Server 2012以降でも、物理的なDCを保持する必要がありますか?
Windows Server 2012より前の時代に戻ると、仮想化されたDCの横に少なくとも1つの物理ドメインコントローラーを配置することが推奨されていました。
Hyper-Vホストがクラスター化されている場合、起動中にDCに接続できる必要があるため、これは正当な理由です。
ただし、クラスター化されたセットアップがない場合でも、物理的なDCを使用することは依然として重要であると人々から言われます(たとえば、単一のHyper-いくつかのVMを実行しているVサーバー(そのうちの1つはDCです)。この理由は、Hyper-Vホストが最初に起動したときに、まだ問題があるということです(そして、確信が持てませんでした)。 DCネットワーク上に存在しません。キャッシュされた資格情報はログオンできることを意味しますが、起動時に発生するすべてのビットについてはDC =周りは有益ですか?これは実際に問題ですか?問題の原因となる起動時にonlyが実行される可能性のある操作は実際にありますか?たとえば、任意のグループポリシー?何かm基本的に尋ねるのは、物理的なDC引数は、クラスタリングが関係している場合にのみ実際に水を保持するのか、それとも(2012年より前)クラスタリングなしの重要な技術的ケースがあったのか?これは 記事 祭壇からo(「鶏と卵」の神話のセクションを参照)は、必要がないことを示唆していますが、まだわかりません。
次に、私の質問の2番目(および主要)の部分について説明します。
Windows Server 2012では、ドメインコントローラーの仮想化に関する問題に対処することを目的とした次のようないくつかの機能が導入されました。
- VM-Generation ID-これは、スナップショット(より具体的には、スナップショットへのロールバック)を意味するUSNロールバックの問題に対処しましたサポートされていない/本当に悪い考え
- クラスターブートストラップ-これは、前述したフェイルオーバークラスタリングを取り巻く「鶏と卵」の問題に対処しました。フェールオーバークラスタリングでは、起動時にDCが存在する必要はありません。
だから私の2番目の質問は最初の質問に似ていますが、今回は2012年以降です。 vDCとホストの両方が2012+であり、クラスタリングを方程式から外していると仮定すると、物理的なDCを検討する必要があることを意味する上記のような他の問題はありますか?物理的なDCに加えて、仮想化された単一のDC on一部の人がHyper-VホストにADを配置することを提案していると聞いていますが、さまざまな理由(最初はWBキャッシュが無効になっている)でそのアイデアが気に入らないのです。
補足として、私の質問は、管理性を向上させるためにHyper-Vホストをドメインに参加させることが理にかなっていると暗黙的に想定しています。この主張は精査に耐えますか?
UPDATE:
いくつかの回答を読んだ後、私が求めていることの中心に到達するために、少し違う言い方をすることができることに気付きました。
2012年以降の改善にもかかわらず、別のホストに物理DCまたは仮想DCがなくても、DC)が利用できない場合でもホストが起動するという事実は変わりません。これは実際に問題ですか?ある意味では、仮想化を完全に取り除いた場合も同じ(または非常によく似た)質問だと思います。DCの前に定期的にメンバーサーバーを起動すると、問題が発生しますか?
私もHyper-VホストをDCにしません。
物理的なDCを使用する必要があるかどうかについては、仮想化ドメインコントローラー全般、特にDCを使用しないクラスターのブートストラップに関してMicrosoftが実装した変更により、私は個人的にその必要性を認識しておらず、主張もしていません物理的なDCがあります。物理的なDCを維持することは、インフラストラクチャを仮想化プラットフォームに移動する性質に直観に反するように見えます。インフラストラクチャ全体を仮想化しますが、すべてが単一の物理的なDC利用可能ですか?その意味は何ですか?
ドメインコントローラを仮想化しながら、「露出」を制限する方法があります。 1つの方法は、クラスター内の異なるホストに複数のDCを展開し、ホストに障害が発生した場合に(クラスター内のホストの数に応じて)アンチアフィニティを使用してそれらを分離することです。
Gregの回答にはいくつかのMSの推奨事項へのリンクが含まれていますが、それでもこの記事は2年前のものであり、Windows Server 2008および2008 R2に対応しています。その記事がWindows Server 2012および2012 R2に関する現在のベストプラクティスであるとは思わないでしょう。私は公式のMSドキュメントを見つけることができませんが、この人はHyper-Vの主要な権威と見なされています http://www.aidanfinn.com/?p=13171
1つの物理を保持するための1つの理由DCドメインごとに、ホストに影響する、または仮想化されたDCのフレームストレージを破壊する重大なインシデントがある場合、少なくとも1つの物理DCリカバリを実行し、継続性を維持するためにローカルストレージを使用します。Microsoftは引き続きこのチェックを実行し、Active Directory RAP(リスク評価と計画)中にこの推奨を行います。
「各ドメインの物理ドメインコントローラーを維持します。これにより、そのプラットフォームを使用するすべてのホストシステムに影響する仮想化プラットフォームの誤動作のリスクが軽減されます。」
私はあなたが一行の答えを探しているように感じるので、ここにそれがあります:
障害に耐える仮想環境の機能が信頼できない場合は、物理的なDCが必要です。
それぞれのシナリオの特殊性と例外について理解することはできますが、これは問題の根源になっていると思います。
クラスターを方程式から取り出し、身震いする質問の1行に注目しましょう。
single virtualized DCを備えた、クラスター化されていない単一の2012/2012R2 Hyper-Vホストと物理DCを併用することを引き続き検討する必要がありますその上に?
なぜ、なぜ、なぜ、単一のDCが必要ですか?特定の環境では、特定のインフラストラクチャに単一障害点が発生しないようにしています。 DCはあなたの基本であり、Active DirectoryのバックボーンであるDNSを提供します。真剣に、2008R2でWindows 7デスクトップPCを再構築し、それを宣伝してください。物理的なDCには常に強いケースがあります。
Hyper-VとAD DS?いいえ、ただです。まず、Microsoftはこれをサポートしていません。第二に、あなたが述べたように、バックアップの処理はディスク構成に依存する苦痛になります。言うまでもなく-仮想化の優れた点は、物理ホストを構築できる限り早く物理ホストを廃止できることです(そして、dcpromoは(環境のサイズによっては)大した問題ではないことに感謝します)ADをホストしますDSは問題を複雑にするだけです。また、別のWindows Timeの複雑さも紹介します。
個人的には、スタンドアロンのHyper-Vホストをドメインから外しますが、実際には、どちらの構成についても本当の議論はありません。
これが実際に問題になるかどうかに関する最後の質問に答える:RDPが有効になっているが、NLAが必要なHyper-Vホストに気づいたのですが、ネットワークロケーション認識サービスを再起動するまで、RDPを許可しないでください。 DC起動時に起動します。これらのポイントでもリモートでVMMSに接続する際に時々問題が発生しましたが、何か他のものが壊れていた場合のみです。RDPを実行できない場合、またはHyper-Vマネージャーにリモートで接続すると、何が壊れているのかを把握して修正するのが非常に難しくなります。物理的にDC=を保持することで、これが発生するのを防ぐことができます。