Вопрос: Должен ли я все еще иметь физический DC, даже после Server 2012?


Назад в преддверии Windows Server 2012, рекомендация, казалось, заключалась в том, чтобы по крайней мере один физический контроллер домена сидел рядом с вашими виртуальными контроллерами домена.

Одно из оснований для этого состояло в том, что если ваши хосты Hyper-V были сгруппированы, тогда они требовали, чтобы DC был подключен во время загрузки. Это имеет для меня общий смысл.

Тем не менее, я часто слышал, как люди говорят, что по-прежнему важно иметь физический DC, даже если у вас нет кластерной настройки (скажем, например, в простой установке с одним сервером Hyper-V, на котором работает несколько виртуальных машин, одна из которых DC). Обоснование этого показалось (и я никогда не мог быть уверенным), что у вас все еще будет проблема в том смысле, что, когда первый компьютер Hyper-V загружается, в сети нет DC. Кэшированные учетные данные означают, что вы все равно можете войти в систему, но как насчет всех тех битов, которые происходят во время загрузки, что означает наличие DC вокруг, полезно? Это на самом деле проблема? Существуют ли какие-либо операции, которые могут выполняться только при загрузке, что вызовет проблему? Например, какие-либо групповые политики? В основном я задаю вопрос: действительно ли аргумент физического DC действительно удерживает воду при включении кластеризации или был (до 2012 года) там существенный технический случай для этого без кластеризации? Эта статья  от Altaro (см. раздел «Миф« Курица и яйцо ») предполагает, что нет необходимости, но я все еще не уверен.

Теперь ко второй (и основной) части моего вопроса:

Windows Server 2012 представил несколько функций, предназначенных для решения проблем, связанных с виртуализацией контроллеров домена, в том числе:

  1. Идентификатор VM-поколения - Это касалось проблемы отката USN, которая означала моментальный снимок (или, более конкретно, возврат к снимку), была неподдерживаемой / действительно плохая идея
  2. Кластерная загрузка - Это касается проблемы «курицы и яйца», связанной с отказоустойчивой кластеризацией, о которой я упоминал выше. Отказоустойчивая кластеризация больше не требует наличия постоянного тока во время загрузки.

Поэтому мой второй вопрос похож на первый, но на этот раз на 2012+. Предполагая, что vDC и хост являются 2012+, и вы берете кластеризацию из уравнения, есть ли какие-либо другие проблемы, подобные упомянутым выше, что означает, что я должен все же рассматривать физическое DC? Должен ли я по-прежнему думать о том, что у меня есть отдельный DC DC на одном, некластеризованном хосте Hyper-V 2012 / 2012R2, который имеет на нем один виртуальный DC? Я слышал, что некоторые люди предлагают разместить AD на хосте Hyper-V, но мне не нравится эта идея по разным причинам (кэш WB отключен для запуска).

В качестве побочного примечания мой вопрос неявно предполагает, что имеет смысл подключить ваш хост Hyper-V к домену для улучшения управляемости. Подтверждает ли это утверждение контроль?

ОБНОВИТЬ:

Прочитав некоторые ответы, мне пришло в голову, что я могу несколько раз поразмыслить, чтобы понять суть моего вопроса:

Даже с улучшениями в 2012 году и позже факт остается фактом: без каких-либо физических контроллеров домена или виртуальных контроллеров домена на другом хосте хост по-прежнему загружается, когда нет постоянного доступа. Это на самом деле проблема? В каком-то смысле, я полагаю, это тот же (или очень похожий) вопрос, если вы полностью виртуализируете. Если вы запускаете серверы-члены перед любыми DC-серверами регулярно, это проблема?


30
2018-04-05 14:37


Источник


Лично я никогда не смогу установить AD на ваш компьютер Hyper-V. Возьмите все кластеры, связанные с ситуацией на данный момент. Вы теряете свой единственный виртуальный DC - вы теряете единственный источник DNS. - PnP


Ответы:


Я тоже не сделал бы Hyper-V хостом DC.

Я считаю, что с изменениями, которые Microsoft внедрила в отношении виртуализированных контроллеров домена в целом и без перекомпоновки кластеров DC-less, я лично не вижу необходимости и не защищаю с физическим DC. Поддержание физического DC кажется противоречащим характеру перемещения вашей инфраструктуры на платформу виртуализации. Виртуализируйте всю мою инфраструктуру, но все это зависит от наличия единого физического DC? В чем смысл?

Существуют способы ограничить вашу «экспозицию», а также виртуализировать контроллеры домена. Один из способов - развернуть несколько контроллеров домена на разных хостах вашего кластера и использовать анти-сродство, чтобы их разделить в случае сбоя хоста (в зависимости от количества хостов в кластере).

Хотя ответ Грега включает ссылку на некоторые рекомендации MS, эта статья, тем не менее, два года и относится к Windows Server 2008 и 2008 R2. Я бы не стал считать эту статью лучшей практикой в ​​отношении Windows Server 2012 и 2012 R2. Я не могу найти официальный документ MS, но этот парень считается ведущим авторитетом в Hyper-V - http://www.aidanfinn.com/?p=13171


11
2018-04-05 15:22



Спасибо Джо. Я действительно прочитал статью Айдана некоторое время назад, и он частично изложил мой вопрос. Меня поражает то, что логически логически это не имело места для физического DC до 2012 года, если вы не запустили кластерную среду (за исключением, возможно, настройки «готовность кластера»). Вот почему я добавил еще немного о людях, которые все еще оправдывают необходимость в pDC даже без кластеризации, что, похоже, не изменилось с 2012 годом. - dbr
согласны ли вы с моим вышеприведенным комментарием о том, что если вы устраните проблему кластеризации, ситуация не изменилась с 2008 по 2012 год? - dbr
@dbr Я бы добавил только к ответу Джо, что для гипер-v (не xen или esx) я бы раньше тестировал гипер-v mmc. Как это случилось со мной, мертвым хозяином с DC на нем, и гипервирусу mmc нужно было открыть живой AD. Я застрял даже при регистрации в качестве администратора домена с кэшированными учетными данными. Может быть исправлено с последним обновлением, но это важный факт. (в отличие от esx, который может использовать встроенный пользователь, поскольку вы все равно можете открыть vsphere или vcenter) - yagmoth555
Просто хочу добавить другие способы повышения устойчивости: иметь несколько кластеров хоста виртуализации (в том же месте или в других местах) и / или строить VPN для Azure (или AWS - Azure имеет несколько преимуществ для магазинов MS) и DC или два там. - Todd Wilcox


Одним из оснований для сохранения одного физического DC на домен является наличие крупного инцидента, который влияет на хост или разрушает хранилище фреймов для виртуализованного DC, у вас есть как минимум один физический DC с локальным хранилищем для восстановления и поддержания непрерывности. Microsoft продолжает выполнять эту проверку и делает эту рекомендацию во время RAP для Active Directory (оценка и планирование рисков).

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx 

«Поддерживайте контроллеры физических доменов в каждом из ваших доменов, что уменьшает риск сбоя платформы виртуализации, который влияет на все хост-системы, которые используют эту платформу».


18
2018-04-05 15:08



Не уверен, что это имеет смысл, хотя - см., Например, я знаю, что компания на 100% виртуальна с DC, и они делают регулярные резервные копии и имеют 3 постоянного тока на 2 континентах (2 в Европе, 1 в США) .... трудно представить что-нибудь здесь, что дует таким образом, что делает вещи не восстанавливаемыми. - TomTom
Я предполагаю, что они пытаются сделать, если есть какая-то проблема, которая затрагивает Hyper-V в целом, тогда вы будете (временно) ввернуты, пока не сможете восстановить DC, где-то с pDC будет означать меньше разрушений. Не уверен, что я согласился бы, хотя вы все равно были бы ввернуты, если бы возникла проблема с отключением Hyper-V-wide! - dbr
Ницца и денди, но опять же совершенно не имеет значения, ЕСЛИ у вас есть значительная часть вашей инфраструктуры из Hyper-V. DC, работающий, но общий доступ к файлам, sharepoint, обмен, печать и все остальное - означает, что мне больше не волнует, что DC снова встает;) В основном он работает, чтобы «иметь несколько DC и делать резервные копии», и это имеет место в обе стороны (Hyper-V и физические). - TomTom
@TomTom Вот что я ускользал от моего «вы были бы очень ввернуты в любом случае» комментарий :) Я предполагал, что все остальное будет виртуализировано в любом случае. Полностью соглашайтесь с тем, что это сводится к «иметь несколько DC и делать резервные копии» - dbr
Компания @TomTom, с которой я работаю, полностью виртуальна для инфраструктуры AD. И это было с W2K3. Но мы не используем HyperV: ESX полностью. 2 отдельных набора кластер-инфраструктуры ESX на каждом континенте. Каждый домен имеет (как минимум) 3 DC: 1 DC на другом континенте и 1 DC в каждой из 2 сред ESX на «домашнем» континенте. - Tonny


Я чувствую, что вы ищете ответ на одну строчку, так вот вот:

У вас должен быть физический DC, если вы не доверяете способности вашей виртуальной среды противостоять сбою.

Мы могли бы рассказать об особенностях и исключениях в каждом сценарии, но я думаю, что это ставит под вопрос корень вопроса.


10
2018-04-08 02:33





Давайте возьмем кластеры из уравнения и сосредоточимся на одной строке в вашем вопросе, которая заставляет меня содрогнуться.

Должен ли я по-прежнему думать о том, что у меня есть отдельный DC DC на одном, некластеризованном хосте Hyper-V 2012 / 2012R2, который имеет Один виртуализированный DC на нем?

Почему, почему, почему бы вам нужен один DC? В любой заданной среде мы стараемся избегать наличия единых точек отказа для любой конкретной инфраструктуры. DC - это ваш хлеб и масло - они предоставляют DNS, основу Active Directory. Серьезно, перестройте Windows 7 Desktop PC на 2008R2 и продвиньте его. Там есть всегда сильный аргумент для физического постоянного тока.

Hyper-V с AD DS? Нет, просто нет. Во-первых, Microsoft этого не поддерживает. Во-вторых, как вы упомянули, обработка резервных копий станет болью, зависящей от конфигурации вашего диска. Не говоря уже о том, что красота виртуализации - это способность убирать физические хосты так быстро, как мы можем их построить (и я ценю, что dcpromo - это не огромная сделка (в зависимости от размера вашей среды)), а хостинг AD ​​DS просто усложняет вопросы. Вы также вводите еще одну сложность Windows Time.

Лично я оставляю свои автономные хосты Hyper-V вне домена, но на самом деле у меня нет реальных аргументов в пользу любой конфигурации.


3
2018-04-05 15:04



Большинство ваших ответов бесполезно критично, делая точки, которые являются полностью действительными, но не имеют никакого отношения к вопросу. Конечно, несколько контроллеров постоянного тока почти всегда обязательны - цитированная часть используется для иллюстрации вопроса / вопроса. Комбинация HV + AD снова действительно примечательна, и я думаю, что я был довольно ясен, что я тоже не любитель комбо. - dbr
Если «всегда есть сильный аргумент в пользу физического DC». [Vs. второй vDC например] - не могли бы вы объяснить этот случай? Это действительно мой вопрос. - dbr


Чтобы ответить на последний вопрос о том, действительно ли это проблема: я заметил, что мои хосты Hyper-V с включенным RDP, но требующие NLA, не разрешают RDP до тех пор, пока я не перезапущу службу Network Location Awareness, если нет DC, когда он загружается. У меня были случайные проблемы с удаленным подключением к VMMS в этих точках, но только тогда, когда что-то еще было нарушено. Когда вы не можете использовать RDP или подключаться к диспетчеру Hyper-V удаленно, очень сложно понять, что сломало и исправить. Сохранение физического DC вокруг предотвратило это от меня со мной в любой момент.


1
2017-11-10 20:10