Frage Sollte ich noch einen physischen DC haben, auch nach dem Server 2012?


In den Tagen vor Windows Server 2012 schien die Empfehlung zu lauten, mindestens einen physischen Domänencontroller neben den virtualisierten Domänencontrollern zu haben.

Eine Begründung dafür war, dass, wenn Ihre Hyper-V-Hosts geclustert waren, ein DC erforderlich war, um während des Hochfahrens erreichbar zu sein. Das macht total Sinn für mich.

Ich höre jedoch oft, dass es immer noch wichtig ist, einen physischen Domänencontroller zu haben, auch wenn Sie kein Cluster-Setup haben (zum Beispiel in einem einfachen Setup mit einem einzelnen Hyper-V-Server, auf dem mehrere VMs laufen) davon ist eine DC). Die Rechtfertigung dafür schien (und ich konnte nie ganz sicher sein), dass Sie immer noch ein Problem in dem Sinne haben, dass wenn der Hyper-V-Host zum ersten Mal bootet, kein DC im Netzwerk vorhanden ist. Zwischengespeicherte Anmeldeinformationen bedeuten, dass Sie sich immer noch anmelden können. Aber was ist mit all den Bits, die während des Hochfahrens passieren, dass ein DC in der Nähe nützlich ist? Ist das tatsächlich ein Problem? Gibt es tatsächlich irgendwelche Operationen, die ausgeführt werden könnten? nur beim Hochfahren wird das ein Problem verursachen? Zum Beispiel irgendwelche Gruppenrichtlinien? Was ich im Grunde frage ist, ob das physikalische DC-Argument nur dann wirklich hält, wenn Clustering beteiligt ist, oder war (vor 2012) ein bedeutender technischer Fall dafür ohne Clustering? Diese Artikel  von Altaro (siehe "Die" Chicken-and-Egg "-Mythologie" Abschnitt ") deutet darauf hin, dass es keine Notwendigkeit gibt, aber ich bin immer noch unsicher.

Nun zum zweiten (und wichtigsten) Teil meiner Frage:

Windows Server 2012 hat verschiedene Funktionen eingeführt, die auf die Probleme im Zusammenhang mit der Virtualisierung von Domänencontrollern abzielen:

  1. VM-Generierungs-ID - Dies behebt das USN-Rollback-Problem, das bedeutete, dass das Snapshot-Verfahren (oder genauer gesagt das Zurückrollen zu einem Snapshot) nicht unterstützt wurde / eine wirklich schlechte Idee
  2. Cluster-Bootstrapping - Dies betrifft das Thema "Henne und Ei" rund um Failover Clustering, das ich bereits erwähnt habe. Failoverclustering erfordert nicht mehr, dass ein Domänencontroller während des Systemstarts vorhanden ist.

Also meine zweite Frage ist ähnlich wie die erste, aber diesmal für 2012+. Angenommen, sowohl der vDC als auch der Host sind 2012+ und Sie nehmen Clustering aus der Gleichung heraus. Gibt es andere Probleme wie die oben genannten, die bedeuten, dass ich immer noch einen physischen DC in Betracht ziehen sollte? Sollte ich noch darüber nachdenken, einen physischen Domänencontroller neben meinem einzigen, nicht geclusterten 2012 / 2012R2 Hyper-V-Host zu haben, auf dem sich ein einzelner virtualisierter Domänencontroller befindet? Ich habe gehört, dass einige Leute vorschlagen, AD auf den Hyper-V-Host zu setzen, aber ich mag diese Idee aus verschiedenen Gründen nicht (der WB-Cache wird zunächst deaktiviert).

Als Nebenbemerkung wird implizit davon ausgegangen, dass es sinnvoll ist, Ihren Hyper-V-Host mit der Domäne zu verbinden, um die Verwaltbarkeit zu verbessern. Wird diese Behauptung einer Überprüfung standhalten?

AKTUALISIEREN:

Nachdem ich einige Antworten gelesen hatte, fiel mir ein, dass ich die Dinge etwas anders formulieren könnte, um zu dem Kern dessen zu kommen, was ich gefragt habe:

Selbst mit den Verbesserungen von 2012 und später bleibt die Tatsache bestehen, dass ohne physische DCs oder virtuelle DCs auf einem anderen Host der Host immer noch bootet, wenn kein DC verfügbar ist. Ist das tatsächlich ein Problem? In gewissem Sinne ist es wahrscheinlich die gleiche (oder sehr ähnliche) Frage, wenn Sie die Virtualisierung vollständig aus dem Bild nehmen. Wenn Sie Mitgliedsserver regelmäßig vor DCs starten, ist das ein Problem?


30
2018-04-05 14:37


Ursprung


Persönlich würde ich AD nie auf Ihrem Hyper-V-Host installieren. Nimm alles, was mit dem Cluster zu tun hat, für den Moment aus der Situation. Sie verlieren Ihren einzigen virtuellen DC - Sie verlieren Ihre einzige DNS-Quelle. - PnP


Antworten:


Ich würde den Hyper-V-Host auch nicht zu einem DC machen.

Ob Sie einen physischen Domänencontroller haben sollten oder nicht, ist meiner Meinung nach, dass mit den Änderungen, die Microsoft im Hinblick auf virtualisierte Domänencontroller im Allgemeinen und DC-losen Cluster-Bootstrapping speziell implementiert hat, ich persönlich weder die Notwendigkeit sehe noch befürworte einen physischen DC haben. Das Aufrechterhalten eines physischen Domänencontrollers scheint der Art der Migration Ihrer Infrastruktur auf eine Virtualisierungsplattform nicht zu entsprechen. Virtualisierung meiner gesamten Infrastruktur, aber alles hängt davon ab, dass ein einziger physischer Domänencontroller verfügbar ist? Was ist der Sinn darin?

Es gibt Möglichkeiten, Ihre "Exposition" zu begrenzen, während Sie Ihre Domänencontroller weiterhin virtualisieren. Eine Möglichkeit besteht darin, mehrere Domänencontroller auf verschiedenen Hosts in Ihrem Cluster bereitzustellen und Anti-Affinität zu verwenden, um sie im Falle eines Hostfehlers separat zu halten (abhängig davon, wie viele Hosts sich im Cluster befinden).

Während Gregs Antwort einen Link zu einigen MS-Empfehlungen enthält, ist dieser Artikel dennoch zwei Jahre alt und adressiert Windows Server 2008 und 2008 R2. Ich würde diesen Artikel nicht als aktuelle Best Practice in Bezug auf Windows Server 2012 und 2012 R2 betrachten. Ich kann kein offizielles MS-Dokument finden, aber dieser Typ gilt als führende Autorität auf Hyper-V - http://www.aidanfinn.com/?p=13171


11
2018-04-05 15:22



Danke Joe. Ich habe vor einiger Zeit Aidans Artikel gelesen und es hat meine Frage teilweise beantwortet. Was mir auffällt ist, dass es logischerweise für einen physischen DC vor 2012 nicht wirklich einen Fall gab, es sei denn, Sie haben eine Cluster-Umgebung ausgeführt (abgesehen davon, dass Sie vielleicht das Setup "Cluster bereit machen"). Deshalb habe ich das andere Bit über Leute hinzugefügt, die immer noch die Notwendigkeit eines pDC auch ohne Clustering rechtfertigen, was sich mit 2012 nicht geändert zu haben scheint. - dbr
Würden Sie meinen obigen Ausführungen zustimmen, dass sich die Situation zwischen 2008 und 2012 nicht wirklich geändert hat, wenn Sie das Clustering-Problem aus dem Weg räumen? - dbr
@dbr Ich würde nur Joes Antwort hinzufügen, dass ich für ein hyper-v (nicht xen oder esx) das hyper-v mmc vorher testen würde. Wie es mir passierte, ein toter Host mit dem DC darauf, und der hyperv mmc brauchte eine lebendige AD um zu öffnen. Ich steckte fest, selbst wenn ich als Domain-Administrator mit den zwischengespeicherten Anmeldeinformationen angemeldet war. Könnte mit dem letzten Update behoben werden, aber es ist eine wichtige Tatsache. (Im Gegensatz zu esx, die eingebauten Benutzer verwenden können, wie Sie noch vsphere oder vcenter öffnen können) - yagmoth555♦
Ich möchte nur noch andere Möglichkeiten hinzufügen, um die Ausfallsicherheit zu verbessern: Sie haben mehr als einen Virtualisierungshostcluster (entweder am selben Ort oder an anderen Orten) und / oder bauen ein VPN zu Azure (oder AWS - Azure hat ein paar Vorteile für MS-Shops) ein DC oder zwei da oben. - Todd Wilcox


Eine Begründung für die Beibehaltung eines physischen Domänencontrollers pro Domäne ist, dass bei einem schwerwiegenden Vorfall, der den Host betrifft oder den Frame-Speicher für die virtualisierten Domänencontroller zerstört, mindestens ein physischer Domänencontroller mit lokalem Speicher für die Wiederherstellung und Aufrechterhaltung der Kontinuität vorhanden ist. Microsoft führt diese Überprüfung und diese Empfehlung während Active Directory-RAPs (Risk Assessment and Planning) fort.

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx 

"Pflegen Sie in jeder Ihrer Domänen physische Domänencontroller. Dies mindert das Risiko einer Fehlfunktion der Virtualisierungsplattform, die sich auf alle Hostsysteme auswirkt, die diese Plattform verwenden."


18
2018-04-05 15:08



Nicht sicher, dass das sinnvoll ist - siehe zum Beispiel, ich weiß, dass ein Unternehmen 100% virtuell mit dem DC ist und sie regelmäßig Backups machen und 3 DC auf 2 Kontinenten haben (2 in Europa, 1 in USA) .... schwer sich hier etwas vorzustellen, das auf eine Weise bläst, die die Dinge nicht wiederherstellbar macht. - TomTom
Ich denke, der Punkt, den sie versuchen zu machen, ist, wenn es ein Problem gibt, das Hyper-V als Ganzes betrifft, dann würden Sie (vorübergehend) so lange schikaniert werden, bis Sie einen DC wiederherstellen konnten, was ein pDC bedeuten würde weniger Störung. Ich bin mir nicht sicher, ob ich dem zustimmen würde, da Sie sowieso ziemlich schade wären, wenn es zu einem Hyper-V-weiten Ausfall kommen würde! - dbr
Nett und dandy, aber wieder total irrelevant, OHNE dass du dann einen erheblichen Teil deiner Infrastruktur aus Hyper-V hast. DC funktioniert, aber File Shares, Sharepoint, Exchange, Printing und alle anderen Dinge - ich interessiere mich eher nicht dafür, dass der DC wieder hochgefahren wird;) Es läuft meistens auf "mehrere DC haben und Backups machen" und das ist der Fall beide Seiten (Hyper-V und physisch). - TomTom
@TomTom Das war, was ich mit meinem "Du würdest sowieso ziemlich scheißegal" kommentieren :) Ich ging davon aus, dass so ziemlich alles andere virtualisiert werden würde. Stimme völlig zu, dass es darauf ankommt, "mehrere DCs zu haben und Backups zu erstellen" - dbr
@ TomTom Company, für die ich arbeite, ist auch für die AD-Infrastruktur komplett virtuell. Und das war seit W2K3. Aber wir verwenden HyperV: ESX nicht den ganzen Weg. 2 separate Sets von ESX Cluster-Infrastruktur auf jedem Kontinent. Jede Domäne hat (mindestens) 3 DCs: 1 DC auf einem anderen Kontinent und 1 DC in jeder der 2 ESX-Umgebungen auf dem "Heimat" -Kontinent. - Tonny


Ich habe das Gefühl, dass du nach einer Ein-Zeilen-Antwort suchst, also hier ist es:

Sie sollten über einen physischen Domänencontroller verfügen, wenn Sie der Fähigkeit Ihrer virtuellen Umgebung, Fehler zu widerstehen, nicht vertrauen.

Wir könnten über die Besonderheiten und Ausnahmen bei jedem Szenario nachdenken, aber ich denke, das ist die Wurzel der Frage.


10
2018-04-08 02:33





Lassen Sie uns Cluster aus der Gleichung herausnehmen und konzentrieren Sie sich auf die eine Zeile in Ihrer Frage, die mich schaudern lässt.

Sollte ich noch in Erwägung ziehen, einen physischen DC neben meinem einzigen, nicht geclusterten 2012 / 2012R2 Hyper-V-Host zu haben, der a Single virtualisierte DC drauf?

Warum, warum, warum, möchtest du einen einzigen DC? In jeder Umgebung versuchen wir einzelne Fehlerquellen für eine gegebene Infrastruktur zu vermeiden. DCs sind dein Brot und Butter - sie bieten DNS, das Rückgrat von Active Directory. Ernsthaft, bauen Sie einen Windows 7 Desktop PC auf 2008R2 neu auf und promoten Sie ihn. Es gibt immer ein starker Fall für einen physischen DC.

Hyper-V mit AD DS? Nein einfach nein. Erstens unterstützt Microsoft dies nicht. Zweitens, wie Sie bereits erwähnt haben, wird die Handhabung von Backups zu einer Belastung, die von Ihrer Festplattenkonfiguration abhängt. Nicht zu vergessen - die Schönheit der Virtualisierung ist die Möglichkeit, physische Hosts so schnell wie möglich in den Ruhestand zu versetzen (und ich weiß, dass ein dcpromo keine große Sache ist) (abhängig von der Größe Ihrer Umgebung)) und das Hosting von AD DS kompliziert Angelegenheiten. Sie führen auch eine andere Windows-Zeit-Komplexität ein.

Persönlich verlasse ich meine eigenständigen Hyper-V-Hosts von der Domäne, aber in Wirklichkeit habe ich kein echtes Argument für beide Konfigurationen.


3
2018-04-05 15:04



Der Großteil Ihrer Antwort ist unnötig kritisch, indem Sie Punkte machen, die absolut gültig sind, aber nichts mit der Frage zu tun haben. Natürlich sind mehrere DCs fast immer ein Muss - der zitierte Teil wird verwendet, um einen Punkt / eine Frage zu veranschaulichen. Die HV + AD-Combo ist wieder nur eine Randnotiz, und ich glaube, mir war klar, dass ich auch kein Liebhaber der Combo bin. - dbr
Wenn es "immer einen starken Fall für einen physischen DC gibt." [vs. ein zweites vDC zum Beispiel] - könnten Sie das erklären? Das ist wirklich meine Frage. - dbr


Um die letzte Frage zu beantworten, ob dies tatsächlich jemals ein Problem ist: Ich habe festgestellt, dass meine Hyper-V-Hosts mit aktiviertem RDP, aber mit NLA, RDP erst zulassen, nachdem ich den Network Location Awareness-Dienst neu gestartet habe DC hoch, wenn es bootet. Ich hatte gelegentlich Probleme mit der Remote-Verbindung zu VMMS auch an diesen Punkten, aber nur, wenn auch etwas anderes kaputt war. Wenn Sie nicht in der Lage sind, eine RDP-Verbindung herzustellen oder eine Verbindung zum Hyper-V-Manager herzustellen, ist es wirklich schwierig herauszufinden, was kaputt ist und was behoben wird. Ein physischer DC zu halten hat verhindert, dass mir das irgendwann passiert.


1
2017-11-10 20:10