VMware和微軟提供虛擬化服務(wù)已經(jīng)有很多年了。對(duì)于VMware,到現(xiàn)在已經(jīng)超過(guò)十年了,而微軟進(jìn)入服務(wù)器虛擬化稍晚。
一個(gè)IT環(huán)境是由若干物理IT組件組成的,包括運(yùn)行活動(dòng)目錄服務(wù)的服務(wù)器?;顒?dòng)目錄域名控制器是順利運(yùn)營(yíng)IT所必須的關(guān)鍵服務(wù)器。作為虛擬化路線的一部分,必須確保每個(gè)物理IT資源都處于被虛擬化的過(guò)程中,這樣才能降低成本。這也包括對(duì)物理域名控制器進(jìn)行虛擬化。
活動(dòng)目錄域名控制器不僅有助于IT運(yùn)營(yíng)順利進(jìn)行,它還是提供認(rèn)證和授權(quán)服務(wù)的一個(gè)關(guān)鍵組成部分。在如今的生產(chǎn)環(huán)境中,幾乎所有的網(wǎng)絡(luò)應(yīng)用都使用活動(dòng)目錄作為身份驗(yàn)證提供程序。在對(duì)這些關(guān)鍵服務(wù)進(jìn)行虛擬化之前,我們要考慮很多事情。
這也就是本文的出發(fā)點(diǎn),它能幫助你了解在VMware或Hyper-V上對(duì)活動(dòng)目錄域名控制器進(jìn)行虛擬化時(shí),哪些該做,哪些不該做。
禁用時(shí)間同步
借助于Windows時(shí)間服務(wù),活動(dòng)目錄域名控制器有一個(gè)內(nèi)建的機(jī)制來(lái)處理時(shí)間同步。虛擬化平臺(tái)也為虛擬機(jī)提供了時(shí)間服務(wù),但是建議禁用虛擬域名控制器上的時(shí)間同步服務(wù),并讓活動(dòng)目錄管理虛擬域名服務(wù)器之間的時(shí)間同步。
不要生成系統(tǒng)快照
快照功能是為開(kāi)發(fā)和測(cè)試目的而設(shè)計(jì)的。作為快照過(guò)程的一部分,快照會(huì)恢復(fù)為生成時(shí)的配置??煺招枰诳煺瘴募汕?,虛擬機(jī)置為已保存狀態(tài)。
1. 首先,將虛擬域名控制器置為已保存狀態(tài)可以減少停機(jī)時(shí)間,如果差分磁盤(pán)文件很大,作用是很明顯的。
2. 其次,盡量不要把一個(gè)虛擬域名控制器回復(fù)到以前的配置。如果你這么做了,這可能導(dǎo)致那臺(tái)域名控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)的副本不一致。
注意:微軟Hyper-V通過(guò)在Windows Server 2012中引入了一個(gè)新的Live Snapshot Merge功能解決了停機(jī)問(wèn)題。
對(duì)域名控制器禁用磁盤(pán)緩存
關(guān)于“對(duì)虛擬域名控制器內(nèi)的所有磁盤(pán)驅(qū)動(dòng)器上的Policies選項(xiàng)卡禁用磁盤(pán)寫(xiě)緩存”,建議對(duì)所有使用 Extensible Engine Storage技術(shù)的服務(wù)應(yīng)用此項(xiàng)設(shè)置,避免數(shù)據(jù)丟失。
禁用磁盤(pán)緩存確保數(shù)據(jù)真的寫(xiě)進(jìn)了磁盤(pán)里,而不是在內(nèi)存中保存,否則一旦斷電或服務(wù)器崩潰,數(shù)據(jù)可能會(huì)丟失。
不要暫停
不建議暫停一個(gè)虛擬域名控制器,特別是虛擬域名控制器暫停的時(shí)間超出了活動(dòng)目錄的墓碑時(shí)間。暫停會(huì)導(dǎo)致虛擬域名控制器脫離同步,在活動(dòng)目錄環(huán)境中產(chǎn)生延遲對(duì)象。
延遲對(duì)象是在活動(dòng)目錄墓碑時(shí)間內(nèi),被刪除的對(duì)象沒(méi)有復(fù)制到所有活動(dòng)目錄域名控制器上時(shí)產(chǎn)生的。墓碑時(shí)間按所使用的操作系統(tǒng)為80天或160天。
一定要對(duì)虛擬域名控制器設(shè)置固定或直通磁盤(pán)
建議為存儲(chǔ)域名控制器的數(shù)據(jù)庫(kù)(NTDS.DIT)和日志文件設(shè)置固定或直通磁盤(pán)類(lèi)型,這樣域名控制器會(huì)更有效率。應(yīng)用其他的磁盤(pán)類(lèi)型(如差分磁盤(pán)虛擬硬盤(pán))會(huì)降低虛擬域名控制器的性能。
注意:直通磁盤(pán)類(lèi)型是微軟Hyper-V的一個(gè)功能,相當(dāng)于VMware虛擬化平臺(tái)上的Raw磁盤(pán)。
不要復(fù)制域名控制器虛擬機(jī)
大多數(shù)虛擬化廠商為快速部署提供了復(fù)制虛擬機(jī)的功能。強(qiáng)烈建議不要對(duì)域名控制器進(jìn)行復(fù)制。如果你需要這樣做,我們建議使用SysPrep.exe這個(gè)工具,它可以移除安全標(biāo)示符(SID)副本。
千萬(wàn)不要使用虛擬化產(chǎn)品的導(dǎo)出功能
在導(dǎo)出過(guò)程將相關(guān)文件導(dǎo)出之前,導(dǎo)出功能會(huì)把域名服務(wù)器置為已保存狀態(tài)。然后虛擬機(jī)才能繼續(xù)提供服務(wù)。
我們強(qiáng)烈建議除非萬(wàn)不得已,否則不要暫停域名控制器上的服務(wù)。停止這些服務(wù)可能會(huì)導(dǎo)致使用活動(dòng)目錄作為驗(yàn)證提供程序的網(wǎng)絡(luò)應(yīng)用程序停止。
禁用或設(shè)置Automatic Start Action
虛擬機(jī)可以設(shè)置為虛擬主機(jī)故障后自動(dòng)啟動(dòng)。微軟Hyper-V和VMware都提供此功能。
Automatic Start Action功能避免了人為操作,但對(duì)于活動(dòng)目錄域名控制器來(lái)說(shuō)這不是一個(gè)很好的功能。假如虛擬主機(jī)停機(jī),所有的虛擬域名控制器都不能設(shè)置為自動(dòng)重啟。
使用此功能會(huì)導(dǎo)致啟動(dòng)域名控制器的延遲。例如,子域名控制器不應(yīng)該在根域名控制器運(yùn)行前啟動(dòng)。因此,建議禁用此功能或?yàn)樽佑騼?nèi)的虛擬機(jī)域名控制器的初次啟動(dòng)設(shè)置延遲。
禁用虛擬域名控制器的故障恢復(fù)策略
活動(dòng)目錄是一種多主機(jī)同步技術(shù)。在活動(dòng)目錄備份技術(shù)的作用下,所有虛名控制器都會(huì)與活動(dòng)目錄數(shù)據(jù)庫(kù)保持一致。默認(rèn)情況下,活動(dòng)目錄域名控制器帶有容錯(cuò)和負(fù)載平衡機(jī)制,來(lái)提供身份驗(yàn)證和授權(quán)服務(wù)。
因此,如果虛擬域名控制器運(yùn)行在一個(gè)集群環(huán)境下,最好的做法就是禁用所有故障恢復(fù)策略,阻止集群間虛擬域名控制器的自動(dòng)備份。
在一臺(tái)主機(jī)上至少保證一個(gè)DNS和域名控制器運(yùn)行
把它作為最佳做法,有很多理由:
1. 活動(dòng)目錄和DNS緊密結(jié)合的組件。DNS需要為生產(chǎn)環(huán)境中運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序解析域名。DNS可以在裝有或未裝有活動(dòng)目錄的服務(wù)器上運(yùn)行。如果DNS服務(wù)在一臺(tái)域名控制器上運(yùn)行,那建議至少在該物理環(huán)境下保證一臺(tái)DNS服務(wù)器運(yùn)行,這樣可以避免在虛擬化設(shè)備之外運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序破壞域名解析服務(wù)。
2. 記住,出于認(rèn)證目的,微軟故障轉(zhuǎn)移集群服務(wù)需要使用集中管理的活動(dòng)目錄域名控制器。如果你將所有的域名控制器進(jìn)行虛擬化,故障轉(zhuǎn)移集群可能不會(huì)工作,或不提供故障轉(zhuǎn)移服務(wù)。因此,建議在該物理環(huán)境下保證一臺(tái)DNS服務(wù)器運(yùn)行,這樣可是故障轉(zhuǎn)移集群如期工作。
3. 虛擬主機(jī)也需要使用DNS服務(wù)器服務(wù)。建議將虛擬主機(jī)上的DNS設(shè)置為使用外部DNS服務(wù)器,這樣即便所有虛擬域名控制器下線,域名解析也能照常工作。
在多臺(tái)主機(jī)上架設(shè)虛擬域名控制器
了解一臺(tái)虛擬主機(jī)很重要,虛擬域名控制器在這里運(yùn)行,它也會(huì)有硬件和軟件故障。虛擬主機(jī)的損壞不應(yīng)該 造成虛擬活動(dòng)目錄域名控制器的損壞。
如果可能的話,最好的做法就是將虛擬域名控制器分散在多個(gè)虛擬主機(jī)上,這樣可以防止服務(wù)中斷。