作为一家小型商店(约 10 台 PC),我们只有一台物理服务器。这台物理服务器运行以下两台虚拟机:
- 一个 AD 域控制器和
- 一台“生产服务器”(文件服务器、数据库服务器等)。
现在,所有最佳实践指南都告诉我,强烈建议拥有第二个 AD 域控制器(“备份 DC”)。
将它与主 DC 放在同一台物理机器上似乎毫无意义,所以我考虑将它作为虚拟机放在一台通常全天候运行的更强大的工作站上。由于它只是一个备份 DC,我会给它很少的 CPU/RAM 资源,所以它不会对用户造成太大影响。
这听起来是个好计划吗?或者我应该注意哪些陷阱?
答案1
我相信普遍的共识是“不”,尤其是当您计划将第二个 DC 作为具有工作站主机的 VM 托管时。
使用两个 DC 的原因在于,一个 DC 发生故障不会使您的网络陷入瘫痪,并且在更大的环境中可以提供更多资源来执行 DC 的任务。
如果您将其中一个 DC 作为虚拟机放置在服务器机柜中专用的虚拟机管理程序中,并且周围都是静态 IP,则不会严重损害系统的容错能力。Windows Server 2016 特别解决了虚拟环境中 DC 的许多问题,例如权威记录、备份和恢复等。
但是,如果将 DC 作为 VM 放置在工作站上,则 DC VM 依赖于主机的连接性,这会抵消冗余的大部分好处。
如果主物理 DC 发生故障,您的工作站主机将失去连接,因此备份 DC 也会失去连接:毫无价值。
您获得的唯一冗余是如果 VM DC 发生故障,在这种情况下物理 DC 将继续运行并满足网络需求。
换句话说:没有任何好处。
更新:一个选项
有了许可证,您只需花费一些硬件和一个 Windows Server 标准许可证的费用,就可以建立一个虚拟机管理程序(我建议使用 Nano?)并在其上运行 2 个 VM 服务器。将其中一个作为您的第二个 DC,将另一个作为标准服务提供服务器运行。
我认为这可以用少量的钱解决大部分问题。
- 您将获得两个在独立硬件上运行的 DC
- 您仅使用一个服务器许可证(考虑到您计划将其作为虚拟机安装在工作站上,我假设您已经拥有该许可证)
- 你在服务器级硬件上完成所有这些操作(这确实能让你晚上睡得更好)
- 您有一个可用的虚拟服务器,可用于升级/迁移/扩展/让人们开心/等等。
假设在其上运行的虚拟机管理程序和虚拟机都将是静态 IP 系统,网络中断不太可能影响它们。
服务器级虚拟机管理程序软件在修补后也不太可能需要重新启动(因此我推荐使用 Nano),这意味着虚拟机管理程序不需要像普通桌面那样频繁地重新启动。
这只是一个更好的全面解决方案,而且花费也不多。
答案2
我不喜欢这个想法。在工作站上,您将运行某种带有 Server 20xx 和 AD 角色的免费 Hypervisor。
你必须拥有一个独特的 Windows Server 20xx 许可证,您可以将其安装在该机器上,如果您要走那么远,我建议您购买专用机器或清理一些东西。
在您的情形下,AD 所需的资源非常少,因此配备 4GB RAM 和 120GB SATA HDD 的设备就可以了。我希望至少有 2 个核心。也许可以在拍卖网站上寻找二手服务器。
答案3
过去,我们在小型企业环境中做过类似的事情。在工作站中没有第二个 DC,而是安装了 Bust。我刚刚在那台计算机上安装了 Hyper-V 服务器并创建了我们的 PDC VM 的副本。在极少数情况下,当我们丢失了 PDC(物理虚拟机管理程序服务器有点不稳定)时,我们只需在第二台计算机上手动启动副本服务器即可。这可以通过 powershell 脚本和计划任务轻松调整以使其自动化。
这远非理想的解决方案,当 PDC 出现故障时,当我在办公网络之外(例如:在家)时,进入辅助机器启动副本非常痛苦(但可行),但它确实有效,然而我不推荐在生产环境中使用它。
后来这台工作站 PC 坏了,我懒得去修复它。在另一个虚拟机管理程序服务器上的新虚拟机中安装了第二个 DC。现在没人需要关心 PDC 的问题,第二个 DC 仍然完全正常,除非我们遇到网络问题,但 DC 不是我们最大的问题。
这也是一个可行的解决方案(至少对我们来说),但是如果您在 VM 上运行 DC 并且虚拟机管理程序是同一域的成员,则总是需要注意一些事情(尤其是时间同步)。
PS:我们在这个网络上不使用 DHCP,只使用静态地址。
答案4
建议在物理服务器上运行 DC,而不是在虚拟主机中。您可以将 ADC 保留在虚拟主机上
如果出现任何问题或需要重新启动虚拟机主机服务器。可能会出现域身份验证问题