Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Відомості щодо розміщення контролерів домену Active Directory у віртуальних хостинг-середовищах

Підтримку Windows Server 2003 припинено 14 липня 2015 р.

Корпорація Майкрософт припинила підтримку Windows Server 2003 14 липня 2015 р. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.


ПІДСУМКИ
Завдяки віртуальному хостинг-середовищу на комп’ютері з одним хостом можуть одночасно працювати кілька гостьових операційних систем. Програмне забезпечення хоста віртуалізує перелічені нижче ресурси.
 • ЦП
 • Пам’ять
 • Диск
 • Мережа
 • Локальні пристрої
Завдяки віртуалізації цих ресурсів на фізичному комп’ютері програмне забезпечення хоста дає змогу розгортати операційні системи для тестування, розробки або виробничих функцій, використовуючи меншу кількість комп’ютерів. Проте існують певні обмеження щодо розгортання контролерів домену Active Directory, які працюють у віртуальному хостинг-середовищі. Ці обмеження не стосуються контролера домену, який працює на фізичному комп’ютері.

У статті описано особливості роботи контролера домену під керуванням сервера Microsoft Windows 2000 Server, Windows Server 2003 або Windows Server 2008 у віртуальному хостинг-середовищі. Віртуальні хостинг-середовища включають:
 • віртуалізацію ОС Windows Server 2008 із технологією Hyper-V;
 • сімейство продуктів віртуалізації VMware;
 • сімейство продуктів віртуалізації Novell.
ДОДАТКОВІ ВІДОМОСТІ
З оновленим документом про віртуалізовані контролери домену, що повніше відображає поточний стан надійності та безпеки системи, можна ознайомитися за таким посиланням:
http://technet.microsoft.com/uk-ua/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

Багато інформації на сайті TechNet також стосується хостів віртуалізації сторонніх розробників. Ця стаття залишається актуальною, оскільки надає додаткові вказівки та відомості, які вважаються несуттєвими для сайту TechNet.

Відомості щодо розміщення ролей контролерів домену у віртуальному хостинг-середовищі

Існують певні вимоги, яких потрібно дотримуватися під час розгортання контролера домену Active Directory на фізичному комп’ютері протягом усього його життєвого циклу. До розгортання контролера домену у віртуальному хостинг-середовищі існують додаткові вимоги та зауваження, описані нижче.  
 • Щоб зберегти цілісність бази даних Active Directory в разі відключення живлення або виникнення неполадки, служба Active Directory робить записи без буферизації та намагається вимкнути кеш записів на диск у томах, які містять базу даних Active Directory та файли журналу. Служба Active Directory, інстальована у віртуальному хостинг-середовищі, намагається працювати таким же чином.

  Якщо програмне забезпечення віртуального хостинг-середовища правильно підтримує режим емуляції SCSI із підтримкою наскрізного доступу (FUA), записи без буферизації, які робить служба Active Directory в цьому середовищі, передаються до операційної системи хоста. Якщо наскрізний доступ не підтримується, вимкніть кеш записів для всіх томів гостьової операційної системи, які містять базу даних Active Directory, журнали та файл контрольної точки.

  Примітки
  • Вимкніть кеш записів для всіх компонентів, які використовують технологію розширюваного обробника сховищ (ESE) для своїх баз даних. Ці компоненти включають службу Active Directory, службу реплікації файлів (FRS), службу Windows для зіставлення імен в Інтернеті (WINS) і протокол динамічного конфігурування вузла (DHCP).
  • Рекомендуємо встановити джерело безперебійного живлення для хостів віртуальної машини.

 • Після інсталяції контролер домену Active Directory має постійно працювати в режимі Active Directory. Під час запуску контролера домену має пройти наскрізна реплікація служби Active Directory. Переконайтеся, що всі контролери домену виконують вхідну реплікацію в усіх локальних розділах Active Directory відповідно до розкладу, який визначають зв’язки вузлів та об’єкти підключення, особливо що стосується кількості днів, зазначену в атрибуті часу життя для позначки видалення.

  Якщо внутрішня реплікація не відбувається, у журналі служби каталогів може фіксуватися така помилка:

  Ідентифікатор події: 2042
  Джерело: реплікація NTDS
  Тип: помилка
  Опис: минуло забагато часу з моменту останньої реплікації цього комп’ютера з іменованим вихідним комп’ютером. Час між реплікаціями з цим джерелом перевищив час життя для позначки видалення. Реплікацію із джерелом зупинено.

  Якщо реплікація не відбувається, може виникнути невідповідність між вмістом баз даних Active Directory на контролерах домену в лісі. Ця невідповідність виникає через те, що інформація про видалення зберігається протягом певної кількості днів, яку визначає час життя позначки видалення. Контролери домену, що транзитивно не виконують реплікацію змін у службі Active Directory протягом часу життя позначки видалення, викликають появу застарілих об’єктів. Застарілі об’єкти – це об’єкти, видалені адміністратором, службою або операційною системою, які продовжують помилково існувати на тих контролерах домену, що вчасно не виконали реплікацію. Очищення від застарілих об’єктів може зайняти багато часу, особливо в лісах із багатьма доменами та контролерами.
 • Коли контролер домену працює у віртуальному хостинг-середовищі, до відновлення образу операційної системи не призупиняйте роботу контролера домену на тривалий час. Призупинення контролера на тривалий час може припинити реплікації та спричинити появу застарілих об’єктів. У журналі служби каталогів може реєструватися наведена нижче помилка.

  Ідентифікатор події: 2042
  Джерело: реплікація NTDS
  Тип: помилка
  Опис: минуло забагато часу з моменту останньої реплікації цього комп’ютера з іменованим вихідним комп’ютером. Час між реплікаціями з цим джерелом перевищив час життя для позначки видалення. Реплікацію із джерелом зупинено.

 • Використовуючи контролер домену Active Directory, потрібно регулярно виконувати резервне копіювання стану системи, щоб уберегтися від проблем, які спричиняють користувачі, програмне забезпечення, обладнання або середовище. За промовчанням період експлуатації резервної копії стану системи зазвичай становить 60–180 днів, залежно від інстальованої версії операційної системи та пакету оновлень. У службі Active Directory атрибут часу життя контролює цей період нормальної експлуатації. У кожному домені лісу слід виконувати резервне копіювання принаймні одного контролера домену в кожний період, який відповідає часу життя для позначки видалення.

  У середовищі виробництва щоденно створюйте резервні копії стану системи із двох різних контролерів домену.
 • Віртуалізовані контролери домену у кластерних хостах
  Щоб на кластерному комп’ютері автоматично запускалися вузли, диски та інші ресурси, запити на автентифікацію на ньому має обслуговувати контролер домену кластерного комп’ютера.

  Щоб переконатися, що такий контролер домену існує під час запуску кластерної операційної системи, розгорніть принаймні два контролера у домені кластерного комп’ютера на фізичному обладнанні. Фізичні контролери домену мають залишатися онлайн і бути доступні кластерним хостам у мережі (у службі DNS з усіма потрібними портами та протоколами). Якщо єдиний контролер домену, який може обслужити запит на автентифікацію протягом запуску кластера, міститься на кластерному комп’ютері, що перезавантажується, може статися помилка запиту на автентифікацію, і відновити роботу кластера можна буде лише вручну.

  Віртуалізовані контролери домену можуть міститися у спільних томах кластера (CSV) та томах, які не використовують технологію CSV. Якщо запит на автентифікацію обслуговує не служба Active Directory, диски CSV не вдасться перевести в режим онлайн. Диски без спільних томів кластера можна перевести в режим онлайн без автентифікації. З цієї причини корпорація Майкрософт рекомендує розміщувати файли віртуалізованих контролерів домену на дисках, які не використовуються технологію CSV.

  Примітка. Завжди зберігайте принаймні один контролер домену на фізичному обладнанні, щоб запускати відмовостійкі кластери та іншу інфраструктуру. У разі розміщення контролерів домену на віртуальних машинах, які працюють під керуванням ОС Windows Server 2008 R2 або Hyper-V Server 2008 R2, варто зберігати файли віртуальної машини на кластерних дисках, не настроєних як диски CSV. Це спростить процес відновлення в разі певних несправностей. Якщо виникає неполадка на сайті або аварійне завершення роботи всього кластера, а контролер домену відсутній на фізичному обладнанні, кластер можна запустити завдяки збереженню файлів віртуальної машини на кластерному диску, який не використовує технологію CSV. У такому разі диски, потрібні для віртуальної машини, можна зробити доступними онлайн. Таким чином можна запустити віртуальну машину, на якій розміщено контролер домену. Далі можна перевести диски CSV в режим онлайн і запустити інші вузли. Цю операцію потрібно виконати, лише коли інші контролери домену недоступні на момент запуску кластера.

Технічна підтримка з питань, пов’язаних із контролерами домену Active Directory у віртуальному хостинг-середовищі

Докладні відомості про підтримку контролерів домену у віртуальних хостинг-середовищах корпорації Майкрософт і сторонніх розробників див. в такій статті бази знань Microsoft:
897615 Політика підтримки для програмного забезпечення Microsoft, яке працює в середовищі віртуалізації обладнання інших розробників (може бути англійською мовою)
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Властивості

Ідентифікатор статті: 888794 – останній перегляд: 02/29/2012 14:57:00 – виправлення: 1.0

Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

 • kbinfo kbhowto KB888794
Зворотний зв’язок