Saker att tänka på när du är värd för Active Directory-domänkontrollanter i virtuella värdmiljöer

Den här artikeln beskriver de problem som påverkar en Windows Server-baserad domänkontrollant (DC) som körs som ett gästoperativsystem i virtuella värdmiljöer. Den diskuterar också saker att tänka på när en domänkontrollant körs i en virtuell värdmiljö.

Ursprungligt KB-nummer: 888794

Sammanfattning

Med en virtuell värdmiljö kan du köra flera gästoperativsystem på en enda värddator samtidigt. Värdprogramvaran virtualiserar följande resurser:

• Processor
• Minne
• Disk
• Nätverk
• Lokala enheter

Genom att virtualisera dessa resurser på en fysisk dator kan du använda färre datorer för att distribuera operativsystem för testning och utveckling samt i produktionsroller. Vissa begränsningar gäller för en Active Directory-domänkontrollant som körs i en virtuell värdmiljö. Dessa begränsningar gäller inte för en domänkontrollant som körs på en fysisk dator.

I den här artikeln beskrivs saker att tänka på när en Windows Server-baserad domänkontrollant körs i en virtuell värdmiljö. Virtuella värdmiljöer omfattar:

• Windows Server Virtualization med Hyper-V.
• VMware-serien med virtualiseringsprodukter.
• Novell-serien med virtualiseringsprodukter.
• Citrix-serien med virtualiseringsprodukter.
• Alla produkter i hypervisor-listan i SVVP (Server Virtualization Validation Program ).

Mer information om den aktuella statusen för systemets robusthet och säkerhet för virtualiserade domänkontrollanter finns i följande artikel:

Virtualisera domänkontrollanter med Hyper-V.

Artikeln Virtualisera domänkontrollanter innehåller allmänna rekommendationer som gäller för alla konfigurationer. Många av de överväganden som beskrivs i den artikeln gäller även för virtualiseringsvärdar från tredje part. Det kan innehålla rekommendationer och inställningar som är specifika för hypervisor-programmet som du använder, inklusive:

• Så här konfigurerar du tidssynkronisering för domänkontrollanter.
• Hantera diskvolymer för dataintegritet.
• Så här drar du nytta av stöd för generations-ID i återställnings- eller migreringsscenarier.
• Hantera allokering och prestanda för RAM- och processorkärnor på den virtuella datorvärden.

Den här artikeln kompletterar artikeln Virtualisera domänkontrollanter genom att ge fler tips och överväganden som inte fanns i omfånget för artikeln Virtualisera domänkontrollanter.

Saker att tänka på när du är värd för DC-roller i en virtuell värdmiljö

När du distribuerar en Active Directory-domänkontrollant på en fysisk dator måste vissa krav uppfyllas under hela domänkontrollantens livscykel. Distributionen av en domänkontrollant i en virtuell värdmiljö lägger till vissa krav och överväganden, inklusive:

• Active Directory-tjänsten hjälper till att bevara Integriteten för Active Directory-databasen om en strömförlust eller något annat fel inträffar. För att göra det kör tjänsten obuffertade skrivningar och försöker inaktivera diskskrivningscacheminnet på de volymer som är värdar för Active Directory-databasen och loggfilerna. Active Directory försöker också fungera på det här sättet om det är installerat i en virtuell värdmiljö.

  Om programvaran för den virtuella värdmiljön har rätt stöd för ett SCSI-emuleringsläge som stöder åtkomst till tvingad enhet (FUA), skickas obuffertade skrivningar som utförs av Active Directory i den här miljön till värdoperativsystemet. Om FUA inte stöds måste du manuellt inaktivera skrivcachen på alla volymer i gästoperativsystemet som är värd för:

  • Active Directory-databasen
  • loggarna
  • kontrollpunktsfilen

  Kommentar

  • Du måste inaktivera skrivcachen för alla komponenter som använder Extensible Storage Engine (ESE) som databasformat. Dessa komponenter inkluderar Active Directory, Tjänsten för filreplikering (FRS), Windows Internet Name Service (WINS) och DHCP (Dynamic Host Configuration Protocol).
  • Som bästa praxis bör du överväga att installera avbrottsfria strömförsörjningar på virtuella datorvärdar.

• En Active Directory DC är avsedd att köra Active Directory-läge kontinuerligt så snart det har installerats. Stoppa eller pausa inte den virtuella datorn under en längre tid. När domänkontrollanten startar måste replikering av Active Directory ske. Kontrollera att alla domänkontrollanter utför inkommande replikering på alla lokalt lagrade Active Directory-partitioner enligt det schema som definieras på platslänkar och anslutningsobjekt. Det gäller särskilt för det antal dagar som anges av tombstone-livstidsattributet.

  Om replikeringen inte sker kan det uppstå inkonsekvent innehåll i Active Directory-databaser på domänkontrollanter i skogen. Inkonsekvensen uppstår eftersom kunskapen om borttagningar kvarstår under det antal dagar som definieras av tombstone-livslängden. När domänkontrollanter inte transitivt slutför inkommande replikering av Active Directory-ändringar inom det här antalet dagar dröjer objekt kvar i Active Directory. Att rensa kvardröjande objekt kan vara tidskrävande, särskilt i skogar med flera domäner som innehåller många domänkontrollanter.

• För att återställa från olika problem kräver en Active Directory-domänkontrollant regelbundna säkerhetskopieringar av systemtillstånd. Standardlivsgränsen för säkerhetskopiering av systemtillstånd är 60 eller 180 dagar. Det beror på operativsystemversionen och den service pack-revision som gäller under installationen. Den här livslängden styrs av attributet tombstone lifetime i Active Directory. Minst en domänkontrollant i varje domän i skogen bör säkerhetskopieras under en vanlig cykel, per det antal dagar som anges under tombstone-livslängden.

  I en produktionsmiljö bör du göra dagliga säkerhetskopieringar av systemtillstånd från två olika domänkontrollanter.

  Kommentar

  När den virtuella datorvärden tar en ögonblicksbild av en virtuell dator identifierar gästoperativsystemet inte den här ögonblicksbilden som en säkerhetskopia. När värden stöder Hyper-V-generations-ID:t ändras detta ID när avbildningen startas från en ögonblicksbild eller replik. Som standard skulle domänkontrollanten betrakta sig själv som återställd från en säkerhetskopia.

Saker att tänka på när du är värd för DC-roller på klustrade värdar eller när du använder Active Directory som serverdel i en virtuell värdmiljö

• När dina domänkontrollanter körs på klustrade värdservrar kan du förvänta dig att de är feltoleranta. Samma förväntningar gäller för distributioner av virtuella servrar som inte kommer från Microsoft. Det finns dock ett problem i det här antagandet: För att noderna, diskarna och andra resurser på en klustrad värddator ska kunna startas automatiskt måste autentiseringsbegäranden från datorn hanteras av en domänkontrollant i datorns domän. En del av konfigurationen av den klustrade värden måste också lagras i Active Directory.

  För att säkerställa att sådana domänkontrollanter kan nås vid start av klustersystem distribuerar du minst två domänkontrollanter i datorns domän på en oberoende värdlösning utanför klusterdistributionen. Du kan använda fysisk maskinvara eller en annan virtuell värdlösning som inte har något Active Directory-beroende. Mer information om det här scenariot finns i Undvik att skapa enskilda felpunkter.

• Dessa domänkontrollanter på separata plattformar bör vara online och vara nätverkstillgängliga (i DNS och i alla nödvändiga portar och protokoll) för de klustrade värdarna. I vissa fall finns de enda domänkontrollanter som kan hantera autentiseringsbegäranden vid klusterstart på en klustrad värddator som startas om. I det här fallet misslyckas autentiseringsbegäranden och du måste återställa klustret manuellt.

  Kommentar

  Anta inte att den här situationen endast gäller För Hyper-V. Virtualiseringslösningar från tredje part kan också använda Active Directory som ett konfigurationslager eller för autentisering under vissa steg i start- eller konfigurationsändringar för virtuella datorer.

Stöd för Active Directory-domänkontrollanter i virtuella värdmiljöer

Mer information finns i Supportprincip för Microsoft-programvara som körs på programvara för maskinvaruvirtualisering från andra länder än Microsoft.