Active Directory 虚拟化

Question 1

对于大多数环境来说，这不需要太多的服务器。即使是64 位双核机架式 Atom 服务器，在配置 4GB RAM 和一对 2.5 英寸 RAID1 硬盘的情况下，功耗为 25 瓦，成本不到 500 美元，可以提供运行 Server 2008 R2 的非常实用的物理域控制器/DNS/DHCP 服务器。

始终维护物理域控制器的主要实际好处是防止在更新/升级、断电等后重新启动虚拟化环境时出现“冷启动”问题。如果您使用 Hyper-V 服务器作为虚拟化主机，这一点尤其重要，因为这些机器将期望能够在启动时找到域控制器。

Answer

对于大多数环境来说，这不需要太多的服务器。即使是64 位双核机架式 Atom 服务器，在配置 4GB RAM 和一对 2.5 英寸 RAID1 硬盘的情况下，功耗为 25 瓦，成本不到 500 美元，可以提供运行 Server 2008 R2 的非常实用的物理域控制器/DNS/DHCP 服务器。

始终维护物理域控制器的主要实际好处是防止在更新/升级、断电等后重新启动虚拟化环境时出现“冷启动”问题。如果您使用 Hyper-V 服务器作为虚拟化主机，这一点尤其重要，因为这些机器将期望能够在启动时找到域控制器。

Question 2

我所看到的虚拟化 Active Directory (DC) 域控制器 (DC) 计算机的主要问题与时间同步问题有关。AD 非常依赖于 DC 之间的良好时间同步，因此请确保您的虚拟机管理程序按照制造商的规范进行配置，以允许客户虚拟机具有可靠的时间同步。

除了时间同步之外，我没有任何使用虚拟化 DC 的不良体验需要报告。不要对它们做任何你不会对物理域控制器做的事情。确保你没有使用快照等功能回滚 DC VM，因为这可能会导致数据库复制问题（相当于恢复物理 DC 的旧备份）。不要克隆 DC VM（相当于对物理 DC 进行磁盘映像）。

编辑：

我强烈建议至少保留一个物理 DC，以呼应 @MilesErickson 的回答。我甚至可以说，您需要在托管服务器计算机的每个位置都保留一个物理 DC，以便在 WAN 连接中断时让这些机器能够“冷启动”。

Answer

我所看到的虚拟化 Active Directory (DC) 域控制器 (DC) 计算机的主要问题与时间同步问题有关。AD 非常依赖于 DC 之间的良好时间同步，因此请确保您的虚拟机管理程序按照制造商的规范进行配置，以允许客户虚拟机具有可靠的时间同步。

除了时间同步之外，我没有任何使用虚拟化 DC 的不良体验需要报告。不要对它们做任何你不会对物理域控制器做的事情。确保你没有使用快照等功能回滚 DC VM，因为这可能会导致数据库复制问题（相当于恢复物理 DC 的旧备份）。不要克隆 DC VM（相当于对物理 DC 进行磁盘映像）。

编辑：

我强烈建议至少保留一个物理 DC，以呼应 @MilesErickson 的回答。我甚至可以说，您需要在托管服务器计算机的每个位置都保留一个物理 DC，以便在 WAN 连接中断时让这些机器能够“冷启动”。

Question 3

不久前，我们为 AD/Server 2003 虚拟化了域控制器。它运行良好，但当其中一台机器启动了旧版本的 VM 而不是最新版本时除外。这导致了一个严重的问题 - 并导致 AD 服务器停止复制和信任其他服务器。

我后来发现触发的是 USN 回滚 - 修复起来非常不愉快。 http://support.microsoft.com/kb/885875

我能够解决问题，我们继续虚拟化。但是 - 这次我有一个现成的备用虚拟机，如果域控制器主机发生故障，我只需将备用虚拟机作为新域控制器加入域即可 - 效果很好。

Answer

不久前，我们为 AD/Server 2003 虚拟化了域控制器。它运行良好，但当其中一台机器启动了旧版本的 VM 而不是最新版本时除外。这导致了一个严重的问题 - 并导致 AD 服务器停止复制和信任其他服务器。

我后来发现触发的是 USN 回滚 - 修复起来非常不愉快。 http://support.microsoft.com/kb/885875

我能够解决问题，我们继续虚拟化。但是 - 这次我有一个现成的备用虚拟机，如果域控制器主机发生故障，我只需将备用虚拟机作为新域控制器加入域即可 - 效果很好。

相关内容