Виртуализация Active Directory

Моя компания пытается виртуализировать все наши серверы, и мы пытаемся выяснить, является ли виртуализация активного каталога хорошей идеей. Может ли это быть чем-то, что можно сделать, и если да, то есть ли какие-либо недостатки в настройке этого способа? Моя сеть настроена с несколькими физическими серверами, несколькими виртуальными серверами и SAN.

Если вам нужна дополнительная информация, пожалуйста, дайте мне знать.

Microsoft рекомендует поддерживать как минимум один физический контроллер домена в каждом домене.

Для большинства сред это не обязательно должен быть сервер. Даже 64-разрядный двухъядерный сервер Atom для монтажа в стойку , потребляющий 25 Вт электроэнергии и стоимостью менее $ 500 при конфигурации с 4 ГБ ОЗУ и парой 2,5-дюймовых жестких дисков в RAID1, может обеспечить очень работоспособный контроллер физического домена / DNS / DHCP-сервер под управлением Server 2008 R2.

Главное реальное преимущество постоянного обслуживания физического контроллера домена состоит в том, чтобы предотвратить проблемы «холодного запуска» при перезапуске виртуальной среды после обновлений / обновлений, отключений питания и т. Д. Это особенно актуально, если вы используете серверы Hyper-V в качестве узлов виртуализации , поскольку эти машины ожидают, что смогут найти контроллер домена при запуске.

Основная проблема, с которой я столкнулся на виртуальных компьютерах контроллера домена Active Directory (DC), связана с проблемами синхронизации времени. AD очень зависит от синхронизации времени между вашими контроллерами домена, поэтому убедитесь, что ваши гипервизоры настроены в соответствии со спецификациями производителя, чтобы гостевые виртуальные машины имели постоянную синхронизацию времени.

Помимо синхронизации по времени у меня нет проблем с виртуализированными контроллерами домена. Не делайте с ними ничего такого, что не делали бы с физическими контроллерами домена. Убедитесь, что вы не откатываете виртуальные машины DC с помощью таких функций, как моментальные снимки, поскольку это может вызвать проблемы с репликацией базы данных (что эквивалентно восстановлению старой резервной копии физического DC). Не клонируйте виртуальные машины DC (эквивалентно физическим DC дисков с образами дисков).

Редактировать:

Я также настоятельно рекомендую сохранить хотя бы один физический DC, чтобы повторить ответ @ MilesErickson. Я бы даже сказал, что вам нужен один физический контроллер домена в каждом месте, где вы размещаете серверные компьютеры, чтобы эти компьютеры могли иметь «холодный старт» при отключении подключения к глобальной сети.

Некоторое время назад мы виртуализировали контроллеры домена для AD / Server 2003. Это работало хорошо, за исключением случаев, когда на одной из машин была установлена ​​более старая версия виртуальной машины вместо последней версии. Это вызвало серьезную проблему - и сделал так, чтобы сервер AD прекратил репликацию и доверие другим серверам.

То, что я позже узнал, было вызвано откатом USN - это очень неприятно исправить. http://support.microsoft.com/kb/885875

Я смог исправить проблему, и мы продолжили нашу виртуализацию. Однако - на этот раз у меня была только готовая виртуальная машина на standy в случае отказа хоста контроллера домена, я просто присоединяю standy к домену в качестве нового контроллера домена - это работало хорошо.

Это более обновленное и может быть полезно: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx