前言
以往在建置 Microsoft Hyper-V 虛擬化環境時,通常會習慣至少有一台實體主機來擔任「網域控制站 (Domain Controller)」的任務,並且在預設情況下網域控制站「不能」或「不建議」與其它角色安裝在一起:- DC 絕對不能與 Exchange、SQL Database 角色裝在同一台主機。
- DC 不建議與 Hyper-V 角色裝在同一台主機。
- DC 不建議整合在 Windows Server 2003, 2008, 2008 R2 容錯移轉叢集運作環境中。
- DC 不支援整合在 Windows Server 2003, 2008, 2008 R2 的 Exchange/SQL容錯移轉叢集運作環境中。
- RODC 不支援整合在 Windows Server 2003, 2008, 2008 R2 容錯移轉叢集運作環境中。
- ADDS 不支援整合在 Windows Server 2012 容錯移轉叢集運作環境中。但是,RODC 可以運作於 Windows Server 2012 容錯移轉叢集運作環境中。
Virtual Domain Controller (vDC)
現在,在 Windows Server 2012 R2 版本中,具備「Active Directory Detached Cluster」機制,不用再像過往版本要考慮 CNO(Cluster Name Object) 或 VCOs(Virtual Computer Objects) 的問題,因為都已經把 CNO、VCOs 建立在 DNS 當中。此外,Intra-Cluster 仍使用 Kerberos 驗證,但 CNO 的部份則採用 NTLM 驗證。此外,從 Windows Server 2012 版本開始,在「容錯移轉叢集 (Failover Cluster)」當中,多出了「BootStrapping」特色功能。簡單來說,它能允許容錯移轉叢集相關服務在啟動時「無須賴 Physical DC」,所以你可以「把 vDC 運作在 Hyper-V Cluster」運作環境中。
因此,當 Hyper-V Cluster 節點主機,通過 vDC 的身份驗證機制之後便會儲存一份「Cached Credentials」在本機當中,當無法連絡 vDC 時便會用這份快取驗證來運作。
經過實作確實是可行的,也就是先在實體主機上啟動 Hyper-V 角色,接著建立一台 VM 虛擬主機並提升為網域控制站,然後將 Hyper-V 實體主機加入運作在 VM 虛擬主機當中的網域,接著 Hyper-V 實體主機便可以建立 Hyper-V Cluster。
vDC 的注意事項
但是,將 DC 運作在 VM 虛擬主機時,仍須避免執行下列動作以防止發生將 USN 混亂的情況發生 (因為,USN 會追蹤 AD Object Replication 進而導致 RID Pool 發生問題):- 不可建立檢查點 (CheckPoint),舊稱為「快照 (Snapshot)」。
- 不可以針對運作 DC 的 VM 虛擬主機進行復原動作 (不管是 Host 或 Storage Level 的備份) 。
- 不可以單純的針對運作 DC 的 VM 虛擬主機進行「Copy / Clone」作業。
參考資源
- Microsoft KB 281662 - How to use Windows Server cluster nodes as domain controllers
- Microsoft KB 888794 - Things to consider when you host Active Directory domain controllers in virtual hosting environments
- Microsoft KB 2795523 - You cannot add a domain controller as a node in a Windows Server 2012 failover cluster environment
- TechNet Blogs - Failover Clustering and Active Directory Integration
- TechNet Library - Deploy an Active Directory-Detached Cluster
- MSDN Blogs - How to Setup a Failover Cluster in a RODC Environment
- TechNet Library - Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100)
- Demystifying Virtualized Domain Controllers Part 1 Myths
- Demystifying Virtualized Domain Controllers Part 2 Practice
- TechNet Blogs - Windows Server 2012 Failover Cluster – Enhanced Integration with Active Directory (AD)
- TechNet Library - Active Directory Domain Services (AD DS) Virtualization
- Aidan Finn, IT Pro - Virtual Domain Controllers and Windows Server 2012 Improvements
