Colocando um controlador de domínio do AD de backup como uma VM em uma estação de trabalho

Navegue suas respostas
4

Como uma pequena loja (~ 10 PCs), temos apenas uma máquina servidor física. Esta máquina do servidor físico executa as duas máquinas virtuais a seguir:

  • um controlador de domínio do AD e
  • um "servidor de produção" (servidor de arquivos, servidor de banco de dados, etc.).

Agora, todos os guias de práticas recomendadas informam que ter um segundo controlador de domínio AD (um "backup DC") é altamente recomendado.

Colocá-lo na mesma máquina física que o DC primário parece bastante inútil, então eu pensei em colocá-lo como uma VM em uma das estações de trabalho mais strongs que normalmente funciona 24-7 de qualquer maneira. Como é apenas um DC de backup, eu daria a ele muito poucos recursos de CPU / RAM, portanto, isso não deve afetar muito o usuário.

Isso soa como um bom plano ou há alguma armadilha que eu deva saber?

    
por Heinzi 22.12.2016 / 18:18

4 respostas

4

Eu acredito que o consenso geral é "não", especialmente quando você planeja hospedar o segundo DC como uma VM com um host da estação de trabalho.

Os motivos pelos quais você usa dois DCs é que um deles não reduzirá sua rede e, em ambientes maiores, fornecerá mais recursos para executar as tarefas do DC.

Se você colocar um dos DCs como uma VM em um hipervisor dedicado em seu servidor com IPs estáticos ao redor, você não prejudicará substancialmente a tolerância a falhas do sistema. E o Windows Server 2016, em particular, aborda muitos dos problemas com os DCs em um ambiente virtual, como registros autoritativos, backups e restaurações, entre outros.

Mas, se você colocar o DC como uma VM em uma estação de trabalho, a VM DC dependerá da conectividade do computador host, o que nega a maioria dos benefícios da redundância.

Se o DC físico principal ficar inativo, o host da sua estação de trabalho perderá sua conectividade e, portanto, o DC de backup também: Inútil.

A única redundância que você está ganhando é se a VM DC cair, caso em que o controlador físico continuará funcionando e fornecendo as necessidades da rede.

Em outras palavras: não há benefício.

UPDATE: uma opção

Com o licenciamento sendo o que é, você pode pelo preço de um pouco de hardware e uma única licença padrão do Windows Server, usar um hipervisor (posso sugerir o Nano?) e executar 2 servidores de VM nele. Execute um como seu segundo controlador de domínio e o outro como um servidor padrão que fornece serviços.

Isso resolve a maioria dos problemas por um pouco de dinheiro, eu acho.

  • Você obtém dois DCs em execução no hardware discreto
  • Você só consome uma licença do Servidor (que, presumo, considera estar planejando instalá-la como uma VM em uma estação de trabalho)
  • Você está fazendo tudo isso em hardware de classe de servidor (o que é realmente melhor para ajudar você a dormir à noite)
  • Você tem um servidor virtual disponível que pode ser usado para atualizar / migrar / expandir / tornar as pessoas felizes / etc.

A suposição é que o hipervisor e as VMs em execução nele serão todos sistemas de IP estáticos, sendo menos provável que as interrupções de rede os afetem.

O software hypervisor de classe de servidor também terá menos chances de precisar de reinicializações após o patch (daí minha recomendação Nano), o que significa que o hypervisor não precisará de reinicializações tão frequentemente quanto um desktop comum.

É apenas uma solução completa e não muito mais dinheiro.

    
por 22.12.2016 / 18:31
1

Eu não gosto da ideia. Na estação de trabalho, você estaria executando algum tipo de hipervisor gratuito com o Servidor 20xx e a função AD.

Você deve possuir uma licença exclusiva do Windows Server 20xx que você instalaria nessa máquina e, se estiver indo tão longe, eu recomendaria a compra de uma máquina dedicada ou a remoção de algo.

Na sua situação, o AD requer muito poucos recursos, então algo com 4 GB de RAM e um HDD SATA de 120 GB funcionaria. Eu gostaria de ver dois núcleos no mínimo. Talvez procure por um servidor usado em um site de leilões.

    
por 22.12.2016 / 18:43
0

De volta no tempo, fizemos algo semelhante a isso, em um ambiente de pequena empresa. Busto em vez de ter um segundo DC em uma estação de trabalho. Acabei de instalar um servidor Hyper-V nesse computador e criei uma réplica de nossa VM PDC. Nos raros casos em que perdemos nosso PDC (o servidor hipervisor físico era instável), apenas iniciamos manualmente o servidor de réplica na segunda máquina. Isso pode ser facilmente ajustado com scripts PowerShell e tarefas agendadas para automatizá-lo.

Isso foi longe da solução ideal, quando o PDC caiu, quando eu estava fora da rede do escritório (por exemplo: em casa), era muito doloroso (mas viável) entrar na máquina secundária para iniciar o processo. réplica, mas definitivamente funcionou, no entanto eu não posso recomendá-lo no ambiente de produção.

Mais tarde, este PC da estação de trabalho morreu e eu simplesmente não me preocupei em revivê-lo. Instalou um segundo controlador de domínio em uma nova máquina virtual em outro servidor de hipervisor. Agora ninguém precisa se preocupar com os problemas do PDC, o segundo DC permanece totalmente funcional, exceto se tivermos problemas de rede, mas o DC não é o nosso maior problema.

Esta também é uma solução de trabalho (pelo menos para nós), mas como sempre se você executa um controlador de domínio em uma VM eo hipervisor é o membro do mesmo domínio, você precisa cuidar de algumas coisas (sincronização de horário especialmente ).

P.S .: não estamos usando o DHCP nesta rede, apenas endereços estáticos.

    
por 22.12.2016 / 21:01
-2

Recomenda-se executar o DC no servidor físico, não no host virtual. Você pode manter o ADC no host virtual

Em caso de problemas ou reinicialização obrigatória no servidor host vm. Pode haver problemas com a autenticação de domínio

    
por 22.12.2016 / 20:30

Tags

Não consolidado - domínios armazenados em cache apenas por pouco tempo Integridade de Sincronização do Active Directory do Azure - “Os dados mais recentes não estão disponíveis”