作为一家小商店(约10台PC),我们只有一台物理服务器机器。 该物理服务器机器运行以下两个虚拟机:
现在,所有的最佳实践指南告诉我,强烈build议拥有第二个AD域控制器(“备份DC”)。
把它放在与主DC相同的物理机器上似乎毫无意义,所以我想把它作为虚拟机放在一个通常24-7的强大工作站之一上。 由于它只是一个备份DC,所以我只给它很less的CPU / RAM资源,所以它不应该太多地影响用户。
这听起来像是一个好的计划,还是我应该注意到的任何陷阱?
我相信普遍的共识是“不”,特别是当你打算把第二个DC作为一个虚拟主机托pipe在一台工作站上的时候。
你使用两个DC的原因是,一个下降不会让你的networking陷入困境,在更大的环境中提供更多资源来执行DC的任务。
如果将其中一个DC作为虚拟机放置在服务器机柜中的专用虚拟机pipe理程序中,并且周围的静态IP地址不会严重损害系统的容错能力。 而Windows Server 2016特别解决了虚拟环境中的许多DC问题,例如权威logging,备份和还原等。
但是,如果将DC作为虚拟机放置在工作站上,则DC VM将取决于主机的连接,这将消除冗余的大部分好处。
如果主物理DC发生故障,您的工作站主机将失去连接,因此备用DC也会如此:毫无价值。
唯一的冗余你会得到是如果VM DC下降,在这种情况下,物理DC将继续运行,并提供networking的需求。
换句话说:没有任何好处。
更新:一个选项
以许可证为准,你可以花一些硬件和Windows Server的一个标准许可证的价格,站起来pipe理一个pipe理程序(我可以推荐Nano?)并在其上运行2个VM服务器。 运行一个作为你的第二个DC,另一个作为标准的服务提供服务器。
我想,这可以解决大部分的问题,只需less量的现金。
假设在其上运行的虚拟机pipe理程序和虚拟机都将是静态IP系统,networking中断不太可能影响它们。
服务器级的pipe理程序软件也不太可能在修补后需要重新启动(因此我的Nanobuild议),这意味着pipe理程序不会像普通桌面一样需要重新启动。
这只是一个更好的全面解决scheme,而不是更多的钱。
我不喜欢这个主意。 在工作站上,您将运行某种带有Server 20xx和ADangular色的免费虚拟机pipe理程序。
你必须拥有一个独特的Windows Server 20xx许可证,你可以在那台机器上安装,如果你要这么做的话,我build议你安装一台专用的机器或者清理一些东西。
在你的情况下,AD只需要很less的资源,所以有4GB内存和120GB SATA硬盘的东西可以工作。 我希望至less看到2个核心。 也许在拍卖网站上查找使用的服务器。
回到过去,我们在小型企业环境中做了类似的事情。 胸围,而不是在工作站有第二个DC。 我刚刚在该计算机上安装了Hyper-V服务器,并创build了我们的PDC VM的副本。 在极less数情况下,当我们丢失了PDC(物理pipe理程序服务器有点不稳定)时,我们只是在第二台机器上手动启动了副本服务器。 这可以通过使用powershell脚本和计划任务轻松调整以实现自动化。
这当然是一个理想的解决scheme,当PDC停机时,当我在办公室networking之外(例如:在家)时,让自己进入第二台机器开始复制是非常痛苦的(但是可行),但是它绝对奏效,但我不能在生产环境中推荐它。
后来这个工作站电脑死了,我只是不打扰它恢复。 在另一个虚拟机pipe理程序服务器上的新虚拟机中安装第二个DC。 现在没有人需要关心PDC的问题,第二个DC仍然function齐全,除非我们有networking问题,但是DC不是我们最大的问题。
这也是一个可行的解决scheme(至less对我们来说),但是一如果你在虚拟机上运行一个DC并且pipe理程序是同一个域的成员,那么你需要注意一些事情(尤其是时间同步)。
PS:我们在这个networking上不使用DHCP,只是静态地址。
build议在物理服务器上运行DC而不是在虚拟主机上运行DC。 您可以将ADC保留在虚拟主机上
如果在vm主机服务器上出现任何问题或需要重新启动。 可能会遇到域身份validation的问题