Часто встает вопрос о том, можно или нельзя использовать технологии виртуализации для запуска доменных контроллеров Active Directory на гостевых операционных системах. Ответ и рекомендации от компании Microsoft содержатся здесь: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx
При этом, несмотря на то, что рекомендации описаны для технологии виртуализации от компании Microsoft, и для других технологий виртуализации необходимо придерживаться этих рекомендаций.
На какие пункты хотелось бы обратить внимание:
При этом, несмотря на то, что рекомендации описаны для технологии виртуализации от компании Microsoft, и для других технологий виртуализации необходимо придерживаться этих рекомендаций.
На какие пункты хотелось бы обратить внимание:
- Для каждого домена очень желательно иметь минимум два доменных контроллера, которые работают на разных хостах виртуализации. Это позволит избежать недоступности Active Directory при сбое физического сервера.
- В каждом домене желательно использовать минимум один доменный контроллер на физической машине. Это позволит защититься от глобального сбоя всей платформы виртуализации.
- Необходимо отключить синхронизацию времени через компоненты интеграции между виртуальной машиной с ролью доменного контроллера и родительским разделом. Это рекомендация продуктовой группы Active Directory и связана с тем, что доменные контроллеры используют собственные механизмы синхронизации времени.
- Необходимо обеспечивать безопасность виртуальных дисков доменных контроллеров. Таким образом мы должны ограничить круг администраторов самой платформы виртуализации, так как администратор, имеющий доступ на запись в файл виртуального диска записываемого доменного контроллера, может очень легко получить права администратора домена и немного посложнее права администратора леса.
- Восстановление доменных контроллеров должно осуществляться только специализированными средствами резервного копирования/восстановления, которые поддерживают восстановление Active Directory. Восстановление состояния при помощи дифференциальных дисков, снимков виртуальной машины, копирования файлов виртуальных дисков может привести к возникновению проблем с репликацией Active Directory.