同じ場所に配置されたサーバーとそのホストされたVMのActiveDirectoryドメインメンバーシップ
複数のHyper-Vゲストをホストするためにデータセンターに同じ場所に配置される単一のハードウェアをセットアップします。これらのゲストにはすべて、オペレーティングシステムとしてWindows Server2012がインストールされます。 Windows8を実行しているPCが2台しかないオフィスからアプリケーションとVMを管理および監視します。
現在、2台のコンピューターでは意味がないため、OfficeにActiveDirectoryドメインをインストールしていません。しかし、管理するリモートサーバーが10台近くあるので、AD DSを使用し、それらのVMに参加して、より簡単で安全な管理と監視を行うことの利点について考えさせられます。
一般的に、私の質問は、ドメインコントローラーをどこにどのように展開する必要があるかです。オフィスとデータセンターの間に非常に高速で信頼性の高い接続ができないため、オフィスが接続できない場合でもサーバーを機能させ続けたいと考えています。 VPNを使用して、オフィスからサーバーに接続します(DirectAccessで使用できるIPv6はありません)。したがって、私のロジックは、(少なくとも)同じ場所に配置されたサーバーにDCを設定する必要があることを示しています。
いくつかの具体的な質問が頭に浮かびます。
- AD DSをホストまたはVMに展開する必要がありますか?ホストが分離と管理の目的でのみHyper-Vの役割を果たしてほしいのですが。
- ホストOSをドメインに参加させる必要がありますか?なんらかの理由でVM with AD DSロールが開始されない場合は危険ではありませんか?
- AD DS冗長性についてはどうですか?SECOND VMバックアップドメインコントローラーとして機能することは意味がありますか?!
- オフィスのPCをリモートドメインコントローラーに参加させると、接続が原因で問題が発生することがわかっているので、オフィスのPCをワークグループとして残すか、元のPCを複製するローカルDCを展開する必要があります。 ?
運用中に必要になった場合に備えて、2時間または3時間の移動でサーバーマシンに物理的にアクセスできることに注意してください。
AD DSをホストまたはVMに展開する必要がありますか?ホストが分離と管理の目的でのみHyper-Vの役割を果たしてほしいのですが。
間違いなく、ホストはADDSを実行してはなりません。間違いなく仮想ドメインコントローラーを作成します。
ホストOSをドメインに参加させる必要がありますか?なんらかの理由でVM with AD DSロールが開始されない場合は危険ではありませんか?
個人的にはそうしません。単一のホストでは、利点は得られないと思います。ADの冗長性がないため、指摘したとおり、危険な単一障害点が発生します。この答えは、スケールアウトして適切なADインフラストラクチャを使用している場合に変わります。また、ホストが静的IPとDNSで構成されていることを確認してください。
AD DS冗長性についてはどうですか?SECOND VMバックアップドメインコントローラーとして機能することは意味がありますか?!
はい。ただし、lotの方が理にかなっているのは、別のホストにセカンダリドメインコントローラーを配置するか、別の物理ドメインコントローラーを配置することです。あなたには贅沢がないと思いますので、2番目のVMは何もないよりはましですが、ホストまたはストレージの障害があなたを悪い場所に残す可能性があることに注意してください。バックアップ戦略を確認してくださいスポットです。
私は座って「これはやらないでください」と言うつもりはありませんが、すべてが1つのホストにどれほど壊れやすいかを知っておく必要があります。
オフィスのPCをワークグループとして残すか、元のPCを複製するローカルDCを展開する必要がありますか?
これは本当にあなた次第です-ADがWANの間にあることを知るようにサイトを適切に構成する場合、後者は完全に受け入れられる解決策です。 DCのサーバーはあなたに必要です。それから実際の利益を得るつもりがないなら、あなたはあなた自身のために仕事を作っているだけかもしれません。
ただし、これは冗長な物理的DCであり、これは素晴らしいことです。