不久之前我寫了一篇文章,關于虛擬化域控制器這個爭議性話題。當時的大問題是除了自己的虛擬化軟件——Virtual Server 2005,微軟不愿意為其它托管在虛擬機上的域控制器提供支持。當時,微軟要求管理員在物理硬件上復制他們的域控制器,這樣做很麻煩。
隨著整個IT行業在虛擬化的道路上發展迅速、又有多種新技術可用,再重新來看域控制器虛擬化問題似乎很合適。
了解虛擬化域控制器的第一件事就是不能把域控制器當做其它任何一種服務器,它不是其它任何一種服務器。域控制器是基礎設施中的關鍵安全組件,不像成員服務器運行應用,它通過不同的規則簡單運行。
當然,你可以認為在決定如何虛擬化服務器時并沒有“一體適用”的方法。例如,你用在虛擬Exchange Server和SQL Server上的標準不會相同。服務器通過不同的方式運用不同的資源,而且它們有不同的備份要求和恢復方法。域控制器因類似的原因不同。
了解問題
對于虛擬域控制器的最大爭論涉及安全和管理。大中型企業通常有不同的管理員分管活動目錄和服務器虛擬化。簡單地說,你也許不想虛擬化服務器主機的管理員有活動目錄域管理權,反之亦然。
在活動目錄世界,對有高技能又被高度信任的人限制域管理權是一個好的實踐。如果這些人沒有運行域控制器虛擬機的虛擬服務器主機管理權,這將保護它們不受域控制器及時恢復的傷害。例如,如果域控制器出現問題,你必須能訪問虛擬化軟件的控制臺來啟動或配置它。虛擬化管理員也許沒有這個權力。
交換安全責任的例子還有很多,但你還要自己拿主意——把域控制器用作虛擬機增加了復雜性。
虛擬域控制器的其它重要組件關于備份。其它類型的虛擬服務器備份可通過備份虛擬硬盤文件、創建虛擬主機快照或拍攝、恢復鏡像來完成。但是這些方法在備份域控制器時不起作用。
微軟知識庫章節888794引用了USN回滾這一事件,專用于強制性還原。這在域控制器得到適當備份、重置調用身份時能起作用。當主機從快照中創建恢復虛擬域控制器,它并不會重置調用身份。因此這一套老數據沒有更新,域控制器不能告訴其它域控制器這些與它們相關的數據是過期的,從而不能復制。
因為沒有事件或錯誤說“由于你沒有重置調用身份就執行了USN回滾,所以我們不能復制”,因此這很難發現。導致不一致的問題,如某些物體出現在一些域控制器卻不出現在另一些上。修整的唯一方法是降級問題域控制器并反過來促進它。
不要把這個過程和虛擬機中的卷影復制服務弄混了。我贊成活動目錄專家Sean Deuby的言論:你絕不該對一臺虛擬域控制器做任何域控制器本身和目錄服務不能意識到的事情。例如,復制或輸出虛擬機的虛擬硬盤是在虛擬機本身對運行無意識時在主機上完成的。有一種情況是在兩臺主機上有兩個虛擬域控制器。作為一條備份策略,管理員應該每晚從每個域控制器輸出虛擬機并存儲在另一臺上。這違背上面Deuby描述的規則。客機,即域控制器本身知道這次輸出和存儲嗎?當然不知道了,因此,它不能完成。相反地,只是從虛擬機內部備份虛擬機就沒有問題。
時間同步也是一個問題。虛擬域控制器內的系統時間不應由主機限制。主機不是域控制器,那么它為什么應該參與時間服務基礎設施呢?只有域服務器的同步時間可用作時間服務器。主域控制器是域的授權時間服務器,所以同步主機時間服務和驅動域控制器的時間會避免根域控制器變成域授權。不用同步來自兩個獨立時間源的物理域控制器。
域控制器是域結構的基本要素,它必須保持運行或如果在出現問題的時候能夠立即啟動。暫時關閉物理域控制器不是什么問題,一樣地,短時間內暫停虛擬域控制器也并不是一個大問題。只要關閉時間比墓碑存活時間短,當接入網絡、自身過期時,它就能夠適當復制。是的,在事件日志中也會有抱怨,但是這可以完成維護、為虛擬機或更多重新配置資源設置,就像你關機維護物理電腦機一樣。
在本文的下半部分中,我們將繼續介紹虛擬域控制器的方法。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:緊跟潮流 您虛擬域控制器了嗎?
相關文章
