Eu sei que esta pergunta já foi feita há algum tempo.
Mas ainda não está claro para mim.
Por que não estou claro?
As pessoas sugerem às vezes que é preferível ter 1 DC em hardware físico. (Até mesmo a Microsoft diz isso).
Também está previsto ter o Exchange Server e outros dados da empresa circulares nas mesmas máquinas físicas em diferentes VMs.
Ouvi dizer que as pessoas ainda poderiam romper o sistema de convidados e comprometer todas as máquinas virtuais, é verdade?
Então, é bom virtualizar os all controladores de domínio?
Editar: tente fazer a minha pergunta mais no tópico.
Algo sobre mim e minha situação
Atualmente sou um desenvolvedor júnior e tento aprender um pouco mais sobre administração de sistemas, então ajudo pequenas empresas no meu tempo livre. Eu tento ajudá-los com sua infraestrutura, como planejar, administrar e configurar novos servidores / hardware.
Uma de minha empresa me perguntou se é possível virtualizar os controladores de domínio.
Configuração
Sua configuração atual é de 3 servidores, onde cada servidor tem uma determinada função.
Funções dos 3 servidores:
- DC e Exchange na mesma máquina
- servidor de arquivos
- TerminalServer para CRM e Office.
Uma unidade de fita faz backups dos 3 servidores.
Eles também têm 3 servidores que não estão conectados à energia, que atua como um substituto para os outros servidores, se um servidor falhar.
Eu disse a eles que é um desperdício de dinheiro se esses servidores não forem usados até serem substituídos.
Então, eles trabalharam em um novo conceito de TI com uma nova empresa de TI.
Novo Conecpt
2 Servidores virtualizados com o Hyper-V em uma configuração ativa / passiva.
Virtualize tudo:
- DC
- Trocar
- servidor de arquivos
- TerminalServer com CRM e Office
O conceito parece ser muito bom, mas eu tinha algo em mente que poderia haver alguns problemas com a virtualização de um Active Directory.
Por que estou preocupado
Cheguei a esta conclusão desde que experimentei o FreeIPA (algo como o Active Directory) na minha empresa local, uma vez que tentamos integrar alguns dispositivos Linux e procurando uma sincronização com o FreeIPA.
Virtualizamos o FreeIPA no Hyper-V e no KVM e tivemos problemas enormes com o serviço de sincronização de horário, por isso também tivemos problemas com o login de nossos sistemas.
Eu também pesquisei toda a Internet e os sites relacionados à Microsoft sobre esse tópico específico, mas cada link diz que ainda é recomendável executar 1 DC em hardware físico.
Aqui está o artigo technet que me confundiu.
http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx
Maintain physical domain controllers in each of your domains. This mitigates the risk of a virtualization platform malfunction that affects all host systems that use that platform.
Quais riscos podem ocorrer?
Quais erros / exploits / o que quer que possa ocorrer em uma plataforma de virtualização?
E ainda, se tivermos 2 servidores virtualizados (que são o mesmo hardware, 2 servidores Dell R520), existe um grande risco de que o bug / exploit atinja os dois servidores?
Além disso, ainda fazemos backups para que possamos recuperar tudo, se conseguirmos um bug.
De qualquer forma, a empresa não tinha uma configuração redundante antes e eles disseram que não é sua maior preocupação.
Eles não querem perder dados e não querem ter nenhum risco de segurança.
Eu já tenho uma boa resposta do MDMarra e ele resolve algo para mim.
Mas ainda assim ele disse que é mais uma questão de disponibilidade do que de segurança, mas quando a plataforma hyper-v tem uma falha catastrófica eu ainda perderia dados / teria uma falha de segurança.
Talvez eu seja um pouco paranóico, mas quanto mais componentes forem lançados em algum hardware, mais riscos de segurança ocorrerão.
Talvez eu precise de mais respostas para resolver minhas perguntas corretamente, já que eu ainda não diria a nenhum cliente que é uma boa maneira de virtualizar tudo .