在虚拟宿主环境中承载 Active Directory 域控制器时需要考虑的事项

在虚拟宿主环境中承载 Active Directory 域控制器时需要考虑的事项

• 2020/09/08
• •  
  •  
  • 

本文介绍了影响在虚拟托管环境中作为来宾操作系统运行的基于 Microsoft Windows Server 的域控制器 (DC) 的问题，以及在虚拟宿主环境中运行 DC 时要考虑的事项。

原始产品版本：   Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 数：   888794

摘要

虚拟宿主环境允许您同时在一台主机上运行多个来宾操作系统。 主机软件虚拟化资源，如下所示：

• CPU
• 内存
• 磁盘
• 网络
• 本地设备

通过在物理计算机上对这些资源进行虚拟化，主机软件可让您使用较少的计算机来部署用于测试和开发的操作系统，并在生产角色中部署这些系统。 但是，某些限制适用于在虚拟宿主环境中运行的 Active Directory DC。 这些限制不适用于在物理计算机上运行的 DC。

本文讨论在虚拟宿主环境中运行基于 Microsoft Windows Server 的 DC 时应考虑的事项。 虚拟宿主环境包括以下内容：

• 使用 Hyper-v 的 Windows Server 虚拟化。
• VMware 虚拟化产品系列。
• Novell 系列虚拟化产品。
• Citrix 系列虚拟化产品。
• 服务器虚拟化验证程序中的虚拟机监控程序列表中的任何产品都 (SVVP) 。

有关虚拟化 Dc 的系统可靠性和安全性的最新状态的更新信息，请参阅 使用 Hyper-v 虚拟化域控制器。 虚拟化域控制器一文提供了适用于所有配置的常规建议。 本文中介绍的许多注意事项也适用于第三方虚拟化主机。 它可能包括特定于您所使用的虚拟机监控程序的建议和设置。 主题包括以下内容：

• 如何配置 Dc 的时间同步。
• 如何管理磁盘卷以实现数据完整性。
• 如何利用还原或迁移方案中的生成 ID 支持。
• 如何在虚拟机主机上管理 RAM 和处理器内核的分配和性能。

 备注

如果使用的是第三方虚拟化主机，请参阅虚拟化主机文档以了解具体指导和建议。

本文提供了不在虚拟化域控制器文章范围内的其他提示和注意事项，从而补充了虚拟化域控制器文章。

在虚拟宿主环境中承载 DC 角色时要考虑的事项

在物理计算机上部署 Active Directory DC 时，必须在整个 DC 的生命周期中满足某些要求。 在虚拟宿主环境中部署 DC 会添加某些要求和注意事项。 其中包括以下要求和注意事项：

• 如果发生断电或其他故障，Active Directory 服务可帮助保留 Active Directory 数据库的完整性。 若要执行此操作，服务将运行无缓冲写入，并尝试在承载 Active Directory 数据库和日志文件的卷上禁用磁盘写入缓存。 如果 Active Directory 安装在虚拟宿主环境中，则也会尝试以这种方式工作。

  如果虚拟宿主环境软件正确支持支持强制单元访问的 SCSI 仿真模式 (FUA) ，非缓冲写入在此环境中执行的 Active Directory 将被传递到主机操作系统。 如果不支持 FUA，则必须在承载 Active Directory 数据库、日志和检查点文件的来宾操作系统的所有卷上手动禁用写缓存。

   备注

  • 您必须对使用可扩展存储引擎 (ESE) 作为其数据库格式的所有组件禁用写缓存。 这些组件包括 Active Directory、文件复制服务 (FRS) 、Windows Internet 名称服务 (WINS) 和动态主机配置协议 (DHCP) 。
  • 作为一种最佳做法，请考虑在虚拟机主机上安装不间断电源。

• Active Directory DC 旨在在安装后立即运行 Active Directory 模式。 请勿在长时间停止或暂停虚拟机。 当 DC 启动时，必须发生对 Active Directory 的端到端复制。 根据在站点链接和连接对象上定义的计划，确保所有 Dc 都在所有本地保留的 Active Directory 分区上执行入站复制。 对于由 tombstone 生存时间属性指定的天数，尤其如此。

  如果不执行此复制，则可能会遇到林中 Dc 上的 Active Directory 数据库的内容不一致的情况。 发生这种不一致的原因是删除的知识在 tombstone 生存时间定义的天数内保持不变。 如果 Dc 不能在此数目的天数内以非可传递的 Active Directory 更改完成入站复制，则会导致对象在 Active Directory 中逗留。 清理延迟对象可能非常耗时，尤其是在包含许多 Dc 的多域林中。

• 若要从用户、硬件、软件或环境问题中恢复，Active Directory DC 需要进行定期系统状态备份。 系统状态备份的默认使用寿命为60或180天，具体取决于操作系统版本和安装过程中生效的 service pack 修订版。 此有用的生命由 Active Directory 中的 tombstone 生存时间属性控制。 应在 tombstone 生存时间中指定的天数的定期定期备份林中每个域中至少有一个 DC。

  在生产环境中，应每天对两个不同的 Dc 进行系统状态备份。

   备注

  当虚拟机主机拍摄虚拟机快照时，来宾操作系统不会将此快照检测为备份。 当主机支持 Hyper-v 生成 ID 时，将在从快照或副本启动图像时更改此 ID。 默认情况下，DC 会将其自身视为从备份中还原。

在群集主机上承载 DC 角色或在虚拟宿主环境中使用 Active Directory 作为后端时要考虑的事项

• 当 Dc 在群集主机服务器上运行时，您可能会希望它们具有容错能力。 这一预期也适用于不是 Microsoft 的虚拟服务器部署。 但是，在此假设中存在一个问题：为了使群集主机计算机上的节点、磁盘和其他资源能够自动启动，群集主机计算机上的身份验证请求必须由群集主机计算机的域中的 DC 提供服务。 或者，群集主机的部分配置必须存储在 Active Directory 中。

  若要确保在群集系统启动过程中可以访问此类 Dc，请在此群集部署之外的独立托管解决方案上的群集主机计算机的域中至少部署两个 Dc。 您可以使用不具有 Active Directory 依赖关系的物理硬件或其他虚拟宿主解决方案。 有关此方案的详细信息，请参阅 避免创建单点故障。

• 这些在不同平台上的 Dc 应保持在线并可通过网络访问 (在 DNS 中和所有必需的端口和协议中，) 群集的主机。 在某些情况下，在群集启动过程中唯一可服务身份验证请求的 Dc 驻留在要重新启动的群集主机计算机上。 在这种情况下，身份验证请求将失败，您必须手动恢复群集。

   备注

  请勿假定此情况仅适用于 Hyper-v。 第三方虚拟化解决方案还可以在 VM 启动或配置更改的某些步骤中将 Active Directory 用作配置存储或进行身份验证。

对虚拟宿主环境中的 Active Directory Dc 的支持

有关在 Microsoft 和第三方虚拟托管环境中托管 Dc 的可支持性的详细信息，请参阅 microsoft 软件的支持策略，该软件运行在非 Microsoft 硬件虚拟化软件上。