Sollte ich auch nach Server 2012 noch einen physischen DC haben?

30

In den Tagen vor Windows Server 2012 schien die Empfehlung zu lauten, mindestens einen physischen Domänencontroller neben Ihren virtualisierten Domänencontrollern zu haben.

Eine Rechtfertigung dafür war, dass Ihre Hyper-V-Hosts, wenn sie geclustert waren, einen Domänencontroller benötigten, um während des Startvorgangs erreichbar zu sein. Das macht total Sinn für mich.

Es kommt jedoch häufig vor, dass Leute sagen, es sei immer noch wichtig, einen physischen Domänencontroller zu haben, auch wenn Sie keinen Cluster-Setup haben (z. B. in einem einfachen Setup mit einem einzelnen Hyper-V-Server, auf dem mehrere VMs ausgeführt werden, einer) davon ist ein DC). Die Rechtfertigung dafür schien (und ich konnte mir nie sicher sein), dass Sie immer noch ein Problem in dem Sinne haben würden, dass beim ersten Start des Hyper-V-Hosts kein DC im Netzwerk vorhanden ist. Zwischengespeicherte Anmeldeinformationen bedeuten, dass Sie sich weiterhin anmelden können. Was ist mit all den Bits, die während des Startvorgangs auftreten und die bedeuten, dass ein Domänencontroller in der Nähe ist? Ist das eigentlich ein Problem? Gibt es tatsächlich Vorgänge, die möglicherweise nur ausgeführt werdenbeim booten wird das ein problem verursachen? Irgendwelche Gruppenrichtlinien zum Beispiel? Was ich grundsätzlich frage, ist, ob das physikalische DC-Argument nur dann wirklich Gültigkeit hat, wenn es um Clustering geht, oder ob es (vor 2012) einen signifikanten technischen Fall ohne Clustering gab. Dieser Artikel von Altaro (siehe "Der Henne-Ei-Mythos") wird darauf hingewiesen, dass dies nicht erforderlich ist, aber ich bin mir immer noch nicht sicher.

Nun zum zweiten (und wichtigsten) Teil meiner Frage:

Mit Windows Server 2012 wurden verschiedene Funktionen eingeführt, mit denen die Probleme bei der Virtualisierung von Domänencontrollern behoben werden sollen.

  1. VM-Generations-ID - Hiermit wurde das USN-Rollback-Problem behoben, das bedeutete, dass Snapshots (oder genauer gesagt, Rollbacks auf Snapshots) nicht unterstützt wurden / eine wirklich schlechte Idee waren
  2. Cluster-Bootstrapping - Damit wurde das oben erwähnte Problem des Failover- . Beim Failover-Clustering muss während des Startvorgangs kein DC mehr vorhanden sein.

Meine zweite Frage ist also ähnlich wie die erste, aber diesmal für 2012+. Angenommen, sowohl der vDC als auch der Host sind 2012+ und Sie nehmen das Clustering aus der Gleichung heraus. Gibt es weitere Probleme wie die oben genannten, die bedeuten, dass ich immer noch einen physischen DC in Betracht ziehen sollte? Sollte ich weiterhin in Betracht ziehen, einen physischen Domänencontroller neben meinem einzelnen, nicht gruppierten 2012 / 2012R2-Hyper-V-Host zu haben, auf dem sich ein einzelner virtualisierter Domänencontroller befindet? Ich habe gehört, dass einige Leute AD auf dem Hyper-V-Host vorschlagen, aber mir gefällt diese Idee aus verschiedenen Gründen nicht (der WB-Cache ist zu Beginn deaktiviert).

Als Randnotiz geht meine Frage implizit davon aus, dass es sinnvoll ist, Ihren Hyper-V-Host der Domäne hinzuzufügen, um die Verwaltbarkeit zu verbessern. Hält diese Behauptung einer Prüfung stand?

AKTUALISIEREN:

Nachdem ich einige Antworten gelesen hatte, kam mir der Gedanke, dass ich die Dinge etwas anders formulieren könnte, um das, was ich frage, auf den Punkt zu bringen:

Selbst mit den Verbesserungen in 2012 und später bleibt die Tatsache bestehen, dass der Host ohne physische DCs oder virtuelle DCs auf einem anderen Host immer noch startet, wenn kein DC verfügbar ist. Ist das eigentlich ein Problem? In gewisser Hinsicht ist es wahrscheinlich die gleiche (oder eine sehr ähnliche) Frage, wenn Sie die Virtualisierung vollständig aus dem Bild entfernen. Wenn Sie Mitgliedsserver regelmäßig vor Domänencontrollern starten, ist dies ein Problem?

active-directory windows-server-2012 hyper-v windows-server-2012-r2 dbr
quelle
4
Persönlich würde ich niemals AD auf Ihrem Hyper-V-Host installieren. Nehmen Sie für den Moment alles Clusterbezogene aus der Situation. Sie verlieren Ihren einzigen virtuellen Domänencontroller - Sie verlieren Ihre einzige DNS-Quelle.
PnP

Antworten:

11

Auch ich würde den Hyper-V-Host nicht zu einem DC machen.

In Bezug auf die Frage, ob Sie einen physischen Domänencontroller haben sollten oder nicht, bin ich der Meinung, dass ich mit den Änderungen, die Microsoft in Bezug auf virtualisierte Domänencontroller im Allgemeinen und Cluster-Bootstrapping ohne Domänencontroller im Besonderen vorgenommen hat, die Notwendigkeit weder persönlich sehe noch befürworte mit einem physischen DC. Die Aufrechterhaltung eines physischen DC scheint der Art der Verlagerung Ihrer Infrastruktur auf eine Virtualisierungsplattform zu widersprechen. Meine gesamte Infrastruktur virtualisieren, aber alles hängt davon ab, ob ein einziger physischer DC verfügbar ist? Was hat das zu bedeuten?

Es gibt Möglichkeiten, Ihre "Gefährdung" zu begrenzen, während Sie Ihre Domänencontroller weiterhin virtualisieren. Eine Möglichkeit besteht darin, mehrere Domänencontroller auf verschiedenen Hosts in Ihrem Cluster bereitzustellen und diese im Falle eines Hostfehlers mithilfe der Anti-Affinität voneinander zu trennen (abhängig von der Anzahl der Hosts im Cluster).

Während Gregs Antwort einen Link zu einigen MS-Empfehlungen enthält, ist dieser Artikel dennoch zwei Jahre alt und befasst sich mit Windows Server 2008 und 2008 R2. Ich würde diesen Artikel nicht als die aktuelle Best Practice in Bezug auf Windows Server 2012 und 2012 R2 betrachten. Ich kann kein offizielles MS-Dokument finden, aber dieser Typ gilt als führende Autorität in Hyper-V - http://www.aidanfinn.com/?p=13171

Joeqwerty
quelle
Vielen Dank, Joe. Ich habe vor einiger Zeit tatsächlich Aidans Artikel gelesen, der meine Frage teilweise informierte. Was mir auffällt, ist, dass es logischerweise keinen Fall für einen physischen DC vor 2012 gab, es sei denn, Sie haben eine Cluster-Umgebung ausgeführt (abgesehen davon, dass Sie das Setup möglicherweise auf "Cluster-Bereit" eingestellt haben). Aus diesem Grund habe ich den anderen Teil über Menschen hinzugefügt, die die Notwendigkeit eines pDC auch ohne Clustering noch rechtfertigen. Dies scheint sich seit 2012 nicht geändert zu haben.
dbr
Würden Sie meinem obigen Kommentar zustimmen, dass sich die Situation zwischen 2008 und 2012 nicht wirklich geändert hat, wenn Sie das Clustering-Problem beseitigen?
Dbr
@dbr Ich würde nur zu Joses Antwort hinzufügen, dass ich für ein hyper-v (nicht xen oder esx) das hyper-v mmc vorher testen würde. Wie es mir passierte, brauchte ein toter Host mit dem DC darauf und dem Hyperv-MMC eine lebendige AD, um sich zu öffnen. Ich steckte fest, auch wenn ich als Domänenadministrator mit dem zwischengespeicherten Berechtigungsnachweis angemeldet war. Könnte mit dem neuesten Update behoben werden, aber es ist eine wichtige Tatsache. (im gegensatz zu esx, das eingebaute benutzer verwenden kann, da sie immer noch vsphere oder vcenter öffnen können)
yagmoth555 - GoFundMe Monica
Sie möchten lediglich weitere Möglichkeiten hinzufügen, um die Ausfallsicherheit zu verbessern: Sie können mehr als einen Virtualisierungshostcluster (entweder am selben Standort oder an anderen Standorten) und / oder ein VPN für Azure erstellen (oder AWS - Azure bietet einige Vorteile für MS-Shops) ein oder zwei DC da oben.
Todd Wilcox
18

Ein Grund für die Beibehaltung eines physischen Domänencontrollers pro Domäne ist, dass Sie mindestens einen physischen Domänencontroller mit lokalem Speicher haben, um eine Wiederherstellung durchzuführen und die Kontinuität aufrechtzuerhalten, wenn ein schwerwiegender Vorfall den Host beeinträchtigt oder den Frame-Speicher für die virtualisierten Domänencontroller in den Papierkorb legt. Microsoft führt diese Überprüfung weiterhin durch und gibt diese Empfehlung bei Active Directory-RAPs (Risikobewertung und -planung) ab.

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx

"Verwalten Sie physische Domänencontroller in jeder Ihrer Domänen. Dadurch wird das Risiko einer Funktionsstörung der Virtualisierungsplattform verringert, die alle Hostsysteme betrifft, die diese Plattform verwenden."

Greg Askew
quelle
2
Ich bin mir jedoch nicht sicher, ob das sinnvoll ist - siehe zum Beispiel, ich kenne ein Unternehmen, das zu 100% virtuell mit dem DC ist, und sie machen regelmäßige Backups und haben 3 DC auf 2 Kontinenten (2 in Europa, 1 in den USA) .... schwer sich hier etwas vorzustellen, das auf eine Weise weht, die Dinge nicht wiederherstellbar macht.
TomTom,
Ich denke, der Punkt, den sie anstreben, ist, wenn es eine Art von Problem gibt, das Hyper-V als Ganzes betrifft, werden Sie (vorübergehend) durcheinander gebracht, bis Sie einen DC wiederherstellen können, was bedeuten würde, einen pDC zu haben weniger störung. Ich bin mir jedoch nicht sicher, ob ich dem zustimmen würde, da Sie sowieso ziemlich durcheinander wären, wenn es ein Hyper-V-weites Ausfallproblem gäbe!
Dienstag,
1
Schön und gut gelaunt, aber wieder völlig irrelevant, AUSSER, Sie haben einen wesentlichen Teil Ihrer Infrastruktur von Hyper-V aus. DCs funktionieren, aber Dateifreigaben, Sharepoint, Austausch, Drucken und alle anderen Dinge sind inaktiv - das heißt, ich kümmere mich eher nicht darum, dass der DC wieder in Betrieb ist beide Seiten (Hyper-V und physisch).
TomTom,
@TomTom Das ist, was ich mit meinem Kommentar "Du wärst sowieso ziemlich beschissen" vermieden habe :) Ich ging davon aus, dass sowieso fast alles andere virtualisiert werden würde.
dbr
Das Unternehmen, für das ich arbeite, ist auch für die AD-Infrastruktur vollständig virtuell. Und das schon seit W2K3. Wir verwenden HyperV: ESX jedoch nicht vollständig. 2 separate Gruppen von ESX-Cluster-Infrastrukturen auf jedem Kontinent. Jede Domäne verfügt (mindestens) über 3 Domänencontroller: 1 Domänencontroller auf einem anderen Kontinent und 1 Domänencontroller in jeder der 2 ESX-Umgebungen auf dem "Heimatkontinent".
Tonny
10

Ich habe das Gefühl, dass Sie nach einer einzeiligen Antwort suchen. Hier ist sie:

Sie sollten über einen physischen Domänencontroller verfügen, wenn Sie der Fähigkeit Ihrer virtuellen Umgebung, einem Ausfall standzuhalten, nicht vertrauen.

Wir könnten uns mit den Besonderheiten und Ausnahmen der einzelnen Szenarien befassen, aber ich denke, das ist die Wurzel der Frage.

blaughw
quelle
3

Nehmen wir die Gleichung in Gruppen und konzentrieren uns auf die eine Zeile in Ihrer Frage, die mich erschaudern lässt.

Sollte ich weiterhin in Betracht ziehen, einen physischen Domänencontroller neben meinem einzelnen, nicht gruppierten 2012 / 2012R2-Hyper-V-Host zu haben, auf dem sich ein einzelner virtualisierter Domänencontroller befindet ?

Warum, warum, warum möchtest du einen einzelnen DC? In jeder Umgebung versuchen wir zu vermeiden, dass einzelne Fehlerquellen für eine bestimmte Infrastruktur auftreten. DCs sind Ihr Brot und Butter - sie bieten DNS, das Rückgrat von Active Directory. Im Ernst, bauen Sie einen Windows 7-Desktop-PC auf 2008R2 neu auf und bewerben Sie ihn. Es gibt immer ein starkes Argument für einen physischen Gleichstrom.

Hyper-V mit AD DS? Nein einfach nein. Erstens unterstützt Microsoft dies nicht. Zweitens wird der Umgang mit Backups, wie Sie bereits erwähnt haben, zu einem Problem, das von Ihrer Festplattenkonfiguration abhängt. Ganz zu schweigen von der Schönheit der Virtualisierung: Die Möglichkeit, physische Hosts so schnell wie möglich aus dem Verkehr zu ziehen (und ich schätze, dass DCPROMO (abhängig von der Größe Ihrer Umgebung) kein großes Problem ist), und das Hosten von AD DS ist nur kompliziert Angelegenheiten. Sie führen auch eine andere Windows-Zeitkomplexität ein.

Persönlich lasse ich meine eigenständigen Hyper-V-Hosts von der Domäne entfernt, aber in Wirklichkeit habe ich für keine der beiden Konfigurationen ein echtes Argument.

PnP
quelle
3
Der Großteil Ihrer Antwort ist unnötig kritisch, indem Sie Punkte formulieren, die völlig gültig sind, aber nichts mit der Frage zu tun haben. Natürlich sind mehrere DCs fast immer ein Muss - der angegebene Teil wird verwendet, um einen Punkt / eine Frage zu veranschaulichen. Die HV + AD-Combo ist wieder nur eine Randnotiz, und ich glaube, ich war mir ziemlich sicher, dass ich auch kein Liebhaber der Combo bin.
Dienstag,
2
Wenn es "immer ein starkes Argument für einen physischen DC gibt". [vs. ein zweites vDC zum Beispiel] - könnten Sie diesen Fall erklären? Das ist wirklich meine Frage.
Dienstag,
1

Zur Beantwortung der letzten Frage, ob dies tatsächlich jemals ein Problem ist: Ich habe festgestellt, dass meine Hyper-V-Hosts mit aktiviertem RDP, die jedoch NLA erfordern, RDP erst nach einem Neustart des Network Location Awareness-Dienstes zulassen, wenn es keinen gibt Gleich auf, wenn es hochfährt. Ich hatte gelegentlich Probleme mit der Remoteverbindung zu VMMS an diesen Punkten, aber nur, wenn auch etwas anderes defekt war. Wenn Sie kein RDP verwenden oder keine Remoteverbindung zu Hyper-V Manager herstellen können, ist es wirklich schwierig, Fehler zu ermitteln und Fehler zu beheben. Das Halten eines physischen Gleichstroms hat verhindert, dass mir dies zu irgendeinem Zeitpunkt passiert.

RobbieCrash
quelle