Qualquer problema relacionado à execução do servidor VMware em um servidor de Active Directory

Eu fiz isso e me arrependi. Como a Zoredache diz, as interfaces de rede extras que o VMWare cria colocam o DNS no nome do servidor, então os PCs na rede começam a ter problemas para se conectar ao servidor. Ele também quebrou a replicação entre sites conforme os outros DCs tentaram replicar para os endereços IP do VMWare. Mesmo se você desmarcar a caixa "Registrar estas conexões no DNS" na configuração TCP / IP para as redes VMWare, a maldita coisa insistia em adicioná-las ao arquivo de zona. Eu nunca encontrei uma maneira de contornar isso.

Eu coloquei o Hyper-V em um DC. Isso é OK, desde que você tenha mais de uma NIC e possa manter uma que não esteja configurada como uma rede Hyper-V. Você simplesmente desativa todas as NICs Hyper-V extras sintéticas no DC. Como o Hyper-V usa paravirtualização, desabilitar as NICs sintéticas no DC não afeta nenhuma VM em execução.

Se o seu servidor tiver apenas uma NIC, você ainda poderá usar o Hyper-V, mas observe que não será possível executar o servidor DHCP no servidor, pois ele não será vinculado à NIC sintética.

John Rennie

Eu também acho que sim ... Porque você está aumentando a oportunidade / probabilidade de uma falha.

O servidor do AD é um recurso crítico e usado por todos os usuários. Se você estiver instalando um servidor virtual e algo der errado (Ex: falha no software, uso anormal da CPU, etc.), todos os usuários serão afetados.

Então, acho que "Manter o servidor AD sozinho" seria melhor.

UPDATE E outra coisa: eu vi algumas ocasiões que as máquinas virtuais causam os problemas com adaptadores de rede do servidor físico. Isso significa que, enquanto configura automaticamente a rede da máquina virtual, ela também cria alguns problemas com as conexões de rede das máquinas físicas. Eu não sei o motivo / problema, mas eu vi isso. Então, por que colocaríamos problemas desnecessários em um recurso crítico?

O maior problema que você terá é que os controladores de domínio têm o cache de gravação em disco desativado. Isso reduzirá substancialmente o desempenho da VM, dependendo, é claro, da frequência com que suas VMs gravam no disco.

Para reverter sua situação - se este for um DC secundário (ou seja, não possui funções FSMO principais), por que não rebaixar para um servidor membro, instalar o VMWare e criar um DC virtual em seu lugar? / p>

Eu achava que os CDs e os virtuais não se misturariam bem, mas há alguns meses eu estou executando um CD no Hyper V sem problemas. Além disso, falei sobre isso durante algumas chamadas que incluí em problemas relacionados ao MS for VM, e eles não recomendam realmente a virtualização de um DC. (obviamente eu não teria os dois CDs como virtuais na mesma caixa - definitivamente anula o propósito)

Para abordar um ponto levantado acima, seu SO host deve SEMPRE ter uma NIC separada da (s) usada (s) pela (s) rede (s) virtual (is). Isso evitaria qualquer estranheza de rede possível de um NIC compartilhado.

Does anyone have any insight on why this could be a bad thing?

Minha teoria é essa. Quando o Vmware instalado, ele configura algumas interfaces virtuais para redes NAT e Host. Os endereços associados a essas interfaces são publicados no servidor DNS e estragam tudo. Eu nunca tentei ver o que acontece.

Esta não é uma ideia particularmente boa do ponto de vista de segurança. A prática recomendada é isolar a funcionalidade como se você não fizesse com que seu servidor da Web público também fosse seu servidor AD central. O Active Directory é uma função essencial de um ambiente baseado na Microsoft, se o seu AD estiver comprometido, então basicamente toda a sua rede estará aberta ao invasor.

Existem comprometimentos do VMWare que permitem a execução de código no sistema operacional host a partir de um ambiente convidado, como um exemplo CVE-2009-1244 (cve.mitre.org) é uma vulnerabilidade registrada.