早在 Windows Server 2012 之前的日子里,建议似乎是让至少一个物理域控制器与您的虚拟化 DC 并排放置。
这样做的一个理由是,如果您的 Hyper-V 主机是集群的,那么它们需要在启动期间可以联系到 DC。这对我来说完全有意义。
但是,我经常听到人们说,即使您没有集群设置,拥有一个物理 DC 仍然很重要(例如,在一个运行多个 VM 的单个 Hyper-V 服务器的简单设置中,一个其中是 DC)。这样做的理由似乎(我永远无法确定)在 Hyper-V 主机首次启动时,网络上不存在 DC 的意义上仍然存在问题。缓存的凭据意味着您仍然可以登录,但是在启动过程中发生的所有这些位意味着拥有 DC 是有益的呢?这真的是一个问题吗?实际上是否有任何可能只运行的操作在启动时会导致问题吗?例如,任何组策略?我基本上要问的是,物理 DC 论点是否仅在涉及集群时才真正成立,或者(2012 年之前)是否存在没有集群的重要技术案例?Altaro 的这篇文章 (参见“鸡和蛋”神话部分)表明没有必要,但我仍然不确定。
现在到我问题的第二个(也是主要)部分:
Windows Server 2012 引入了几个旨在解决虚拟化域控制器问题的功能,包括:
- VM-Generation ID - 这解决了 USN 回滚问题,这意味着快照(或更具体地说,回滚到快照)不受支持/一个非常糟糕的主意
- Cluster Bootstrapping - 这解决了我上面提到的围绕故障转移集群的“鸡和蛋”问题。故障转移群集不再需要在启动期间存在 DC。
所以我的第二个问题与第一个问题相似,但这次是针对 2012 年以上的。假设 vDC 和主机都是 2012+ 并且您将集群排除在等式之外,是否还有其他类似上面提到的问题意味着我仍然应该考虑物理 DC?我是否仍应考虑在我的单个非集群 2012/2012R2 Hyper-V 主机旁边安装一个物理 DC,该主机上有一个虚拟化 DC?我听说有人建议将 AD 放在 Hyper-V 主机上,但出于各种原因我不喜欢这个想法(一开始就禁用了 WB 缓存)。
作为旁注,我的问题隐含地假设让您的 Hyper-V 主机加入域以提高可管理性是有意义的。这种说法是否经得起推敲?
更新:
在阅读了一些答案之后,我突然想到,我可以用稍微不同的方式来表达我所要问的问题的核心:
即使在 2012 年及以后进行了改进,事实仍然是,在另一台主机上没有任何物理 DC 或虚拟 DC,主机仍然在没有可用 DC 时启动。这真的是一个问题吗?从某种意义上说,我认为如果您完全不考虑虚拟化,这是相同(或非常相似)的问题。如果您定期在任何 DC 之前启动成员服务器,这是一个问题吗?
每个域保留一个物理 DC 的一个理由是,如果发生影响主机或破坏虚拟化 DC 的帧存储的重大事件,您将至少有一个具有本地存储的物理 DC 来执行恢复并保持连续性。Microsoft 在 Active Directory RAP(风险评估和规划)期间继续执行此检查并提出此建议。
https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx
“在您的每个域中维护物理域控制器。这降低了影响使用该平台的所有主机系统的虚拟化平台故障的风险。”
我也不会让 Hyper-V 主机成为 DC。
至于你是否应该拥有一个物理 DC,我的观点是,随着微软对虚拟化域控制器和具体的无 DC 集群引导实施的更改,我个人认为没有必要,也不提倡拥有物理 DC。维护物理 DC 似乎与将基础架构迁移到虚拟化平台的性质背道而驰。虚拟化我的整个基础架构,但这一切都取决于一个可用的物理 DC?那有什么意义呢?
有一些方法可以限制您的“暴露”,同时仍然虚拟化您的域控制器。一种方法是在集群中的不同主机上部署多个 DC,并使用反关联性在主机发生故障时将它们分开(取决于集群中有多少主机)。
虽然 Greg 的回答包括一些 MS 建议的链接,但那篇文章仍然有两年的历史,涉及 Windows Server 2008 和 2008 R2。我不认为该文章是与 Windows Server 2012 和 2012 R2 相关的当前最佳实践。我找不到官方的 MS 文档,但这个人被认为是 Hyper-V 的权威 - http://www.aidanfinn.com/?p=13171
我觉得你正在寻找一个单行的答案,所以这里是:
我们可以讨论每种情况的特殊性和例外情况,但我认为这是问题的根源。
让我们从等式中取出集群,并专注于您问题中让我不寒而栗的一行。
为什么,为什么,为什么,你想要一个 DC 吗?在任何给定的环境中,我们都尽量避免任何给定的基础设施出现单点故障。DC 是您的生计——它们提供 DNS,即 Active Directory 的骨干。说真的,在 2008R2 上重建 Windows 7 台式电脑并进行推广。物理 DC总是有充分的理由。
带有 AD DS 的 Hyper-V?不就是不。首先,微软不支持这个。其次,正如您所提到的,处理备份将变得很痛苦,具体取决于您的磁盘配置。更不用说 - 虚拟化的美妙之处在于能够尽快淘汰物理主机(我很欣赏 dcpromo 并不是什么大不了的事(取决于您的环境的大小))并且托管 AD DS 只是复杂化很重要。您还引入了另一个 Windows 时间复杂度。
就我个人而言,我将我的独立 Hyper-V 主机留在域之外,但实际上,我对这两种配置都没有真正的论据。
要回答关于这是否真的是一个问题的最后一个问题:我注意到我的 Hyper-V 主机启用了 RDP,但需要 NLA,如果没有,则在我重新启动网络位置感知服务之前不允许 RDP开机时直流电。在这些点上,我偶尔也会遇到远程连接到 VMMS 的问题,但只有当其他东西也被破坏时。当您无法进入 RDP 或无法远程连接到 Hyper-V 管理器时,很难找出问题所在并进行修复。保持物理 DC 可以防止这种情况在任何时候发生在我身上。