De volta aos dias anteriores ao Windows Server 2012, a recomendação parecia ser ter pelo menos um controlador de domínio físico conectado a seus DCs virtualizados.
Uma justificativa para isso era que, se os hosts do Hyper-V estivessem agrupados, eles precisariam de um DC para ser contatado durante a inicialização. Isso faz todo o sentido para mim.
No entanto, eu costumava ouvir as pessoas dizerem que ainda é importante ter um CD físico, mesmo se você não tiver uma configuração em cluster (por exemplo, em uma configuração simples com um único servidor Hyper-V executando um par de VMs, uma das quais é um DC). A justificativa para isso parecia (e eu nunca poderia ter certeza) de que você ainda teria um problema no sentido de que, quando o host do Hyper-V for inicializado pela primeira vez, não haverá DC presente na rede. As credenciais em cache significam que você ainda pode fazer logon, mas e quanto a todos os bits que acontecem durante a inicialização, o que significa ter um DC próximo é benéfico? Isso é realmente um problema? Na verdade, existem operações que podem ser executadas somente na inicialização que causarão um problema? Quaisquer políticas de grupo, por exemplo? O que eu estou basicamente perguntando é: o argumento DC físico só retém água quando o clustering está envolvido, ou foi (pré-2012) um caso técnico significativo para ele sem clustering? Este artigo de Altaro (ver "The" Chicken- e-Egg "Mito" seção) sugere que não há necessidade, mas eu ainda não tenho certeza.
Agora, para a segunda parte (e principal) da minha pergunta:
O Windows Server 2012 introduziu vários recursos voltados a abordar os problemas relacionados à virtualização de controladores de domínio, incluindo:
-
ID de geração de VM - abordou a USN problema de reversão que significa que a captura instantânea (ou, mais especificamente, a reversão para um instantâneo) não tinha suporte / era uma ideia muito ruim
-
Cluster Bootstrapping - Isso resolveu o problema" chicken and egg "que envolvia o Failover Clustering que mencionei acima. O Cluster de Failover não requer mais que um DC esteja presente durante a inicialização.
Então, minha segunda pergunta é semelhante à primeira, mas desta vez para 2012+. Assumindo que tanto o vDC quanto o host são 2012+ e você tira o clustering da equação, existem outras questões como as mencionadas acima que significam que eu ainda devo considerar um DC físico? Devo ainda estar pensando em ter um DC físico ao lado do meu host Hyper-V único e não clusterizado 2012 / 2012R2 que tenha um único DC virtualizado nele? Eu ouço algumas pessoas sugerirem colocar o AD no host do Hyper-V, mas eu não gosto dessa ideia por várias razões (o cache do WB está desativado para começar).
Como observação, minha pergunta pressupõe implicitamente que faz sentido que seu host do Hyper-V se junte ao domínio para melhorar a capacidade de gerenciamento. Esta afirmação resiste ao escrutínio?
ATUALIZAÇÃO:
Depois de ler algumas respostas, ocorreu-me que eu poderia expressar as coisas de maneira um pouco diferente para chegar ao âmago do que estou perguntando:
Mesmo com as melhorias em 2012 e posteriores, ainda permanece o fato de que, sem nenhum DC físico ou DC virtual em outro host, o host ainda é inicializado quando não há DC disponível. Isso é realmente um problema? De certa forma, suponho que seja a mesma (ou muito similar) pergunta se você tirar a virtualização da imagem completamente. Se você iniciar servidores membros antes de qualquer controlador de domínio regularmente, isso é um problema?