dbr*_*dbr 31 active-directory hyper-v windows-server-2012 windows-server-2012-r2
回到 Windows Server 2012 之前的时代,建议似乎是在虚拟化 DC 旁边至少放置一个物理域控制器。
这样做的一个理由是,如果您的 Hyper-V 主机是群集的,那么它们需要在启动期间可以联系到 DC。这对我来说完全有意义。
但是,我经常听到人们说,即使您没有集群设置,拥有物理 DC 仍然很重要(例如在一个简单的设置中,单个 Hyper-V 服务器运行几个 VM,一个其中是 DC)。这样做的理由似乎(我永远无法确定)您仍然会遇到问题,因为当 Hyper-V 主机首次启动时,网络上没有 DC。缓存凭据意味着您仍然可以登录,但是在启动期间发生的所有那些意味着周围有一个 DC 是有益的呢?这实际上是一个问题吗?实际上是否有任何可能只运行的操作在启动时会导致问题吗?例如任何组策略?我基本上要问的是,物理 DC 论点是否仅在涉及聚类时才真正站得住脚,还是(2012 年之前)在没有聚类的情况下存在重要的技术案例?此文章 由Altaro(见“的‘鸡和蛋’神话”一节)暗示没有必要,但我仍然不确定。
现在到我问题的第二(也是主要)部分:
Windows Server 2012 引入了几个旨在解决虚拟化域控制器问题的功能,包括:
所以我的第二个问题与第一个问题类似,但这次是 2012+。假设 vDC 和主机都是 2012+ 年,并且您将集群排除在外,是否还有其他类似上述问题的问题,这意味着我仍然应该考虑使用物理 DC?我是否仍然应该考虑在我的单个非集群 2012/2012R2 Hyper-V 主机旁边安装一个物理 DC,该主机上有一个虚拟化 DC?我听说有些人建议将 AD 放在 Hyper-V 主机上,但由于各种原因(一开始禁用 WB 缓存),我不喜欢这个想法。
作为旁注,我的问题隐含地假设将 Hyper-V 主机加入域以提高可管理性是有意义的。这种说法经得起推敲吗?
更新:
在阅读了一些答案后,我发现我可以用稍微不同的措辞来表达我所问的核心问题:
即使在 2012 年及以后进行了改进,事实仍然是,如果另一台主机上没有任何物理 DC 或虚拟 DC,当没有可用 DC 时,主机仍会启动。这实际上是一个问题吗?从某种意义上说,如果您完全将虚拟化排除在外,我认为这是相同(或非常相似)的问题。如果您定期在任何 DC 之前启动成员服务器,这是一个问题吗?
Gre*_*kew 18
为每个域保留一个物理 DC 的一个基本原理是,如果发生影响主机或破坏虚拟化 DC 的帧存储的重大事件,您将至少拥有一个带有本地存储的物理 DC 来执行恢复并保持连续性。Microsoft 在 Active Directory RAP(风险评估和规划)期间继续执行此检查并提出此建议。
“在您的每个域中维护物理域控制器。这降低了影响使用该平台的所有主机系统的虚拟化平台故障的风险。”
joe*_*rty 11
我也不会让 Hyper-V 主机成为 DC。
至于你是否应该拥有一个物理 DC,我的观点是,随着 Microsoft 对虚拟化域控制器和无 DC 集群引导具体实施的更改,我个人认为没有必要,也不提倡拥有物理 DC。维护物理 DC 似乎与将基础架构迁移到虚拟化平台的性质相悖。虚拟化我的整个基础架构,但这一切都取决于可用的单个物理 DC?这有什么意义?
有一些方法可以限制您的“暴露”,同时仍然虚拟化您的域控制器。一种方法是在集群中的不同主机上部署多个 DC,并使用反关联性在主机发生故障时将它们分开(取决于集群中的主机数量)。
虽然 Greg 的回答包含指向一些 MS 建议的链接,但该文章已经有两年历史了,并且针对 Windows Server 2008 和 2008 R2。我不认为该文章是与 Windows Server 2012 和 2012 R2 相关的当前最佳实践。我找不到正式的 MS 文档,但这个人被认为是 Hyper-V 的权威 - http://www.aidanfinn.com/?p=13171
bla*_*ghw 10
我觉得你正在寻找一个单行答案,所以这里是:
如果您不相信您的虚拟环境承受故障的能力,您应该拥有一个物理 DC。
我们可以讨论每种情况的特殊性和例外情况,但我认为这触及了问题的根源。
| 归档时间: |
|
| 查看次数: |
13124 次 |
| 最近记录: |