Sunucu 2012'den sonra bile hala fiziksel bir DC olmalı mı?


30

Windows Server 2012 öncesi günlerde, tavsiye, sanallaştırılmış DC'lerinizi yan yana oturmuş en az bir fiziksel etki alanı denetleyicisine koyuyor gibi görünüyordu.

Bunun bir nedeni, Hyper-V ana bilgisayarlarınızın kümelenmiş olması durumunda, başlatma sırasında iletişim kurmak için bir DC'ye ihtiyaç duymalarıydı. Bu bana tamamen mantıklı geliyor.

Ancak, kümelenmiş bir kurulumunuz olmasa bile, insanların fiziksel bir DC'ye sahip olmanın hala önemli olduğunu söylediğini duyardım (örneğin, birkaç VM çalıştıran tek bir Hyper-V sunucusuyla basit bir kurulumda bunların bir DC'sidir). Bunun gerekçesi, Hyper-V sunucusu ilk kez önyüklendiğinde, ağda DC bulunmaması anlamında hala bir sorun yaşayacağınız (ve hiçbir zaman tam olarak emin olamadığım) gibi görünüyordu. Önbelleğe alınmış kimlik bilgileri, hala oturum açabileceğiniz anlamına gelir, ancak önyükleme sırasında gerçekleşen tüm bu bitler hakkında ne anlama gelir? Bu gerçekten bir sorun mu? Aslında yalnızca çalıştırılabilecek herhangi bir işlem var mıaçılışta bir soruna neden olur? Örneğin herhangi bir Grup İlkesi? Temel olarak sormak istediğim, fiziksel DC argümanı sadece kümeleme söz konusu olduğunda gerçekten su tutuyor mu, yoksa (2012 öncesi) kümelenme olmadan bunun için önemli bir teknik durum var mıydı? Altaro'nun bu makalesi (“Tavuk ve Yumurta” Efsanesi ”bölümüne bakınız) gerek olmadığını gösteriyor, ancak hala emin değilim.

Şimdi sorumun ikinci (ve ana) bölümüne:

Windows Server 2012, aşağıdakiler dahil olmak üzere, etki alanı denetleyicilerinin sanallaştırılmasıyla ilgili sorunların ele alınmasını hedefleyen çeşitli özellikler getirmiştir:

  1. VM-Generation ID - Bu, anlık görüntü alma (ya da daha özel olarak anlık görüntüye geri dönme) anlamına gelen USN geri alma sorununu giderdi / gerçekten kötü bir fikirdi.
  2. Küme Önyüklemesi - Bu, yukarıda bahsettiğim Yük Devretme Kümelemesi'ni çevreleyen "tavuk ve yumurta" sorununu ele aldı. Yük Devretme Kümelemesi, önyükleme sırasında artık bir DC olmasını gerektirmez.

Bu yüzden ikinci sorum birincisine benzer, ancak bu sefer 2012+ için. Hem vDC'nin hem de ana bilgisayarın 2012+ olduğunu ve denklemden kümelendiğini varsayarsak, yukarıda belirtilenler gibi, hala fiziksel bir DC düşünmem gereken anlamına gelen başka sorunlar var mı? Üzerinde tek bir sanallaştırılmış DC bulunan tek, kümelenmemiş 2012 / 2012R2 Hyper-V ana bilgisayarımın yanında fiziksel bir DC almayı mı düşünmeliyim? Bazı insanların AD'yi Hyper-V ana bilgisayarına yerleştirmeyi önerdiğini duydum, ancak çeşitli nedenlerden dolayı bu fikri sevmiyorum (başlangıç ​​için WB önbelleği devre dışı bırakılıyor).

Bir yan not olarak sorum, Hyper-V sunucunuzun yönetilebilirliği artırmak için etki alanına katılmasının mantıklı olduğunu varsayıyor. Bu iddia incelemeye dayanıyor mu?

GÜNCELLEŞTİRME:

Bazı cevapları okuduktan sonra, sorduğum şeyin kalbine ulaşmak için bazı şeyleri biraz farklı şekilde ifade edebileceğim aklıma geldi:

2012 ve sonrasındaki gelişmelere rağmen, gerçek şu ki, başka bir ana bilgisayarda herhangi bir fiziksel DC veya sanal DC olmadan, ana bilgisayar DC olmadığında hala önyükleme yapıyor. Bu gerçekten bir sorun mu? Bir anlamda, tamamen resimden sanallaştırma alırsanız aynı (ya da çok benzer) bir soru olduğunu varsayalım. Üye sunucuları düzenli olarak herhangi bir DC'den önce başlatırsanız, sorun mu var?


4
Şahsen ben hiçbir zaman AD'yi Hyper-V sunucunuza kurmazdım. Durumla ilgili her şeyi şu an için alın. Tek ve tek sanal DC'nizi kaybedersiniz - tek DNS kaynağınızı kaybedersiniz.
PnP

Yanıtlar:


11

Ben de Hyper-V sunucusunu bir DC yapmazdım.

Fiziksel bir DC'nizin olup olmadığına gelince, benim görüşüme göre, Microsoft'un genel olarak sanallaştırılmış Etki Alanı Denetleyicileri ve özel olarak DC'siz küme önyükleme kümesiyle ilgili olarak yaptığı değişikliklerle, özel olarak gerek duymadığımı, ne de savunuculuğumu göremiyorum. fiziksel bir DC'ye sahip olmak. Fiziksel bir DC'yi sürdürmek, altyapınızı bir sanallaştırma platformuna taşımanın doğasına karşı sezgisel görünür. Tüm altyapımı sanallaştır ama hepsi tek bir fiziksel DC'nin varlığına mı bağlı? Bunun amacı ne?

Etki Alanı Denetleyicilerinizi hala sanallaştırırken "maruz kalmanızı" sınırlandırmanın yolları vardır. Bunun bir yolu, kümenizdeki farklı ana bilgisayarlara birden fazla DC dağıtmak ve bir ana bilgisayar arızası durumunda (kümedeki kaç ana bilgisayara bağlı olduğuna bağlı olarak) birbirlerini ayırmalarını sağlamak için anti-afinite kullanmaktır.

Greg'in cevabı bazı MS önerileri için bir bağlantı içermesine rağmen, bu makale yine de iki yaşında ve Windows Server 2008 ve 2008 R2'ye yönelik. Bu makalenin Windows Server 2012 ve 2012 R2 ile ilgili mevcut en iyi uygulama olduğunu düşünmüyorum. Resmi bir MS belgesi bulamıyorum, ancak bu adam Hyper-V'de lider bir otorite olarak kabul ediliyor - http://www.aidanfinn.com/?p=13171


Sağol Joe. Aslında bir süre önce Aidan'ın makalesini okudum ve sorumu kısmen bilgilendirdi. Beni çarpıcı yapan şey, mantıklı bir şekilde izlemekten sonra, 2012 öncesi fiziksel bir DC için bir durum olmadığı gibi (kümelenmiş bir ortam çalıştırmadığınız sürece (belki de 'kümeyi hazır' yapmanın dışında) bir durum olmadı. Bu yüzden, 2012 ile değişmemiş gibi görünen kümelenme olmadan bile bir pDC'ye olan ihtiyacı hala haklı çıkaran insanlar hakkında diğer kısmı ekledim.
dbr

Yukarıdaki yorumuma katılıyor musunuz, kümelenme sorununu çözerseniz, durumun 2008 ve 2012 arasında gerçekten değişmediğini?
dbr

@ dbr sadece joe'un cevabına, bir hyper-v (xen veya esx değil) için daha önce hyper-v mmc'yi test edeceğim cevabını eklerdim. Bana olduğu gibi, üzerinde DC bulunan ölü bir ev sahibi ve hyperv mmc'nin açılması için canlı bir AD gerekiyordu. Önbelleğe alınmış kimlik bilgileriyle etki alanı yöneticisi olarak giriş yapmış olsam bile sıkışıp kaldım. En son güncellemeyle düzeltilebilir, ancak önemli bir gerçek. (vsphere veya vcenter'ı açabileceğiniz için yerleşik kullanıcıyı kullanabilen esx'in aksine)
yagmoth555 - GoFundMe Monica

Esnekliği arttırmanın başka yollarını da eklemek isteyin: birden fazla sanallaştırma ana bilgisayar kümesine (aynı yerde veya başka yerlerde) sahip olmak ve / veya Azure'a (veya AWS - Azure'un MS mağazaları için birkaç avantajı vardır) ve orada bir DC ya da iki.
Todd Wilcox

18

Etki alanı başına bir fiziksel DC'yi tutmanın bir nedeni, ana bilgisayarı etkileyen veya sanallaştırılmış DC'ler için çerçeve depolamasına zarar veren büyük bir olay varsa, kurtarma işlemini gerçekleştirmek ve sürekliliği sağlamak için en az bir fiziksel DC'ye sahip olmanız gerekir. Microsoft, bu kontrolü yapmaya ve bu tavsiyeyi Active Directory RAP'lerinde (Risk Değerlendirmesi ve Planlama) yapmaya devam etmektedir.

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx

“Etki alanlarınızın her birinde fiziksel etki alanı denetleyicilerini koruyun. Bu, o platformu kullanan tüm ana bilgisayar sistemlerini etkileyen sanallaştırma platformu arızası riskini azaltır.”


2
Bunun mantıklı geldiğinden emin değilim - örneğin, bir şirketin DC ile% 100 sanal olduğunu biliyorum ve düzenli yedekleme yapıyorlar ve 2 kıtada 3 dc (2 Avrupa'da, 1 ABD'de) var .... zor Burada, bir şeyleri kurtarılamaz kılan şekilde üfleyen bir şey hayal etmek.
TomTom

Sanırım yapmaya çalıştıkları nokta, Hyper-V'yi bir bütün olarak etkileyen bir tür sorun varsa, o zaman bir pDC'ye sahip olmak anlamına geldiğinde bir DC'yi yeniden yükleyene kadar (geçici olarak) sıkılırsınız. daha az bozulma. Her ne kadar Hyper-V çapında bir kesinti sorunu olsaydı, yine de oldukça berbat olacağınıza emin değilim!
dbr

1
Güzel ve sersem, ama yine de tamamen alakasız UNLESS, o zaman altyapınızın önemli bir bölümünü Hyper-V dışında tutuyorsunuz. DC çalışıyor, ancak dosya paylaşımları, paylaşım noktaları, değiş tokuş, baskı ve diğer tüm şeyleri bozuyor - yani DC'nin tekrar yukarı kalkması umrumda değil;) Çoğunlukla "birden fazla DC'ye sahip olmak ve yedekleme yapmak" yerine geçer. her iki taraf da (Hyper-V ve fiziksel).
TomTom

@TomTom Bu, "yine de berbat olurdun" yorumumla içgüdüdüğüm şeydi :) Hemen hemen her şeyin sanallaştırılacağını varsayıyordum. Tamamen “birden fazla DC’ye sahip olmak ve yedekleme yapmak” anlamına geldiği konusunda hemfikir olun
dbr

Çalıştığım @TomTom Company, AD altyapısı için de tamamen sanal. Ve W2K3'ten bu yana olmuştur. Fakat HyperV: ESX'i tamamen kullanmıyoruz. Her kıtada 2 ayrı ESX küme altyapısı seti. Her etki alanı (en azından) 3 DC'ye sahiptir: başka bir kıtada 1 DC ve "ev" kıtasındaki 2 ESX ortamının her birinde 1 DC.
Tonny

10

Tek satırlık bir cevap aradığınızı hissediyorum, işte burada:

Sanal ortamınızın arızaya dayanma kabiliyetine güvenmiyorsanız, fiziksel bir DC'niz olmalıdır.

Her senaryodaki özellik ve istisnalar hakkında balmumu yapabiliriz, ancak bunun sorunun kökenine çarptığını düşünüyorum.


3

Kümeleri denklemden çıkaralım ve sorunuzdaki beni ürperten tek çizgiye odaklanalım.

Üzerinde tek bir sanallaştırılmış DC bulunan tek, kümelenmemiş 2012 / 2012R2 Hyper-V ana bilgisayarımın yanında fiziksel bir DC almayı mı düşünmeliyim ?

Niçin, niçin, niçin tek bir DC istiyorsunuz? Herhangi bir ortamda, herhangi bir altyapı için tek bir başarısızlık noktasından kaçınmaya çalışıyoruz. DC'ler ekmek ve tereyağıdır - Active Directory'nin bel kemiği olan DNS'i sağlarlar. Cidden, 2008R2'de bir Windows 7 Masaüstü Bilgisayarı yeniden kurun ve tanıtın. Orada güçlü bir vaka hep fiziksel bir DC için.

AD DS'li Hyper-V? Hayır sadece hayır. İlk olarak, Microsoft bunu desteklemiyor. İkincisi, sizin de bahsettiğiniz gibi, yedekleme işlemlerinin yapılması disk yapılandırmanıza bağlı bir acı haline gelecektir. Bahsetmiyorum bile - sanallaştırmanın güzelliği, fiziksel ana bilgisayarları yapabileceğimiz en kısa sürede emekli edebilme yeteneğidir (ve bir dcpromo'nun (ortamınızın boyutuna bağlı olarak) çok büyük bir şey olmadığını takdir ediyorum) ve AD DS'yi barındırmak biraz karışık önemli. Ayrıca başka bir Windows Saati karmaşıklığını da tanıtırsınız.

Şahsen ben kendi başıma Hyper-V'i alanımdan uzak tutuyorum, ama gerçekte, her iki yapılandırma için de gerçek bir tartışmam yok.


3
Cevabınızın çoğu, tamamen geçerli olan ancak soru ile ilgisi olmayan puanlar vererek gereksiz yere kritik öneme sahip. Elbette çoklu DC'ler hemen hemen her zaman bir zorunluluktur - alıntılanan kısım bir noktayı / soruyu göstermek için kullanılıyor. HV + AD combo yine sadece bir yan not ve sanırım ben de combo aşığı olmadığımı açıkça anladım.
dbr

2
Varsa "her zaman fiziksel bir DC için güçlü bir durumdur." [vs. örneğin ikinci bir vDC] - bu durumu açıklayabilir misiniz? Bu gerçekten benim sorum.
dbr

1

Bunun gerçekten bir sorun olup olmadığı konusundaki son soruyu yanıtlamak için: Hyper-V'in RDP'nin etkin olduğunu, ancak NLA gerektirdiğini düşündüğümde, Ağ Konumu Farkındalığı servisini yeniden başlatmadan sonraya kadar RDP'ye izin vermediğini fark ettim. Önyüklendiğinde DC'yi aç. Bu noktalarda uzaktan VMMS ile bağlantı kurma konusunda da sıkıntı yaşadım, ancak yalnızca başka bir şey de kırıldığında. RDP'ye giremiyorsanız veya uzaktan Hyper-V yöneticisine bağlanamıyorsanız, neyin kırıldığını anlamak ve işleri düzeltmek gerçekten zor. Etrafında fiziksel bir DC tutmak, bunun bana herhangi bir noktada olmasını engelledi.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.