我已经这样做了并且后悔了。正如 Zoredache 所说,VMWare 创建的额外网络接口会根据服务器的名称放入 DNS 中,然后网络上的 PC 开始连接到服务器时出现问题。它还破坏了站点间复制,因为其他 DC 试图复制到 VMWare IP 地址。即使您在 VMWare 网络的 TCP/IP 设置中取消选中“在 DNS 中注册此连接”框,该死的东西仍坚持将它们添加到区域文件中。我从来没有找到解决这个问题的方法。
我已将 Hyper-V 放在 DC 上。如果您有多个 NIC 并且可以保留一个未配置为 Hyper-V 网络的 NIC,则可以这样做。您只需禁用 DC 上所有额外的合成 Hyper-V NIC。由于 Hyper-V 使用半虚拟化,禁用 DC 上的合成 NIC 不会影响在其上运行的任何 VM。
我已经这样做了并且后悔了。正如 Zoredache 所说,VMWare 创建的额外网络接口会根据服务器的名称放入 DNS 中,然后网络上的 PC 开始连接到服务器时出现问题。它还破坏了站点间复制,因为其他 DC 试图复制到 VMWare IP 地址。即使您在 VMWare 网络的 TCP/IP 设置中取消选中“在 DNS 中注册此连接”框,该死的东西仍坚持将它们添加到区域文件中。我从来没有找到解决这个问题的方法。
我已将 Hyper-V 放在 DC 上。如果您有多个 NIC 并且可以保留一个未配置为 Hyper-V 网络的 NIC,则可以这样做。您只需禁用 DC 上所有额外的合成 Hyper-V NIC。由于 Hyper-V 使用半虚拟化,禁用 DC 上的合成 NIC 不会影响在其上运行的任何 VM。
如果您的服务器只有一个 NIC,您仍然可以使用 Hyper-V,但请注意,您将无法在服务器上运行 DHCP 服务器,因为它不会绑定到合成 NIC。
约翰·雷尼
我也这么认为...因为您正在增加失败的机会/概率。
AD 服务器是关键资源,每个用户都在使用。如果您在其上安装虚拟服务器并且出现问题(例如:软件崩溃、CPU 使用异常等),所有用户都会受到影响。
所以我认为“保持AD服务器单独”会更好。
更新 还有一件事:我见过一些虚拟机导致物理服务器的网络适配器出现问题的情况。这意味着在自动配置虚拟机的网络时,它也会给物理机的网络连接带来一些麻烦。我不知道原因/麻烦,但我已经看到了。那么,我们为什么要在关键资源上放置不必要的麻烦呢?
您将遇到的最大问题是域控制器禁用了磁盘写入缓存。这将大大降低您的 VM 性能,这当然取决于您的 VM 写入磁盘的频率。
扭转局面 - 如果这是一个辅助 DC(即不担任任何主要的 FSMO 角色),为什么不降级为成员服务器,安装 VMWare,并在其位置创建一个虚拟 DC?
我认为 DC 和虚拟不能很好地混合,但我已经在 hyper V 上运行 DC 几个月了,没有任何障碍。此外,我在几次就 VM 相关问题给 MS 打的电话中提出了这个问题,他们并不真正建议不要对 DC 进行虚拟化。(显然我不会将两个 DC 作为虚拟机放在同一个盒子上——这绝对违背了目的)
为了解决上面提出的问题,您的主机操作系统应该始终有一个与虚拟网络使用的 NIC 分开的 NIC。这将避免来自共享 NIC 的任何可能的网络异常。
我的理论是这样的。安装 Vmware 后,它会为 NAT 和主机网络设置几个虚拟接口。与这些接口关联的地址将发布到 DNS 服务器并搞砸。我从来没有试过看看会发生什么。
从安全角度来看,这不是一个特别好的主意。最佳做法是隔离功能,就像您不会让您的公共 Web 服务器也成为您的中央 AD 服务器一样。Active Directory 是基于 Microsoft 的环境的核心功能,如果您的 AD 遭到入侵,那么基本上您的整个网络都对攻击者开放。
VMWare 存在妥协,允许从来宾环境在主机操作系统上执行代码,例如 CVE-2009-1244 (cve.mitre.org) 是一个记录的漏洞。