ฉันควรจะมี DC ทางกายภาพอยู่หรือไม่แม้กระทั่ง post-Server 2012

30

ย้อนกลับไปในช่วงพรี Windows Server 2012 วันข้อเสนอแนะดูเหมือนจะมีตัวควบคุมโดเมนทางกายภาพอย่างน้อยหนึ่งตัวนั่งอยู่ข้าง DC เสมือนจริงของคุณ

เหตุผลหนึ่งที่เป็นเช่นนี้ก็เพราะว่าถ้าโฮสต์ Hyper-V ของคุณเป็นคลัสเตอร์จากนั้นพวกเขาต้องการให้ DC สามารถติดต่อได้ในระหว่างการบูทเครื่อง นี่ทำให้ฉันรู้สึกโดยรวม

อย่างไรก็ตามฉันมักจะได้ยินคนพูดว่ามันเป็นสิ่งสำคัญที่จะมี DC ทางกายภาพแม้ว่าคุณจะไม่ได้ตั้งค่าคลัสเตอร์ (พูดเช่นในการตั้งค่าที่เรียบง่ายด้วยเซิร์ฟเวอร์ Hyper-V เดียวที่ใช้ VM สองตัวหนึ่ง ซึ่งเป็น DC) ข้ออ้างสำหรับเรื่องนี้ดูเหมือนจะ (และฉันไม่เคยแน่ใจเลยทีเดียว) ว่าคุณจะยังคงมีปัญหาในแง่ที่ว่าเมื่อโฮสต์บู๊ตเครื่องแรกของ Hyper-V ไม่มี DC ในเครือข่าย ข้อมูลประจำตัวที่แคชหมายถึงคุณยังสามารถเข้าสู่ระบบได้ แต่สิ่งที่เกี่ยวกับบิตเหล่านั้นทั้งหมดที่เกิดขึ้นระหว่างการบู๊ตนั่นหมายความว่าการมี DC อยู่รอบ ๆ นั้นมีประโยชน์หรือไม่ นี่เป็นปัญหาจริงหรือ จริง ๆ แล้วมีการดำเนินการใด ๆ ที่อาจทำงานเท่านั้นตอนบูทเครื่องที่จะทำให้เกิดปัญหา นโยบายกลุ่มใด ๆ เช่น? สิ่งที่ฉันถามโดยทั่วไปคือข้อโต้แย้งทางกายภาพของ DC มีไว้สำหรับการรวมกลุ่มหรือไม่ (ก่อนปี 2012) มีกรณีทางเทคนิคที่สำคัญสำหรับมันโดยไม่ต้องจัดกลุ่มหรือไม่ นี้บทความ จาก Altaro (ดู "ส่วน ‘ไก่และไข่’ ตำนาน") แสดงให้เห็นมีความจำเป็น แต่ฉันยังไม่แน่ใจ

ตอนนี้เป็นส่วนที่สอง (และหลัก) ของคำถามของฉัน:

Windows Server 2012 ได้แนะนำคุณสมบัติต่าง ๆ ที่มีเป้าหมายเพื่อจัดการกับปัญหาเกี่ยวกับตัวควบคุมโดเมนเสมือนจริงรวมถึง:

  1. VM-Generation ID - สิ่งนี้ระบุถึงปัญหาการย้อนกลับของ USN ซึ่งหมายถึงการถ่ายภาพสแนปชอต (หรือโดยเฉพาะอย่างยิ่งการย้อนกลับไปที่สแน็ปช็อต) ไม่ได้รับการสนับสนุน / เป็นแนวคิดที่แย่มาก
  2. Cluster Bootstrapping - สิ่งนี้กล่าวถึงปัญหา "ไก่และไข่" ที่อยู่รอบ ๆ Failover Clustering ที่ฉันกล่าวถึงข้างต้น การทำคลัสเตอร์ Failover ไม่ต้องการ DC อีกต่อไปในระหว่างการบู๊ต

ดังนั้นคำถามที่สองของฉันคล้ายกับคำถามแรก แต่เวลานี้สำหรับปี 2012 สมมติว่าทั้ง vDC และโฮสต์นั้นเป็นปี 2012 และคุณแยกกลุ่มออกจากสมการมีปัญหาอื่น ๆ เช่นที่กล่าวถึงข้างต้นนั่นหมายความว่าฉันยังควรพิจารณา DC ทางกายภาพหรือไม่ ฉันควรจะยังคงพิจารณา DC ทางกายภาพอยู่ข้างๆโฮสต์ Hyper-V 2012 / 2012R2 แบบ Single ที่ไม่ใช่คลัสเตอร์ที่มี DC virtualized เดียวอยู่หรือไม่ ฉันได้ยินบางคนแนะนำให้วางโฆษณาบนโฮสต์ Hyper-V แต่ฉันไม่ชอบความคิดนั้นด้วยเหตุผลหลายประการ (WB แคชถูกปิดการใช้งานสำหรับการเริ่มต้น)

ตามหมายเหตุด้านข้างคำถามของฉันถือว่าโดยปริยายว่าเหมาะสมที่จะให้โฮสต์ Hyper-V ของคุณเข้าร่วมกับโดเมนเพื่อปรับปรุงความสามารถในการจัดการ การยืนยันนี้ยืนขึ้นเพื่อพิจารณาอย่างถี่ถ้วนหรือไม่?

UPDATE:

หลังจากอ่านคำตอบบางอย่างมันเกิดขึ้นกับฉันว่าฉันสามารถพูดอะไรบางอย่างที่แตกต่างออกไปเล็กน้อยเพื่อให้ได้หัวใจของสิ่งที่ฉันขอ:

แม้ว่าจะมีการปรับปรุงในปี 2012 และหลังจากนั้นความจริงก็ยังคงอยู่โดยไม่มี DC จริงหรือ DC เสมือนบนโฮสต์อื่นโฮสต์ยังคงบู๊ตเมื่อไม่มี DC อยู่ นี่เป็นปัญหาจริงหรือ ในความรู้สึกฉันคิดว่ามันเป็นคำถามเดียวกัน (หรือคล้ายกันมาก) ถ้าคุณนำภาพจำลองเสมือนจริงออกจากภาพโดยสมบูรณ์ หากคุณเริ่มเซิร์ฟเวอร์สมาชิกก่อน DC ใด ๆ เป็นประจำนั่นเป็นปัญหาหรือไม่

active-directory  windows-server-2012  hyper-v  windows-server-2012-r2 
DBR
แหล่งที่มา
4
โดยส่วนตัวฉันจะไม่ติดตั้ง AD บนโฮสต์ Hyper-V ของคุณ นำกลุ่มทุกอย่างที่เกี่ยวข้องออกจากสถานการณ์ในขณะนี้ คุณสูญเสีย DC เสมือนหนึ่งเดียวของคุณและคุณสูญเสียแหล่งที่มาของ DNS เพียงรายการเดียว
PnP

คำตอบ:

11

ฉันก็จะไม่ทำโฮสต์ Hyper-V เป็น DC

สำหรับว่าคุณควรมี DC จริงหรือไม่ความคิดเห็นของฉันคือการเปลี่ยนแปลงที่ Microsoft ได้ดำเนินการเกี่ยวกับตัวควบคุมโดเมนเสมือนจริงโดยทั่วไปและการบูตคลัสเตอร์แบบ DC-less โดยเฉพาะฉันไม่เห็นความต้องการส่วนตัวและฉันไม่สนับสนุน มี DC ทางกายภาพ การบำรุงรักษา DC ที่มีอยู่จริงนั้นดูเหมือนจะไม่ง่ายต่อธรรมชาติของการย้ายโครงสร้างพื้นฐานไปยังแพลตฟอร์มเวอร์ชวลไลเซชัน จำลองเสมือนโครงสร้างพื้นฐานทั้งหมดของฉัน แต่ทั้งหมดนั้นบานพับบน DC แบบฟิสิคัลเดียวพร้อมใช้งานหรือไม่? ประเด็นคืออะไร

มีหลายวิธีในการ จำกัด "การเปิดเผย" ของคุณในขณะที่ยังคงจำลองระบบควบคุมโดเมนของคุณ วิธีหนึ่งคือการปรับใช้ DC หลายแห่งในโฮสต์ที่แตกต่างกันในคลัสเตอร์ของคุณและใช้ anti-affinity เพื่อแยกพวกเขาออกในกรณีที่โฮสต์ล้มเหลว (ขึ้นอยู่กับจำนวนโฮสต์ที่อยู่ในคลัสเตอร์)

แม้ว่าคำตอบของ Greg จะมีลิงก์ไปยังคำแนะนำของ MS แต่บทความนั้นยังมีอายุสองปีและใช้กับ Windows Server 2008 และ 2008 R2 ฉันไม่คิดว่าบทความนั้นจะเป็นแนวปฏิบัติที่ดีที่สุดในปัจจุบันที่เกี่ยวข้องกับ Windows Server 2012 และ 2012 R2 ฉันไม่พบเอกสาร MS อย่างเป็นทางการ แต่ผู้ชายคนนี้ถือเป็นผู้นำใน Hyper-V - http://www.aidanfinn.com/?p=13171

joeqwerty
แหล่งที่มา
ขอบคุณโจ ฉันอ่านบทความของ Aidan เมื่อไม่นานมานี้และได้แจ้งคำถามของฉันบางส่วน สิ่งที่ทำให้ฉันประทับใจคือการติดตามเหตุผลอย่างไม่มีเหตุผลสำหรับ DC จริงก่อนปี 2012 อย่างใดอย่างหนึ่งเว้นแต่ว่าคุณใช้สภาพแวดล้อมแบบคลัสเตอร์ (นอกเหนือจากการทำให้ 'คลัสเตอร์พร้อม' ตั้งค่า) นั่นเป็นเหตุผลที่ฉันเพิ่มอีกเล็กน้อยเกี่ยวกับคนที่ยังคงแสดงให้เห็นถึงความจำเป็นในการ pDC แม้จะไม่มีการจัดกลุ่มซึ่งดูเหมือนจะไม่เปลี่ยนแปลงไปกับ 2012
dbr
คุณจะเห็นด้วยกับความคิดเห็นของฉันข้างต้นว่าถ้าคุณทำปัญหาการจัดกลุ่มสถานการณ์ไม่เปลี่ยนแปลงระหว่างปี 2008 ถึง 2012?
dbr
@dbr ฉันจะเพิ่มเฉพาะคำตอบของโจว่าสำหรับ hyper-v (ไม่ใช่ xen หรือ esx) ฉันจะทดสอบ hyper-v mmc ก่อน เมื่อมันเกิดขึ้นกับฉันโฮสต์ที่ตายแล้วพร้อม DC อยู่และ hyperv mmc ต้องการโฆษณา AD ที่ยังมีชีวิตอยู่เพื่อเปิด ฉันติดขัดแม้ว่าจะลงชื่อเข้าใช้ในฐานะผู้ดูแลโดเมนด้วยข้อมูลประจำตัวที่แคช สามารถแก้ไขได้ด้วยการอัปเดตล่าสุด แต่มันเป็นข้อเท็จจริงที่สำคัญ (แตกต่างจาก esx ที่สามารถใช้ผู้ใช้ builtin ได้ในขณะที่คุณยังสามารถเปิด vsphere หรือ vcenter ได้)
yagmoth555 - GoFundMe Monica
เพียงต้องการเพิ่มวิธีอื่น ๆ ในการปรับปรุงความยืดหยุ่น: มีคลัสเตอร์โฮสต์เสมือนจริงมากกว่าหนึ่งคลัสเตอร์ (ไม่ว่าจะอยู่ในสถานที่เดียวกันหรือสถานที่อื่น) และ / หรือสร้าง VPN เป็น Azure (หรือ AWS - Azure มีประโยชน์เล็กน้อยสำหรับร้านค้า MS) DC หรือสองขึ้นไปที่นั่น
ทอดด์วิลคอกซ์
18

เหตุผลหนึ่งในการรักษา DC ทางกายภาพหนึ่งรายการต่อโดเมนคือหากมีเหตุการณ์ที่สำคัญที่ส่งผลกระทบต่อโฮสต์หรือจัดเก็บเฟรมที่จัดเก็บสำหรับ DC เสมือนจริงของคุณจะต้องมี DC ทางกายภาพอย่างน้อยหนึ่งที่มีที่จัดเก็บในตัวเครื่องเพื่อทำการกู้คืนและรักษาความต่อเนื่อง Microsoft ยังคงทำการตรวจสอบนี้และให้คำแนะนำนี้ในระหว่าง RAP ของ Active Directory (การประเมินความเสี่ยงและการวางแผน)

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx

"บำรุงรักษาตัวควบคุมโดเมนทางกายภาพในแต่ละโดเมนของคุณซึ่งจะช่วยลดความเสี่ยงของการทำงานผิดพลาดของแพลตฟอร์มเวอร์ชวลไลเซชันที่ส่งผลกระทบต่อระบบโฮสต์ทั้งหมดที่ใช้แพลตฟอร์มนั้น"

เกร็กเบน
แหล่งที่มา
2
ไม่แน่ใจว่าเหมาะสม - ดูตัวอย่างฉันรู้ว่า บริษัท เป็นเสมือน 100% กับ DC และพวกเขาทำการสำรองข้อมูลตามปกติและมี 3 dc ใน 2 ทวีป (2 ในยุโรป 1 ในสหรัฐอเมริกา) .... ยาก จินตนาการสิ่งที่นี่ที่พัดในลักษณะที่ทำให้สิ่งที่ไม่สามารถกู้คืนได้
TomTom
ฉันเดาว่าสิ่งที่พวกเขากำลังพยายามทำคือหากมีปัญหาบางอย่างที่ส่งผลกระทบต่อ Hyper-V โดยรวมคุณจะเมา (ชั่วคราว) จนกว่าคุณจะสามารถกู้คืน DC ได้โดยที่ pDC จะหมายถึง การหยุดชะงักน้อยลง ไม่แน่ใจว่าฉันเห็นด้วยเพราะคุณเมาแล้วใช่ไหมถ้ามีปัญหาไฟดับ Hyper-V-wide!
dbr
1
นิสัยดีและสำรวย แต่อีกครั้งที่ไม่เกี่ยวข้องโดยสิ้นเชิงถ้าคุณมีส่วนสำคัญของโครงสร้างพื้นฐานจาก Hyper-V ในตอนนั้น DC ทำงานได้ แต่แชร์ไฟล์, sharepoint, exchange, printing และอื่น ๆ ทั้งหมด - หมายความว่าฉันไม่สนใจ DC อีกเลย;) ส่วนใหญ่จะทำงานที่ "มี DC หลายตัวและสำรองข้อมูล" ทั้งสองข้าง (Hyper-V และทางกายภาพ)
TomTom
@TomTom นั่นคือสิ่งที่ฉันอธิบายด้วย "คุณจะเมาแล้วล่ะ" คอมเม้นท์ :) ฉันคิดว่าทุกอย่างจะถูก virtualized อยู่ดี สมบูรณ์ยอมรับว่ามันจะลงมาให้ "มีหลายซีและทำให้การสำรองข้อมูล"
DBR
@TomTom Company ที่ฉันทำงานเป็นเสมือนโครงสร้างพื้นฐานของโฆษณาเช่นกัน และได้รับการที่ตั้งแต่ W2K3 แต่เราไม่ได้ใช้ HyperV: ESX ตลอดทาง 2 ชุดแยกกันของโครงสร้างพื้นฐานคลัสเตอร์ ESX ในแต่ละทวีป แต่ละโดเมนมี (อย่างน้อยที่สุด) 3 DC: 1 DC ในทวีปอื่นและ 1 DC ในแต่ละสภาพแวดล้อม ESX 2 แห่งใน "home" ทวีป
Tonny
10

ฉันรู้สึกว่าคุณกำลังมองหาคำตอบหนึ่งบรรทัดดังนั้นนี่คือ:

คุณควรมี DC จริงถ้าคุณไม่ไว้วางใจความสามารถของสภาพแวดล้อมเสมือนจริงของคุณในการทนต่อความล้มเหลว

เราสามารถไขเกี่ยวกับลักษณะเฉพาะและข้อยกเว้นในแต่ละสถานการณ์ได้ แต่ฉันคิดว่านี่เป็นสาเหตุของคำถาม

blaughw
แหล่งที่มา
3

ลองหากลุ่มสมการและจดจ่อกับหนึ่งบรรทัดในคำถามของคุณที่ทำให้ฉันตัวสั่น

ฉันควรจะยังคงพิจารณามี DC แบบฟิสิคัลไว้ข้างๆโฮสต์ Hyper-V 2012 / 2012R2 แบบ Single ที่ไม่ใช่คลัสเตอร์ที่มีDC virtualized เดียวอยู่หรือไม่

ทำไมทำไมทำไมคุณถึงต้องการ DC ตัวเดียว? ในสภาพแวดล้อมที่กำหนดเราพยายามหลีกเลี่ยงจุดล้มเหลวเพียงจุดเดียวสำหรับโครงสร้างพื้นฐานที่กำหนด DCs เป็นขนมปังและเนยของคุณ - พวกเขามี DNS ซึ่งเป็นกระดูกสันหลังของ Active Directory อย่างจริงจังสร้าง Windows 7 Desktop PC ใหม่ในปี 2008R2 และโปรโมตมัน นั่นคือกรณีที่แข็งแกร่งสำหรับ DC ทางกายภาพอยู่เสมอ

Hyper-V พร้อม AD DS? ไม่เพียงแค่ไม่มี. ประการแรก Microsoft ไม่สนับสนุนสิ่งนี้ ประการที่สองที่คุณกล่าวถึงการจัดการการสำรองข้อมูลจะกลายเป็นความเจ็บปวดขึ้นอยู่กับการกำหนดค่าดิสก์ของคุณ ไม่ต้องพูดถึง - ความสวยงามของเวอร์ชวลไลเซชันคือความสามารถในการออกโฮสต์กายภาพเร็วที่สุดเท่าที่เราสามารถสร้างได้ (และฉันขอขอบคุณ dcpromo ไม่ใช่เรื่องใหญ่โต (ขึ้นอยู่กับขนาดของสภาพแวดล้อมของคุณ)) และการโฮสต์ AD DS เรื่อง. คุณยังแนะนำความซับซ้อนของ Windows Time อื่น

โดยส่วนตัวแล้วฉันปล่อยให้ Hyper-V แบบสแตนด์อะโลนเป็นโฮสต์นอกโดเมน แต่ในความเป็นจริงฉันไม่มีข้อโต้แย้งที่แท้จริงสำหรับการกำหนดค่าทั้งสอง

PnP
แหล่งที่มา
3
คำตอบส่วนใหญ่ของคุณไม่มีความสำคัญโดยการทำคะแนนให้ถูกต้อง แต่ไม่มีอะไรเกี่ยวข้องกับคำถาม แน่นอนว่า DCs หลายแห่งมักจะเป็นสิ่งที่ขาดไม่ได้ส่วนที่ยกมานั้นใช้เพื่อแสดงจุด / คำถาม คำสั่งผสม HV + AD อีกครั้งเป็นเพียงข้อความด้านเดียวและฉันคิดว่าฉันค่อนข้างชัดเจนว่าฉันไม่ใช่คนรักของคอมโบ
dbr
2
หากมี "เป็นกรณีที่ดีสำหรับ DC ที่มีอยู่จริง" [เทียบกับ ตัวอย่าง vDC ที่สอง] - คุณช่วยอธิบายกรณีนั้นได้ไหม นั่นเป็นคำถามของฉัน
dbr
1

หากต้องการตอบคำถามสุดท้ายเกี่ยวกับว่าสิ่งนี้เป็นปัญหาจริงหรือไม่: ฉันสังเกตเห็นว่าโฮสต์ Hyper-V ที่เปิดใช้งาน RDP แต่ต้องใช้ NLA ไม่อนุญาต RDP จนกระทั่งหลังจากฉันเริ่มบริการการรับรู้ตำแหน่งเครือข่ายหากไม่มี DC ขึ้นเมื่อบูท ฉันเคยมีปัญหาเกี่ยวกับการเชื่อมต่อกับ VMMS จากระยะไกลที่จุดเหล่านี้เช่นกัน แต่เมื่อมีสิ่งอื่นที่แตกหักเช่นกัน เมื่อคุณไม่สามารถ RDP ในหรือเชื่อมต่อกับผู้จัดการ Hyper-V จากระยะไกลมันยากที่จะคิดออกว่าอะไรที่เสียและแก้ไขสิ่งต่าง ๆ การรักษา DC ทางกายภาพไว้นั้นทำให้ฉันไม่สามารถเกิดเหตุการณ์นี้ได้ทุกเมื่อ

RobbieCrash
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.