Я занимаюсь настройкой нескольких виртуальных серверов, и я решил, что на нашем сервере Active Directory в настоящее время больше всего свободных ресурсов, но когда я начал установку, он вернул предупреждение о том, что установка сервера vmware на Active - не лучшая идея. каталог.
Кто-нибудь знает, почему это может быть плохо?
Я сделал это и пожалел об этом. Как говорит Zoredache, дополнительные сетевые интерфейсы, которые создает VMWare, помещаются в DNS по имени сервера, после чего у компьютеров в сети возникают проблемы с подключением к серверу. Это также нарушило межсайтовую репликацию, поскольку другие контроллеры домена пытались выполнить репликацию на IP-адреса VMWare. Даже если вы уберете отметку с поля «Зарегистрировать эти соединения в DNS» в настройке TCP / IP для сетей VMWare, проклятая штука настояла на добавлении их в файл зоны. Я так и не нашел способа обойти это.
Я поставил Hyper-V на DC. Это нормально, если у вас несколько сетевых адаптеров и вы можете оставить тот, который не настроен как сеть Hyper-V. Вы просто отключаете все дополнительные синтетические сетевые карты Hyper-V на контроллере домена. Поскольку Hyper-V использует паравиртуализацию, отключение синтетических сетевых адаптеров на контроллере домена не влияет на работу виртуальных машин, работающих на нем.
Если на вашем сервере только одна сетевая карта, вы все равно можете использовать Hyper-V, но обратите внимание, что вы не сможете запустить DHCP-сервер на сервере, поскольку он не будет связываться с синтетической сетевой картой.
Джон Ренни
Я тоже так думаю ... Потому что вы увеличиваете возможность / вероятность неудачи.
Сервер AD является критическим ресурсом и используется каждым пользователем. Если вы устанавливаете на него виртуальный сервер и что-то пойдет не так (например, сбой программного обеспечения, ненормальное использование ЦП и т. Д.), Это затронет всех пользователей.
Так что я думаю, что лучше "оставить сервер AD в покое".
ОБНОВИТЬ И еще: я видел несколько случаев, когда виртуальные машины вызывали проблемы с сетевыми адаптерами физического сервера. Это означает, что при автоматической настройке сети виртуальной машины возникают проблемы с сетевыми подключениями физических машин. Я не знаю причину / проблему, но я это видел. Так зачем нам возлагать ненужные хлопоты на критически важный ресурс?
Самая большая проблема, с которой вы столкнетесь, - это то, что у контроллеров домена отключен кэш записи на диск. Это существенно снизит производительность вашей виртуальной машины, в зависимости, конечно, от того, как часто ваши виртуальные машины записывают на диск.
Чтобы перевернуть вашу ситуацию с ног на голову - если это вторичный DC (т.е.не имеет каких-либо основных ролей FSMO), почему бы не понизить роль до рядового сервера, установить VMWare и создать на его месте виртуальный DC?
Я думал, что DC и виртуальные не будут хорошо сочетаться, но вот уже несколько месяцев я без проблем использую DC на Hyper V. Кроме того, я поднял этот вопрос во время пары звонков в MS по вопросам, связанным с виртуальными машинами, и они не рекомендуют виртуализировать контроллер домена. (очевидно, что у меня не было бы обоих контроллеров домена в качестве виртуальных на одном устройстве - определенно противоречит цели)
Чтобы решить проблему, поднятую выше, ваша ОС хоста ВСЕГДА должна иметь сетевой адаптер, отличный от того, который используется виртуальными сетями. Это позволит избежать каких-либо странностей в сети из-за совместно используемой сетевой карты.
Кто-нибудь знает, почему это может быть плохо?
Моя теория такова. Когда Vmware установлен, он настраивает пару виртуальных интерфейсов для NAT и сети хоста. Адреса, связанные с этими интерфейсами, будут опубликованы на DNS-сервере и все испортят. Однако я никогда не пробовал посмотреть, что происходит.
Это не очень хорошая идея с точки зрения безопасности. Лучшая практика - изолировать функциональность, как если бы вы не делали общедоступный веб-сервер также вашим центральным сервером AD. Active Directory - это ключевая функция среды на базе Microsoft. Если ваша AD скомпрометирована, то в основном вся ваша сеть будет открыта для злоумышленника.
Существуют компромиссы VMWare, позволяющие запускать код в ОС хоста из гостевой среды, например, CVE-2009-1244 (cve.mitre.org) является зарегистрированной уязвимостью.