服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我还应该有一个物理DC,甚至是在Server 2012之后?
Intereting Posts
增加磁盘大小 – 使用LVM还是不行? 使用初始命令运行交互式bash子shell,而不立即返回到(“超级”)shell 网站更改后的空白页Alogging(godaddy转发到Heroku应用程序) wifi路由器和并发设备 简单的KVM问题 为什么连接到监听IPv6链路本地地址的Web服务器不可靠/ IPv6邻居发现如何工作? SSL和Apache:GeoTrust CryptoReport说“OK”,但openssl说“无法获得本地颁发者证书” 如何使“\ n”在terminal的新行? 如何简化nginx错误日志? 窗户路线没有跟着 从Windows 10访问Samba共享时,smbstatus报告重复nobody:nogroup PID条目 index.php上的apache2重写规则只有在inputindex.php时才有效 如何在SSH中使用git-push –mirror和git-shell? Active Directory在Windows Small Business Server 2011中损坏 – 服务器不再是域控制器 如何解决OpenSSH协议不匹配?

我还应该有一个物理DC,甚至是在Server 2012之后?

回到Windows Server 2012之前的日子,推荐似乎至less有一个物理域控制器坐在你的虚拟化数据中心的旁边。

其中一个理由是因为如果您的Hyper-V主机是集群化的,那么他们需要一个DC在启动过程中可联系。 这对我来说是完全意义上的。

不过,我经常听到有人说,即使没有集群设置,拥有物理DC也是非常重要的(例如,在一台运行着几台虚拟机的单个Hyper-V服务器的简单设置中,其中一个是DC)。 这样做的理由似乎(而且我永远也不能确定),在Hyper-V主机第一次启动的时候,你仍然会遇到一个问题,那就是networking上没有DC。 caching的凭据意味着你仍然可以login,但是启动期间发生的所有这些意味着在DC周围有什么好处呢? 这实际上是一个问题吗? 实际上是否有任何操作只能在启动时运行才会导致问题? 任何组策略例如? 我基本上要问的是,当涉及到集群时,物理DC论证是否真的会持水,还是(2012年以前)没有集群的情况下有一个重要的技术案例? 来自Altaro的这篇文章 (见“鸡与鸡蛋”的“神话”一节)暗示没有必要,但我仍然不确定。

现在到我的问题的第二个(也是主要)部分:

Windows Server 2012引入了几项针对解决虚拟化域控制器问题的function,其中包括:

  1. 虚拟机生成ID – 这解决了USN回滚问题,这意味着快照(或更具体地说,回滚到快照)不被支持/一个非常糟糕的想法
  2. 集群引导 – 这解决了上面提到的故障转移集群周围的“鸡和蛋”问题。 启动过程中,故障转移群集不再需要DC存在。

所以我的第二个问题与第一个问题类似,但这次是2012+。 假设vDC和主机都是2012+,并且您将聚类排除在等式之外,还有其他像上面提到的那些问题,意味着我应该考虑一个物理DC吗? 我还应该考虑在我的单个非集群2012 / 2012R2 Hyper-V主机上使用单个虚拟化DC的物理DC吗? 我听说有人build议将AD放在Hyper-V主机上,但由于各种原因,我不太喜欢这个想法(WBcaching在启动时被禁用)。

作为一个侧面提示,我的问题隐含地认为,让您的Hyper-V主机join域以提高可pipe理性是有意义的。 这个断言是否经过审查?

更新:

在阅读了一些答案之后,我想到我可以略微不同地描述一些事情,以便了解我所问的内容:

即使在2012年和之后的改进中,事实仍然是在没有任何物理DC或其他主机上的虚拟DC的情况下,当没有DC可用时主机仍然启动。 这实际上是一个问题吗? 从某种意义上说,如果把虚拟化完全放在图片之外,我想这是相同的(或非常相似的)问题。 如果您定期在任何区议会之前启动成员服务器,是否有问题?

我也不会让Hyper-V主机成为DC。

至于你是否应该有一个物理DC,我的观点是,随着微软在一般情况下对虚拟化域控制器和无DC集群自举的改变,我个人看不到需要,也不提倡有一个物理DC。 维护物理DC似乎违反了将您的基础架构迁移到虚拟化平台的本质。 虚拟化我的整个基础架构,但是这一切都取决于单个物理DC可用? 这有什么意义呢?

有办法限制你的“暴露”,同时仍然虚拟你的域控制器。 一种方法是在群集中的不同主机上部署多个DC,并在发生主机故障(取决于群集中有多less个主机)时使用反亲和力来保持它们分离。

尽pipeGreg的答案包含了一些MSbuild议的链接,但该文章还是两年之久,针对的是Windows Server 2008和2008 R2。 我不认为这篇文章是与Windows Server 2012和2012 R2相关的最佳实践。 我找不到官方的MS文档,但是这个人被认为是Hyper-V的主要权威人士 – http://www.aidanfinn.com/?p=13171

每个域保留一个物理DC的一个基本原理是,如果存在影响主机的重大事件,或者虚拟化DC的帧存储被破坏,则至less有一个具有本地存储的物理DC来执行恢复并保持连续性。 Microsoft继续执行此检查,并在Active Directory RAP(风险评估和规划)期间提出此build议。

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx

“在每个域中维护物理域控制器,从而减轻影响所有使用该平台的主机系统的虚拟化平台故障风险。”

我觉得你正在寻找一个单一的答案,所以这里是:

如果您不相信您的虚拟环境能够承受失败的能力,则您应该拥有物理DC。

我们可以谈谈每个场景的特殊性和例外情况,但我认为这是问题的根源。

让我们把等式拿出来,把注意力集中在你的问题中的一个让我不寒而栗的问题上。

我还应该考虑在我的单个非集群2012 / 2012R2 Hyper-V主机上使用单个虚拟化DC的物理DC吗?

为什么,为什么,为什么,你想要一个DC? 在任何给定的环境中,我们尽量避免给定任何基础设施单点故障。 DC是你的面包和黄油 – 他们提供DNS,Active Directory的骨干。 认真地,重build2008R2上的Windows 7台式电脑,并宣传它。 物理DC 总是有一个很好的例子

带AD DS的Hyper-V? 不就是不。 首先,微软不支持这一点。 其次,如你所说,处理备份将成为一个痛苦取决于你的磁盘configuration。 更不用说了 – 虚拟化的优点就是能够尽快退出物理主机,而且我们可以构build它们(我赞赏dcpromo并不是一个巨大的交易(取决于您的环境的规模)),而托pipeAD DS只是复杂化事项。 您还介绍另一个Windows时间复杂性。

就我个人而言,我将独立的Hyper-V主机从域中closures,但实际上,我对这两种configuration都没有真正的论据。

回答最后一个关于这是否真的存在问题的问题:我注意到,启用了RDP但需要NLA的Hyper-V主机直到重新启动networking位置感知服务后才允许RDP,如果没有DC启动时。 在这些地方,我也偶尔会遇到远程连接到VMMS的问题,但是只有在别的东西被破坏的时候。 当你不能使用RDP或者远程连接到Hyper-Vpipe理器时,很难弄清楚什么是破坏和修复的东西。 保持一个物理的DC在任何时候都阻止了这种事情的发生。