有一篇 Microsoft KB 文章讨论了在 VM 上运行 DC 的最佳实践。其中一条注释是“不要在运行域控制器的虚拟机上使用导出功能”。要导出 VM,需要关闭 VM。如果您关闭 DC VM,将其导出,将其导入另一台服务器,然后重新打开 VM,只要原始(导出的)VM 从未重新打开,就不会有风险。有人能向我解释为什么不支持此功能吗?在 Google 上搜索后,我发现的网站只是重复了 KB 文章中的这一行,但没有提供任何解释为什么不支持此功能。
答案1
问题的核心在于每个域控制器如何由域唯一标识,以及如何通过系统复制域信息。
至关重要的是:
A) 每个域控制器始终保留其自己的唯一 ID,且不会改变。克隆 DC 或更改其 SID 的操作将破坏此设置。
B) 新的 DC 只能通过 DCPROMO 过程添加到域中。域依赖于此过程添加到域中的信息来识别网络上的 DC。任何使看似有效 DC 的机器联机但尚未在域中唯一提升的操作都会引起各种麻烦。
C) DC 永远不会恢复到时间倒退的某个点。因此没有快照等。这是因为域依赖于递增的票号类型系统来识别对域的更改。恢复到先前状态的 DC 将具有较低的票号 ID,而域则具有较高的票号 ID。这会让您陷入 Grizly 描述的 USN 回滚场景。
总结一下:运行虚拟 DC 是可能的,但您必须格外小心,不要执行违反 DC 操作要求的 VM 操作。
答案2
我想我找到了你提到的知识库,http://technet.microsoft.com/sv-se/library/dd348452%28WS.10%29.aspx
所有这些建议都是为了帮助避免更新序列号(USN)回滚的可能性。
USN信息:http://technet.microsoft.com/sv-se/library/dd348479%28WS.10%29.aspx