我有一个需求,我有一个虚拟域控制器,我必须将其迁移到不同位置的另一个虚拟服务器。出于测试目的,测试 DR 方案,如果使用生产 DC 进行身份验证的用户可以在备份 DC 中进行身份验证,则测试将被视为成功。我对此不太了解,因此不知道为什么将它分配给我。所以任何帮助都将不胜感激。我的想法是:
- 对生产服务器进行快照,然后在另一台服务器上恢复。但有人告诉我这不是建议的做法。我也没被告知原因。对吗?如果要进行快照,那么最好的做法是什么?关于在哪里可以找到这方面的文档,您有什么想法吗?
- 另一种方法是从头开始构建测试 DC,将其与生产 DC 的规格相匹配,然后执行 DR 测试。这是一个更好的选择吗?执行此类活动需要什么?我在哪里可以找到相关文档?
我很抱歉这个问题问得太长了。正如我所说,我是个新手,希望能得到更好的解决方案。任何帮助都将不胜感激。
答案1
对于域控制器来说:始终移动,永不复制。
- 关闭虚拟机。
- 将磁盘文件(.vmdk 或其他)移动至其他虚拟服务器。
- 在新服务器上启动虚拟机。
在开始之前,我建议您阅读 Microsoft 的知识库文章:在虚拟托管环境中托管 Active Directory 域控制器时需要考虑的事项。
话虽如此,您的帖子还是引起了不少警觉。听起来您的正常职责不包括系统管理,因此您被分配到灾难恢复演习中,这令人非常困惑。这种经验对于那些在灾难真正发生时负责的人来说更有用。
您是否已经是此 DC 上的域管理员组的成员?如果不是,这可能被视为相当广泛的安全漏洞。通常认为这是非常糟糕的事情让非管理员能够物理访问 DC。或者在本例中,访问托管 DC 的虚拟机管理程序。有关原因,请参阅 TechNet 博客文章域控制器的物理安全。
这个 DC 目前是用户所依赖的生产网络的一部分吗,还是专门为 DR 测试而设置的?移动后,它是否会继续参与同一个域,还是会被隔离?您说如果用户能够进行身份验证,测试将被视为成功,这听起来好像这一切都发生在生产网络中,坦率地说,这很可怕。
假设 DC 是生产网络的一部分,您可能需要将其移回最初托管它的原始服务器。遵循完全相同的过程,并确保不会留下过时的磁盘映像,因为这些磁盘映像在以后启动时可能会导致问题。
在组织域控制器的移动时,尤其谈到虚拟化域控制器时,仔细规划并第一次就做好是至关重要的。有很多事情可能会出错。
如果这超出了您的正常职责,并且没有为您提供任何指导或支持,我建议向上级询问,以确保您确实应该这样做。