我知道这个问题已经有一段时间了。
但是我还是不太清楚。
为什么我不清楚?
人们有时会build议在物理硬件上最好有1个DC。 (即使是微软这样说)。 此外,计划在不同的虚拟机上的相同物理机器上安装Exchange Server和其他公司数据。 我听说人们仍然可以突破客串系统,将每一个虚拟机都封装起来,这是真的吗?
那么虚拟化所有域控制器是否好?
编辑:尝试让我的问题更多的话题。
关于我和我的情况
目前我是一名初级开发人员,并试图学习更多有关系统pipe理的知识,所以我在空闲时间帮助小公司。 我试图帮助他们的基础设施,如规划,pipe理和设置新的服务器/硬件。
我的一个公司问我是否有可能虚拟化域控制器。
build立
他们目前的安装程序是3台服务器,每台服务器都有一定的angular色。
3个服务器的angular色:
磁带机是3台服务器的备份。
他们也有3台服务器没有连接到电源,如果一台服务器出现故障,那么这台服务器就会替代其他服务器。
我告诉他们,如果这些服务器在更换之前不能使用,那就是浪费钱。
所以他们和一家新的IT公司一起工作了一个新的IT概念。
新的Conecpt
2主机/被动configuration中使用Hyper-V虚拟化的服务器。 虚拟化一切:
这个概念似乎是非常好的,但是我脑海中有一些东西可能会让Active Directory虚拟化出现问题。
我为什么关心
自从我在本地公司尝试使用FreeIPA(类似于Active Directory)之后,我得出了这个结论,因为我们尝试集成一些Linux设备并寻找与FreeIPA的同步。
我们在Hyper-V和KVM上对FreeIPA进行了虚拟化,并且在时间同步服务方面遇到了很大的问题,所以我们在系统login时也遇到了问题。
我也search了整个互联网和微软相关的网站关于这个特定的主题,但是每一个环节都说build议在物理硬件上运行1个DC。
这里是Technet的文章,使我感到困惑。
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx
在每个域中维护物理域控制器。 这可以降低影响所有使用该平台的主机系统的虚拟化平台故障风险。
哪些风险可能发生?
在虚拟化平台上可能出现哪些漏洞/漏洞/什么情况?
而且,如果我们有两台虚拟化服务器(这两台服务器是相同的硬件,两台戴尔服务器R520),是否存在这个bug / exploit攻击两台服务器的巨大风险?
另外我们还在做备份,所以如果我们打到一个bug,我们仍然可以恢复所有的东西。
无论如何,公司之前没有多余的设置,他们说这不是他们最关心的问题。 他们不想丢失数据,也不希望有任何安全风险。
我已经有一个来自MDMarra的好回答,他为我清理了一些东西。
但是他仍然表示它更多的是可用性问题而不是安全问题,但是当hyper-v平台发生灾难性故障时,我仍然会丢失数据/存在安全漏洞。
也许我有点偏执,但随着硬件越来越多,安全风险就越大。
也许我需要更多的答案来正确地解决我的问题,因为我仍然不会对任何客户说,这是一个虚拟化一切的好方法。
具有物理DC的build议不是安全性build议,而是可用性。 如果您的虚拟化解决scheme处于脱机状态,如果发生灾难性的虚拟机pipe理程序故障(错误,漏洞利用等),您仍然希望在该环境外至less有一个DC提供目录服务。
当然,完全有可能100%虚拟。 有些人不用pipe理一个物理主机,而是有一个单独的pipe理集群,以便可以在那里运行数据中心以及提供一些多样性的生产数据集群。 如果一个组织在生产环境中使用了vSphere,而在DR中使用了Hyper-V,那么他们可能会在DR中保留一个热点DC,并且具有这种平台多样性。 MS党线仍然要保持一个实体DC,但还有其他的方法来实现这个build议的精神,并且是100%虚拟的。
本来我认为这个build议来自pipe理程序准确的时间问题(需要AD进行Kerberosauthentication)。 如果您处于中等规模的环境中,那么也很容易导致无意的单点故障(物理主机,SAN)。
现在,我认为最大的担忧是如果您无法login到vCenter,您将会做什么