Моя компания пытается виртуализировать все наши серверы, и мы пытаемся выяснить, является ли виртуализация Active Directory хорошей идеей. Это вообще то, что можно сделать, и если да, то есть ли недостатки в такой настройке. Моя сеть настроена с несколькими физическими серверами, несколькими виртуальными серверами и SAN.
Если вам нужна дополнительная информация, дайте мне знать.
Microsoft рекомендует поддерживать хотя бы один физический контроллер домена в каждом домене.
Для большинства сред это не обязательно должен быть сервер. Даже 64-разрядный двухъядерный стоечный сервер Atom, потребляющая 25 Вт энергии и стоящая менее 500 долларов при конфигурации с 4 ГБ ОЗУ и парой 2,5-дюймовых жестких дисков в RAID1, может обеспечить очень удобный в обслуживании физический контроллер домена / DNS / DHCP-сервер под управлением Server 2008 R2.
Основное реальное преимущество постоянного обслуживания физического контроллера домена заключается в предотвращении проблем с «холодным запуском» при перезапуске виртуализированной среды после обновлений / обновлений, отключений электроэнергии и т. Д. Это особенно актуально, если вы используете серверы Hyper-V в качестве узлов виртуализации. , так как эти машины будут ожидать, что смогут найти контроллер домена при запуске.
Основная проблема, которую я видел с виртуализированными компьютерами с контроллерами домена (DC) Active Directory (DC), связана с проблемами синхронизации времени. AD очень зависит от хорошей временной синхронизации между вашими контроллерами домена, поэтому убедитесь, что ваши гипервизоры настроены в соответствии со спецификациями производителя, чтобы гостевые виртуальные машины имели надежную временную синхронизацию.
Помимо временной синхронизации, у меня нет плохого опыта работы с виртуализированными контроллерами домена. Не делайте с ними ничего, чего не сделали бы с физическими контроллерами домена. Убедитесь, что вы не откатываете виртуальные машины постоянного тока с помощью таких функций, как моментальные снимки, поскольку это может вызвать проблемы с репликацией базы данных (что эквивалентно восстановлению старой резервной копии физического контроллера домена). Не клонируйте виртуальные машины постоянного тока (аналогично физическим контроллерам домена с образами дисков).
Редактировать:
Я также настоятельно рекомендую держать под рукой хотя бы один физический DC, чтобы повторить ответ @MilesErickson. Я бы пошел еще дальше и сказал, что вам нужен один физический контроллер домена в каждом месте, где вы размещаете серверные компьютеры, чтобы позволить этим машинам иметь возможность «холодного запуска» при отключении подключения к глобальной сети.
Некоторое время назад мы виртуализировали контроллеры домена для AD / Server 2003. Это работало хорошо, за исключением случаев, когда на одной из машин была запущена более старая версия виртуальной машины вместо последней версии. Это вызвало СЕРЬЕЗНУЮ проблему - и привело к тому, что сервер AD перестал реплицировать и доверять другим серверам.
Позже я узнал, что сработал откат USN - это очень неприятно исправлять. http://support.microsoft.com/kb/885875
Мне удалось исправить проблему, и мы продолжили виртуализацию. Однако - на этот раз у меня только что была готовая виртуальная машина в режиме ожидания на случай, если хост-контроллер домена выйдет из строя, я бы просто присоединился к резервной машине в качестве нового контроллера домена - это сработало хорошо.
Это более обновлено и может быть полезно: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx