Можно ли виртуализировать контроллер домена Windows?

Просто вопрос по названию. Есть какие-нибудь проблемы? Есть опыт?

Да, это может быть сделано. Соответствие для этого является предметом обсуждения.

• Убедитесь, что время синхронизировано! Это очень важно. DC с неправильным временем может вызвать хаос.
• Отключить и не использовать снимки. Возврат к старому снимку в домене со многими контроллерами домена приведет к огромному хаосу.
• Не приостанавливать / приостанавливать работу контроллера домена.
• Убедитесь, что ваш виртуальный сервер не перегружен.
• Я предлагаю вам запустить хотя бы один DC в вашем домене на реальном оборудовании, если у вас большая сеть.

Не могли бы вы объяснить момент хаоса? Разве возврат к снимку не будет действовать как восстановление из резервной копии, то есть синхронизирует последние изменения с другими контроллерами домена?

Активный каталог не предназначен для поддержки этого. Как только обновление будет реплицировано, оно не будет реплицировано повторно. Обычно, если вы восстанавливаете активный каталог, вам нужно пройти специальную процедуру. ( http://technet.microsoft.com/en-us/library/cc779573.aspx ). В статье КБ Сэм Коган и упомянутый gharper конкретно касаются этого вопроса.

В частности, Active Directory не поддерживает какой-либо метод, который восстанавливает моментальный снимок операционной системы или тома, на котором находится операционная система. Этот метод вызывает откат обновления порядкового номера (USN). При возникновении отката USN партнеры репликации неправильно восстановленного контроллера домена могут иметь несовместимые объекты в своих базах данных Active Directory. В этой ситуации вы не можете сделать эти объекты согласованными.

Мы также не поддерживаем использование функций «Отмена» и «Различие» в Virtual PC в образах операционной системы для контроллеров домена, работающих в средах виртуального хостинга.

Команда Microsoft AD только что опубликовала новую статью о том, как виртуализировать контроллеры домена, которая включает несколько рекомендаций.

Да, это может быть виртуализировано, нет, мы не столкнулись с какими-либо проблемами (VMWare ESX и VMWare Server 2), и, по моему опыту, это почти то же самое, что запуск DC на физическом сервере.

У Microsoft есть статья, на которую стоит обратить внимание.

Да, это может быть сделано, я сделал это, и это работает хорошо. Вы должны принять во внимание некоторые вещи, делая это. В этой статье базы знаний содержится хорошее руководство по этим вопросам.

Мы виртуализировали DC в течение многих лет. Я бы порекомендовал использовать как минимум два физических узла, настроенных с ESX и настроенных с DRS. В DRS установите правило для предотвращения запуска двух виртуальных машин (я предполагаю, что у вас есть PDC и BDC) на одном хосте. Если ваши хосты уже сгруппированы с включенным DRS, просто настройте правило DRS.

Вы можете настроить свои хосты ESX для использования NTP для обновления времени, и в ваших DC есть инструменты vmware, синхронизирующие их время с хостом ESX.

Прошло чуть больше месяца с тех пор, как я заменил наш физический DC виртуальным. Использование, как правило, ОЧЕНЬ низкое, и у него не было ни одной проблемы. Во время несвязанного звонка в службу поддержки виртуализации MS я задал несколько вопросов, и у них не было никаких предупреждений или предостережений, которые можно было бы бросить на меня.

Вы можете виртуализировать контроллеры домена (у меня есть несколько для целей тестирования).

Клонирование: я создаю виртуальные машины, чтобы их можно было клонировать - всегда переходить на DC после клонирования. Sysprep (или любые другие инструменты, используемые для регенерации SID) уничтожает контроллеры домена. Вы хотите клонировать только без запуска sysprep в изолированной среде (например, забор менеджера лаборатории).