMware-serien med virtualiseringsprodukter
 • Novell-serien med virtualiseringsprodukter
Mer Information
Det finns ett uppdaterat dokument om virtualiserade domänkontrollanter som närmare återger det aktuella tillståndet för datorns driftsäkerhet och säkerhet än i den här artikeln:
http://technet.microsoft.com/sv-se/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Många av sakerna i TechNet gäller även virtualiseringsvärdar från andra leverantörer. Artikeln finns där fortfarande för att hjälpa till med ytterligare tips och frågor som inte bedömts som tillräckligt relevanta för TechNet.

Saker att tänka på vid värdskap av domänkontrollantroller i en virtuell värdmiljö

När du distribuerar en Active Directory-domänkontrollant på en fysisk dator måste vissa krav uppfyllas genom domänkontrollantens hela livscykel. Distributionen av en domänkontrollant i en virtuell värdmiljö medför vissa krav och överväganden. Det omfattar följande:  
 • Vid ett eventuellt strömavbrott eller annat fel gör Active Directory-tjänsten obuffrade skrivningar för att hjälpa till att behålla integriteten hos Active Directory-databasen och försöker inaktivera cacheminnet för diskskrivningen på de volymer där Active Directory-databasen och loggfilerna finns. Active Directory försöker även arbeta på det sättet när programmet är installerat i en virtuell värdmiljö.

  Om programvaran för den virtuella värdmiljön stöder ett SCSI-emuleringsläge som stöder FUA (forced unit access) vidarebefordras obuffrade skrivningar som Active Directory gör i den här miljön till värdoperativsystemet. Om FUA (forced unit access) inte stöds måste du inaktivera skrivningscache på alla volymer på det gästoperativsystem som är värd för Active Directory-databasen, loggarna och kontrollpunktsfilen.

  Obs!
  • Du måste inaktivera skrivningscache för alla komponenter som använder ESE (Extensible Storage Engine) som sitt databasformat. Bland komponenterna ingår Active Directory, FRS (File Replication Service), WINS (Windows Internet Name Service) och DHCP (Dynamic Host Configuration Protocol).
  • Överväg att installera avbrottsfri strömförsörjning på VM-värdar som bästa metod.

 • En Active Directory-domänkontrollant är avsedd att köra Active Directory-läget kontinuerligt så fort den är installerad. När domänkontrollanten startas måste replikering från slutpunkt till slutpunkt i Active Directory ske. Se till att domänkontrollanterna gör ingående replikering på alla lokalt hållna Active Directory-partitioner enligt det schema som anges på webbplatsens länkar och anslutningsobjekt, särskilt när det gäller antalet dagar som anges i attributet för tombstone-livstiden.

  Om ingående replikering inte sker kanske följande felhändelse loggas i Directory Service-loggen:

  Händelse-ID: 2042
  Källa: NTDS-replikering
  Typ: Fel
  Beskrivning: Det är alltför länge sedan som datorn senast replikerade den namngivna källdatorn. Tiden mellan replikeringarna från den här källan har överskridit tombstone-livstiden. Replikeringen från den här källan har avbrutits.

  När replikeringen inte sker kanske du stöter på inkonsekvent innehåll i Active Directory-databaserna på domänkontrollanterna i skogen. Inkonsekvensen uppstår eftersom borttagningar sparas i minnet under det antal dagar som angetts för tombstone-livstiden. Domänkontrollanter som inte transitivt gör en ingående replikering av Active Directory-ändringen under den löpande tombstone-livstidens antal dagar orsakar kvarvarande objekt. Kvarvarande objekt är objekt som avsiktligt tas bort av en administratör, tjänst eller operativsystem och som felaktigt finns på de måldomänkontrollanter som inte genomfört replikeringen i tid. Rensningen av kvarvarande objekt kan vara mycket tidskrävande, särskilt i skog med flera domäner som innehåller många domänkontrollanter.
 • När en domänkontrollant körs i en virtuell värdmiljö ska domänkontrollanten inte pausas i långa perioder innan operativsystembilden återupptas. Om du pausar domänkontrollanten länge kanske replikeringen avbryts och orsakar kvarvarande objekt. Följande felhändelse kan loggas i Directory Service-loggen:

  Händelse-ID: 2042
  Källa: NTDS-replikering
  Typ: Fel
  Beskrivning: Det är alltför länge sedan som datorn senast replikerade den namngivna källdatorn. Tiden mellan replikeringarna från den här källan har överskridit tombstone-livstiden. Replikeringen från den här källan har avbrutits.

 • En Active Directory-domänkontrollant kräver regelbunden säkerhetskopiering av systemtillståndet för att återställas från problem med användare, maskinvara, programvara eller miljö. Den normala livslängden för en säkerhetskopiering av systemtillståndet är 60 eller 180 dagar, beroende på operativsystemversion och den Service Pack-revision som det gäller vid installationen. Livslängden kontrolleras av attributet för tombstone-livstiden i Active Directory. Minst en domänkontrollant i varje domän i skogen bör säkerhetskopieras minst en gång under varje intervall för tombstone-livstiden.

  I en produktionsmiljö bör du göra säkerhetskopiering av systemtillståndet från två olika domänkontrollanter dagligen.
 • Virtualiserade domänkontrollanter i klustrade värdar 
  För att noder, diskar och andra resurser på en klustrad dator ska starta automatiskt begär autentiseringen att den klustrade datorn måste använda en domänkontrollant på den klustrade datorns domän. 

  Se till att en sådan domänkontrollant finns när klustrat OS startas genom att distribuera minst 2 domänkontrollanter till den klustrade värddatorns domän på fysisk maskinvara. De fysiska domänkontrollanterna ska förbli uppkopplade och tillgängliga i nätverket (i DNS + alla portar och protokoll som krävs) för de klustrade värdarna. Om de enda domänkontrollanter som kan uppfylla autentiseringsbegäran då klustrarna startas finns på en klustrad dator som startas om, kommer autentiseringsbegäran att misslyckas. Manuell återställning krävs då för att göra klustern funktionsduglig.

  Virtuella domänkontrollanter kan placeras på klusterdelade volymer (CSV) och icke-klusterdelade volymer. CSV-diskar kan inte kopplas upp om inte Active Directory har använts för autentiseringsbegäran. Diskar som inte är CSV-diskar kan kopplas upp utan autentisering. Eftersom diskar som inte är CSV-diskar enklare kan kopplas upp rekommenderar Microsoft att filer till virtuella domänkontrollanter placeras på diskar som inte är CSV-diskar.

  Obs! Ha alltid minst en domänkontrollant på en fysisk maskinvara så att Failover Cluster och annan infrastruktur kan starta. När du är värd för domänkontrollanter på virtuella datorer som hanteras av Windows Server 2008 R2 eller Hyper-V Server 2008 R2 rekommenderar vi att du lagrar den virtuella datorns filer på klusterdiskar som inte är konfigurerade som CSV-diskar (Cluster Shared Volumes). Det underlättar återställningen vid vissa fellägen. Om det är fel på eller problem med webbplatsen som gör att hela klustret kraschar, och domänkontrollanter på fysisk maskinvara inte finns tillgängliga, kan klustret starta ändå om du har lagrat den virtuella datorns filer på en klusterdisk som inte är en CSV-disk. I den här situationen kan diskarna som krävs av den virtuella datorn kopplas upp. På så vis kan du starta den virtuella dator som är värd för domänkontrollanten. Sedan kan du koppla upp CSV-diskarna och starta andra noder. Det här krävs bara om det inte finns några andra domänkontrollanter tillgängliga då klustret startas.

Support för Active Directory-domänkontrollanter i virtuella värdmiljöer

Om du vill veta mer om support för värddomänkontrollanter i Microsoft och i virtuella värdmiljöer från andra leverantörer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
897615 Supportpolicy för Microsoft-programvara som körs i virtualiseringsprogramvara med maskinvara som inte är från Microsoft (Detta kan vara på engelska)
Egenskaper

Artikel-id: 888794 – senaste granskning 02/29/2012 17:06:00 – revision: 3.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
Feedback