Devo ainda ter um DC físico, mesmo depois do Server 2012?

Navegue suas respostas
30

De volta aos dias anteriores ao Windows Server 2012, a recomendação parecia ser ter pelo menos um controlador de domínio físico conectado a seus DCs virtualizados.

Uma justificativa para isso era que, se os hosts do Hyper-V estivessem agrupados, eles precisariam de um DC para ser contatado durante a inicialização. Isso faz todo o sentido para mim.

No entanto, eu costumava ouvir as pessoas dizerem que ainda é importante ter um CD físico, mesmo se você não tiver uma configuração em cluster (por exemplo, em uma configuração simples com um único servidor Hyper-V executando um par de VMs, uma das quais é um DC). A justificativa para isso parecia (e eu nunca poderia ter certeza) de que você ainda teria um problema no sentido de que, quando o host do Hyper-V for inicializado pela primeira vez, não haverá DC presente na rede. As credenciais em cache significam que você ainda pode fazer logon, mas e quanto a todos os bits que acontecem durante a inicialização, o que significa ter um DC próximo é benéfico? Isso é realmente um problema? Na verdade, existem operações que podem ser executadas somente na inicialização que causarão um problema? Quaisquer políticas de grupo, por exemplo? O que eu estou basicamente perguntando é: o argumento DC físico só retém água quando o clustering está envolvido, ou foi (pré-2012) um caso técnico significativo para ele sem clustering? Este artigo de Altaro (ver "The" Chicken- e-Egg "Mito" seção) sugere que não há necessidade, mas eu ainda não tenho certeza.

Agora, para a segunda parte (e principal) da minha pergunta:

O Windows Server 2012 introduziu vários recursos voltados a abordar os problemas relacionados à virtualização de controladores de domínio, incluindo:

  1. ID de geração de VM - abordou a USN problema de reversão que significa que a captura instantânea (ou, mais especificamente, a reversão para um instantâneo) não tinha suporte / era uma ideia muito ruim
  2. Cluster Bootstrapping - Isso resolveu o problema" chicken and egg "que envolvia o Failover Clustering que mencionei acima. O Cluster de Failover não requer mais que um DC esteja presente durante a inicialização.

Então, minha segunda pergunta é semelhante à primeira, mas desta vez para 2012+. Assumindo que tanto o vDC quanto o host são 2012+ e você tira o clustering da equação, existem outras questões como as mencionadas acima que significam que eu ainda devo considerar um DC físico? Devo ainda estar pensando em ter um DC físico ao lado do meu host Hyper-V único e não clusterizado 2012 / 2012R2 que tenha um único DC virtualizado nele? Eu ouço algumas pessoas sugerirem colocar o AD no host do Hyper-V, mas eu não gosto dessa ideia por várias razões (o cache do WB está desativado para começar).

Como observação, minha pergunta pressupõe implicitamente que faz sentido que seu host do Hyper-V se junte ao domínio para melhorar a capacidade de gerenciamento. Esta afirmação resiste ao escrutínio?

ATUALIZAÇÃO:

Depois de ler algumas respostas, ocorreu-me que eu poderia expressar as coisas de maneira um pouco diferente para chegar ao âmago do que estou perguntando:

Mesmo com as melhorias em 2012 e posteriores, ainda permanece o fato de que, sem nenhum DC físico ou DC virtual em outro host, o host ainda é inicializado quando não há DC disponível. Isso é realmente um problema? De certa forma, suponho que seja a mesma (ou muito similar) pergunta se você tirar a virtualização da imagem completamente. Se você iniciar servidores membros antes de qualquer controlador de domínio regularmente, isso é um problema?

    
por dbr 05.04.2015 / 16:37

5 respostas

11

Eu também não faria do Hyper-V hospedar um DC.

Quanto a se você deve ou não ter um CD físico, minha opinião é que com as mudanças implementadas pela Microsoft em relação aos controladores de domínio virtualizados em geral e bootstrapping de cluster sem o DC, especificamente, não vejo necessidade disso, nem eu defendo ter um DC físico. Manter um DC físico parece ser contra-intuitivo para a natureza de mover sua infraestrutura para uma plataforma de virtualização. Virtualize toda a minha infraestrutura, mas tudo depende de um único DC físico disponível? Qual é o ponto nisso?

Existem maneiras de limitar sua "exposição" enquanto ainda virtualiza seus controladores de domínio. Uma maneira seria implantar vários DCs em hosts diferentes em seu cluster e usar anti-afinidade para mantê-los separados no caso de uma falha de host (dependendo de quantos hosts estão no cluster).

Embora a resposta de Greg inclua um link para algumas recomendações do MS, esse artigo ainda tem dois anos e trata do Windows Server 2008 e 2008 R2. Eu não consideraria esse artigo a melhor prática atual em relação ao Windows Server 2012 e 2012 R2. Não consigo encontrar um documento oficial da Microsoft, mas esse cara é considerado uma das principais autoridades do Hyper-V - link

    
por 05.04.2015 / 17:22
18

Um motivo para manter um DC físico por domínio é se houver um incidente grave que afete o host ou trashes o armazenamento de quadros para os DCs virtualizados, você teria pelo menos um DC físico com armazenamento local para executar a recuperação e manter a continuidade . A Microsoft continua a executar essa verificação e a fazer essa recomendação durante os RAPs do Active Directory (avaliação e planejamento de riscos).

link

"Mantenha controladores de domínio físicos em cada um dos seus domínios. Isso atenua o risco de um mau funcionamento da plataforma de virtualização que afeta todos os sistemas host que usam essa plataforma."

    
por 05.04.2015 / 17:08
10

Eu sinto que você está procurando por uma resposta de uma linha, então aqui está:

You should have a physical DC if you do not trust your virtual environment's ability to withstand failure.

Poderíamos falar sobre as peculiaridades e exceções em cada cenário, mas acho que isso atinge a raiz da questão.

    
por 08.04.2015 / 04:33
3

Vamos analisar a equação e concentrar-nos na única linha da sua pergunta que me faz estremecer.

Should I still be considering having a physical DC along-side my single, non-clustered 2012/2012R2 Hyper-V host that has a single virtualised DC on it?

Por que, por que, por que, você quer um único CD? Em qualquer ambiente, tentamos evitar pontos únicos de falha para qualquer infraestrutura. DCs são seu pão e manteiga - eles fornecem DNS, o backbone do Active Directory. Sério, reconstrua um Windows 7 Desktop PC em 2008R2 e promova-o. Há sempre um caso strong para um DC físico.

Hyper-V com AD DS? Não, apenas não. Em primeiro lugar, a Microsoft não suporta isso. Em segundo lugar, como você mencionou, o manuseio de backups se tornará difícil dependendo da configuração do disco. Para não mencionar - a beleza da virtualização é a capacidade de retirar hosts físicos tão rapidamente quanto podemos construí-los (e eu agradeço que um dcpromo não seja um grande problema (dependendo do tamanho do seu ambiente)) e hospedar AD DS apenas complica assuntos. Você também apresenta outra complexidade do Tempo do Windows.

Pessoalmente, deixo meus hosts do Hyper-V independentes fora do domínio, mas, na realidade, não tenho nenhum argumento real para nenhuma das configurações.

    
por 05.04.2015 / 17:04
1

Para responder à última pergunta sobre se isso realmente é um problema: notei que os hosts do Hyper-V com RDP ativado, mas exigindo NLA, não permitem RDP até depois que eu reiniciar o serviço de reconhecimento de local de rede se não há um DC quando ele é inicializado. Eu tive problemas ocasionais com a conexão remota ao VMMS nesses pontos também, mas apenas quando algo também estava quebrado. Quando você não consegue RDP, ou conecta-se remotamente ao gerenciador do Hyper-V, é realmente difícil descobrir o que está quebrado e consertar as coisas. Manter um CD físico impediu que isso acontecesse comigo a qualquer momento.

    
por 10.11.2017 / 21:10
Como o protocolo DNS alterna de UDP para TCP? Como instalar o git para o red hat enterprise linux 5.3 x64?