在虛擬主控環境中裝載 Active Directory 域控制器時要考慮的事項

本文說明影響以 Windows Server 為基礎的域控制器 (DC) 在虛擬主機環境中以客體 OS 執行的問題。 它也會討論DC在虛擬主控環境中執行時要考慮的事項。

適用於： Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 編號： 888794

摘要

虛擬主機環境可讓您同時在單一主計算機上執行多個客體作業系統。 主機軟體會虛擬化下列資源：

• CPU
• 記憶體
• 磁碟
• 網路
• 本機裝置

藉由在實體計算機上虛擬化這些資源，主機軟體可讓您使用較少的計算機來部署作業系統以進行測試和開發，以及在生產角色中部署。 某些限制適用於在虛擬主控環境中執行的 Active Directory DC。 這些限制不適用於在實體計算機上執行的DC。

本文討論 Windows Server 型 DC 在虛擬主控環境中執行時要考慮的事項。 虛擬主控環境包括：

• 使用 Hyper-V 的 Windows Server 虛擬化。
• 虛擬化產品的 VMware 系列。
• 新奇的虛擬化產品系列。
• Citrix 系列的虛擬化產品。
• 伺服器虛擬化驗證計劃中 Hypervisor 清單上的任何產品 (SVVP) 。

如需虛擬化DC目前系統健全性和安全性狀態的詳細資訊，請參閱下列文章：

使用 Hyper-V 將域控制器虛擬化。

虛擬化域控制器一文提供適用於所有設定的一般建議。 該文章中所述的許多考慮也適用於第三方虛擬化主機。 其中可能包含您所使用之 Hypervisor 專屬的建議和設定，包括：

• 如何設定 DC 的時間同步處理。
• 如何管理磁碟區以取得數據完整性。
• 如何在還原或移轉案例中利用世代標識碼支援。
• 如何管理虛擬機主機上 RAM 和處理器核心的配置和效能。

本文藉由提供不在虛擬化域控制器一文範圍內的更多提示和考慮，來補充虛擬化域控制器一文。

在虛擬主機環境中裝載DC角色時要考慮的事項

當您在實體計算機上部署 Active Directory DC 時，必須滿足整個 DC 生命週期的特定需求。 在虛擬主控環境中部署DC會新增某些需求和考慮，包括：

• 如果發生電源中斷或其他失敗，Active Directory 服務有助於保留 Active Directory 資料庫的完整性。 若要這樣做，服務會執行未緩衝的寫入，並嘗試在裝載 Active Directory 資料庫和記錄檔的磁碟區上停用磁碟寫入快取。 如果 Active Directory 安裝在虛擬主控環境中，也會嘗試以這種方式運作。

  如果虛擬裝載環境軟體正確支援 SCSI 模擬模式，而該模式支援 FUA) (強制單元存取，則此環境中 Active Directory 所執行的未緩衝寫入會傳遞至主機 OS。 如果不支援 FUA，您必須在裝載的客體 OS 的所有磁碟區上手動停用寫入快取：

  • Active Directory 資料庫
  • 記錄
  • 檢查點檔案

  注意事項

  • 您必須針對使用可延伸儲存引擎 (ESE) 作為其資料庫格式的所有元件停用寫入快取。 這些元件包括 Active Directory、檔案復寫服務 (FRS) 、Windows 因特網名稱服務 (WINS) ，以及動態主機配置協定 (DHCP) 。
  • 最佳做法是考慮在虛擬機主機上安裝不中斷的電源供應器。

• Active Directory DC 是要在安裝 Active Directory 模式後立即持續執行。 請勿長時間停止或暫停虛擬機。 DC 啟動時，必須進行Active Directory的複寫。 請確定所有 DC 都會根據網站連結和連接物件上定義的排程，在所有本機保留的 Active Directory 磁碟分區上執行輸入複寫。 特別適用於標記存留期屬性所指定的天數。

  如果未進行復寫，您可能會在樹系中的DC上遇到Active Directory 資料庫內容不一致的情況。 發生不一致的原因是，刪除的知識會持續存在標記存留期所定義的天數。 當 DC 未在這段天數內暫時完成 Active Directory 變更的輸入複寫時，物件會在 Active Directory 中遺留。 清除停留物件可能很耗時，特別是在包含許多DC的多網域樹系中。

• 若要從各種問題中復原，Active Directory DC 需要定期的系統狀態備份。 系統狀態備份的預設使用年限為 60 或 180 天。 這取決於安裝期間生效的OS版本和Service Pack修訂。 這個有用的生命週期是由Active Directory中的標記存留期屬性所控制。 樹系中每個網域中至少一個 DC 應該根據標記存留期中指定的天數定期備份。

  在生產環境中，您應該從兩個不同的DC進行每日系統狀態備份。

  注意事項

  當虛擬機主機擷取虛擬機的快照集時，客體OS不會偵測到此快照集作為備份。 當主機支援 Hyper-V 世代識別碼時，從快照集或複本啟動映像時，會變更此標識符。 根據預設，DC 會將自己視為從備份還原。

當您在叢集主機上裝載DC角色，或在虛擬主機環境中使用Active Directory作為後端時，需要考慮的事項

• 當您的 DC 在叢集主機伺服器上執行時，您會預期它們會容錯。 相同的預期也適用於不是來自 Microsoft 的虛擬伺服器部署。 不過，此假設中有一個問題：若要讓叢集主計算機上的節點、磁碟和其他資源自動啟動，來自計算機的驗證要求必須由計算機網域中的 DC 提供服務。 或者，叢集主機組態的一部分必須儲存在 Active Directory 中。

  若要確保可以在叢集系統啟動期間存取這類 DC，請在此叢集部署外部的獨立裝載解決方案上，將至少兩個 DC 部署到電腦的網域中。 您可以使用實體硬體或其他沒有 Active Directory 相依性的虛擬主機解決方案。 如需此案例的詳細資訊，請 參閱避免建立單一失敗點。

• 在不同的平臺上，這些 DC 應該保持在線狀態，並且在 DNS 中以及叢集主機) 的所有必要埠和通訊協定中，都可存取網路 (。 在某些情況下，唯一可以在叢集啟動期間服務驗證要求的DC，是在重新啟動的叢集主電腦上。 在此情況下，驗證要求會失敗，而且您必須手動復原叢集。

  注意事項

  請勿假設這種情況僅適用於 Hyper-V。 第三方虛擬化解決方案也可以使用 Active Directory 作為組態存放區，或在 VM 啟動或組態變更的特定步驟期間進行驗證。

在虛擬主控環境中支援 Active Directory DC

如需詳細資訊，請參閱 在非 Microsoft 硬體虛擬化軟體上執行的 Microsoft 軟體支持原則。