作为一家小商店(约 10 台 PC),我们只有一台物理服务器机器。此物理服务器机器运行以下两个虚拟机:
- 一个 AD 域控制器和
- 一台“生产服务器”(文件服务器、数据库服务器等)。
现在,所有最佳实践指南都告诉我,强烈建议使用第二个 AD 域控制器(“备份 DC”)。
把它放在与主 DC 相同的物理机器上似乎毫无意义,所以我想把它作为一个 VM 放在通常运行 24-7 的更强大的工作站之一上。由于它只是一个备份 DC,我会给它很少的 CPU/RAM 资源,所以它不会对用户造成太大影响。
这听起来像是一个好计划还是有什么我应该注意的陷阱?
我相信普遍的共识是“不”,尤其是当您计划将第二个 DC 作为带有工作站主机的 VM 托管时。
您使用两个 DC 的原因是,一个出现故障不会使您的网络瘫痪,并且在更大的环境中提供更多资源来执行 DC 的任务。
如果将其中一个 DC 作为 VM 放置在服务器机柜中的专用虚拟机管理程序中,并且周围有静态 IP,则不会严重损害系统的容错能力。而 Windows Server 2016 尤其解决了虚拟环境中 DC 的许多问题,例如权威记录、备份和恢复等。
但是,如果将 DC 作为 VM 放置在工作站上,则 DC VM 依赖于主机的连接性,这抵消了冗余的大部分好处。
如果主物理 DC 出现故障,您的工作站主机将失去连接,因此备份 DC 也会:毫无价值。
您将获得的唯一冗余是如果 VM DC 出现故障,在这种情况下,物理 DC 将继续运行并提供网络的需求。
换句话说:没有任何好处。
更新:一个选项
有了许可,您可以花一点硬件和 Windows Server 的单个标准许可的价格,建立一个 Hypervisor(我可能建议 Nano 吗?)并在其上运行 2 个 VM 服务器。运行一个作为您的第二个 DC,另一个作为标准的提供服务的服务器。
我认为,这只需少量现金就可以解决大部分问题。
假设虚拟机管理程序和在其上运行的虚拟机都将是静态 IP 系统,网络中断不太可能影响它们。
服务器级管理程序软件在修补后也不太可能需要重新启动(因此我的 Nano 建议),这意味着管理程序不需要像普通桌面那样频繁地重新启动。
这只是一个更好的全方位解决方案,而不是更多的钱。
我不喜欢这个主意。在工作站上,您将运行某种具有 Server 20xx 和 AD 角色的免费 Hypervisor。
您必须拥有一个唯一的 Windows Server 20xx 许可证,您将在该机器上安装该许可证,如果您要走那么远,我建议您购买一台专用机器或清理一些东西。
在您的情况下,AD 需要的资源很少,因此具有 4GB RAM 和 120GB SATA HDD 的东西可以工作。我希望至少看到 2 个核心。也许在拍卖网站上寻找二手服务器。
回到过去,我们在小型企业环境中做过类似的事情。破产而不是在工作站中拥有第二个 DC。我刚刚在那台计算机上安装了 Hyper-V 服务器并创建了 PDC VM 的副本。在我们丢失 PDC 的极少数情况下(物理管理程序服务器有些不稳定),我们只是在第二台机器上手动启动副本服务器。这可以通过 powershell 脚本和计划任务轻松调整以使其自动化。
这远不是理想的解决方案,当 de PDC 出现故障时,当我在办公室网络之外(例如:在家)时,让自己进入辅助机器以启动副本非常痛苦(但可行),但是它确实有效,但是我不能在生产环境中推荐它。
后来这台工作站 PC 死了,我只是懒得恢复它。在另一个管理程序服务器上的新虚拟机中安装了第二个 DC。现在没有人需要关心 PDC 的问题,第二个 DC 仍然可以正常工作,除非我们有网络问题,但 DC 不是我们最大的问题。
这也是一个可行的解决方案(至少对我们来说),但是如果您在 VM 上运行 DC 并且虚拟机管理程序是同一域的成员,那么您需要注意一些事情(尤其是时间同步)。
PS:我们没有在这个网络上使用 DHCP,只是静态地址。
建议在物理服务器而不是虚拟主机上运行 DC。您可以将 ADC 保留在虚拟主机上
如果 vm 主机服务器出现任何问题或需要重新启动。可能是域身份验证问题