In den Tagen vor Windows Server 2012 schien die Empfehlung zu lauten, mindestens einen physischen Domänencontroller neben Ihren virtualisierten Domänencontrollern zu haben.
Eine Rechtfertigung dafür war, dass Ihre Hyper-V-Hosts, wenn sie geclustert waren, einen Domänencontroller benötigten, um während des Startvorgangs erreichbar zu sein. Das macht total Sinn für mich.
Es kommt jedoch häufig vor, dass Leute sagen, es sei immer noch wichtig, einen physischen Domänencontroller zu haben, auch wenn Sie keinen Cluster-Setup haben (z. B. in einem einfachen Setup mit einem einzelnen Hyper-V-Server, auf dem mehrere VMs ausgeführt werden, einer) davon ist ein DC). Die Rechtfertigung dafür schien (und ich konnte mir nie sicher sein), dass Sie immer noch ein Problem in dem Sinne haben würden, dass beim ersten Start des Hyper-V-Hosts kein DC im Netzwerk vorhanden ist. Zwischengespeicherte Anmeldeinformationen bedeuten, dass Sie sich weiterhin anmelden können. Was ist mit all den Bits, die während des Startvorgangs auftreten und die bedeuten, dass ein Domänencontroller in der Nähe ist? Ist das eigentlich ein Problem? Gibt es tatsächlich Vorgänge, die möglicherweise nur ausgeführt werdenbeim booten wird das ein problem verursachen? Irgendwelche Gruppenrichtlinien zum Beispiel? Was ich grundsätzlich frage, ist, ob das physikalische DC-Argument nur dann wirklich Gültigkeit hat, wenn es um Clustering geht, oder ob es (vor 2012) einen signifikanten technischen Fall ohne Clustering gab. Dieser Artikel von Altaro (siehe "Der Henne-Ei-Mythos") wird darauf hingewiesen, dass dies nicht erforderlich ist, aber ich bin mir immer noch nicht sicher.
Nun zum zweiten (und wichtigsten) Teil meiner Frage:
Mit Windows Server 2012 wurden verschiedene Funktionen eingeführt, mit denen die Probleme bei der Virtualisierung von Domänencontrollern behoben werden sollen.
- VM-Generations-ID - Hiermit wurde das USN-Rollback-Problem behoben, das bedeutete, dass Snapshots (oder genauer gesagt, Rollbacks auf Snapshots) nicht unterstützt wurden / eine wirklich schlechte Idee waren
- Cluster-Bootstrapping - Damit wurde das oben erwähnte Problem des Failover- . Beim Failover-Clustering muss während des Startvorgangs kein DC mehr vorhanden sein.
Meine zweite Frage ist also ähnlich wie die erste, aber diesmal für 2012+. Angenommen, sowohl der vDC als auch der Host sind 2012+ und Sie nehmen das Clustering aus der Gleichung heraus. Gibt es weitere Probleme wie die oben genannten, die bedeuten, dass ich immer noch einen physischen DC in Betracht ziehen sollte? Sollte ich weiterhin in Betracht ziehen, einen physischen Domänencontroller neben meinem einzelnen, nicht gruppierten 2012 / 2012R2-Hyper-V-Host zu haben, auf dem sich ein einzelner virtualisierter Domänencontroller befindet? Ich habe gehört, dass einige Leute AD auf dem Hyper-V-Host vorschlagen, aber mir gefällt diese Idee aus verschiedenen Gründen nicht (der WB-Cache ist zu Beginn deaktiviert).
Als Randnotiz geht meine Frage implizit davon aus, dass es sinnvoll ist, Ihren Hyper-V-Host der Domäne hinzuzufügen, um die Verwaltbarkeit zu verbessern. Hält diese Behauptung einer Prüfung stand?
AKTUALISIEREN:
Nachdem ich einige Antworten gelesen hatte, kam mir der Gedanke, dass ich die Dinge etwas anders formulieren könnte, um das, was ich frage, auf den Punkt zu bringen:
Selbst mit den Verbesserungen in 2012 und später bleibt die Tatsache bestehen, dass der Host ohne physische DCs oder virtuelle DCs auf einem anderen Host immer noch startet, wenn kein DC verfügbar ist. Ist das eigentlich ein Problem? In gewisser Hinsicht ist es wahrscheinlich die gleiche (oder eine sehr ähnliche) Frage, wenn Sie die Virtualisierung vollständig aus dem Bild entfernen. Wenn Sie Mitgliedsserver regelmäßig vor Domänencontrollern starten, ist dies ein Problem?
Antworten:
Auch ich würde den Hyper-V-Host nicht zu einem DC machen.
In Bezug auf die Frage, ob Sie einen physischen Domänencontroller haben sollten oder nicht, bin ich der Meinung, dass ich mit den Änderungen, die Microsoft in Bezug auf virtualisierte Domänencontroller im Allgemeinen und Cluster-Bootstrapping ohne Domänencontroller im Besonderen vorgenommen hat, die Notwendigkeit weder persönlich sehe noch befürworte mit einem physischen DC. Die Aufrechterhaltung eines physischen DC scheint der Art der Verlagerung Ihrer Infrastruktur auf eine Virtualisierungsplattform zu widersprechen. Meine gesamte Infrastruktur virtualisieren, aber alles hängt davon ab, ob ein einziger physischer DC verfügbar ist? Was hat das zu bedeuten?
Es gibt Möglichkeiten, Ihre "Gefährdung" zu begrenzen, während Sie Ihre Domänencontroller weiterhin virtualisieren. Eine Möglichkeit besteht darin, mehrere Domänencontroller auf verschiedenen Hosts in Ihrem Cluster bereitzustellen und diese im Falle eines Hostfehlers mithilfe der Anti-Affinität voneinander zu trennen (abhängig von der Anzahl der Hosts im Cluster).
Während Gregs Antwort einen Link zu einigen MS-Empfehlungen enthält, ist dieser Artikel dennoch zwei Jahre alt und befasst sich mit Windows Server 2008 und 2008 R2. Ich würde diesen Artikel nicht als die aktuelle Best Practice in Bezug auf Windows Server 2012 und 2012 R2 betrachten. Ich kann kein offizielles MS-Dokument finden, aber dieser Typ gilt als führende Autorität in Hyper-V - http://www.aidanfinn.com/?p=13171
quelle
Ein Grund für die Beibehaltung eines physischen Domänencontrollers pro Domäne ist, dass Sie mindestens einen physischen Domänencontroller mit lokalem Speicher haben, um eine Wiederherstellung durchzuführen und die Kontinuität aufrechtzuerhalten, wenn ein schwerwiegender Vorfall den Host beeinträchtigt oder den Frame-Speicher für die virtualisierten Domänencontroller in den Papierkorb legt. Microsoft führt diese Überprüfung weiterhin durch und gibt diese Empfehlung bei Active Directory-RAPs (Risikobewertung und -planung) ab.
https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx
"Verwalten Sie physische Domänencontroller in jeder Ihrer Domänen. Dadurch wird das Risiko einer Funktionsstörung der Virtualisierungsplattform verringert, die alle Hostsysteme betrifft, die diese Plattform verwenden."
quelle
Ich habe das Gefühl, dass Sie nach einer einzeiligen Antwort suchen. Hier ist sie:
Wir könnten uns mit den Besonderheiten und Ausnahmen der einzelnen Szenarien befassen, aber ich denke, das ist die Wurzel der Frage.
quelle
Nehmen wir die Gleichung in Gruppen und konzentrieren uns auf die eine Zeile in Ihrer Frage, die mich erschaudern lässt.
Warum, warum, warum möchtest du einen einzelnen DC? In jeder Umgebung versuchen wir zu vermeiden, dass einzelne Fehlerquellen für eine bestimmte Infrastruktur auftreten. DCs sind Ihr Brot und Butter - sie bieten DNS, das Rückgrat von Active Directory. Im Ernst, bauen Sie einen Windows 7-Desktop-PC auf 2008R2 neu auf und bewerben Sie ihn. Es gibt immer ein starkes Argument für einen physischen Gleichstrom.
Hyper-V mit AD DS? Nein einfach nein. Erstens unterstützt Microsoft dies nicht. Zweitens wird der Umgang mit Backups, wie Sie bereits erwähnt haben, zu einem Problem, das von Ihrer Festplattenkonfiguration abhängt. Ganz zu schweigen von der Schönheit der Virtualisierung: Die Möglichkeit, physische Hosts so schnell wie möglich aus dem Verkehr zu ziehen (und ich schätze, dass DCPROMO (abhängig von der Größe Ihrer Umgebung) kein großes Problem ist), und das Hosten von AD DS ist nur kompliziert Angelegenheiten. Sie führen auch eine andere Windows-Zeitkomplexität ein.
Persönlich lasse ich meine eigenständigen Hyper-V-Hosts von der Domäne entfernt, aber in Wirklichkeit habe ich für keine der beiden Konfigurationen ein echtes Argument.
quelle
Zur Beantwortung der letzten Frage, ob dies tatsächlich jemals ein Problem ist: Ich habe festgestellt, dass meine Hyper-V-Hosts mit aktiviertem RDP, die jedoch NLA erfordern, RDP erst nach einem Neustart des Network Location Awareness-Dienstes zulassen, wenn es keinen gibt Gleich auf, wenn es hochfährt. Ich hatte gelegentlich Probleme mit der Remoteverbindung zu VMMS an diesen Punkten, aber nur, wenn auch etwas anderes defekt war. Wenn Sie kein RDP verwenden oder keine Remoteverbindung zu Hyper-V Manager herstellen können, ist es wirklich schwierig, Fehler zu ermitteln und Fehler zu beheben. Das Halten eines physischen Gleichstroms hat verhindert, dass mir dies zu irgendeinem Zeitpunkt passiert.
quelle