Virtual Domain Controller 注意事項


前言

以往在建置 Microsoft Hyper-V 虛擬化環境時,通常會習慣至少有一台實體主機來擔任「網域控制站 (Domain Controller)」的任務,並且在預設情況下網域控制站「不能」或「不建議」與其它角色安裝在一起:

  • DC 絕對能與 Exchange、SQL Database 角色裝在同一台主機。
  • DC 建議與 Hyper-V 角色裝在同一台主機。
  • DC 建議整合在 Windows Server 2003, 2008, 2008 R2 容錯移轉叢集運作環境中。
  • DC 支援整合在 Windows Server 2003, 2008, 2008 R2 的 Exchange/SQL容錯移轉叢集運作環境中。
  • RODC 支援整合在 Windows Server 2003, 2008, 2008 R2 容錯移轉叢集運作環境中。
  • ADDS 支援整合在 Windows Server 2012 容錯移轉叢集運作環境中。但是,RODC 可以運作於 Windows Server 2012 容錯移轉叢集運作環境中。



Virtual Domain Controller (vDC)

現在,在 Windows Server 2012 R2 版本中,具備「Active Directory Detached Cluster」機制,不用再像過往版本要考慮 CNO(Cluster Name Object)VCOs(Virtual Computer Objects) 的問題,因為都已經把 CNO、VCOs 建立在 DNS 當中。此外,Intra-Cluster 仍使用 Kerberos 驗證,但 CNO 的部份則採用 NTLM 驗證。

此外,從 Windows Server 2012 版本開始,在「容錯移轉叢集 (Failover Cluster)」當中,多出了「BootStrapping」特色功能。簡單來說,它能允許容錯移轉叢集相關服務在啟動時「無須賴 Physical DC」,所以你可以「把 vDC 運作在 Hyper-V Cluster」運作環境中。

因此,當 Hyper-V Cluster 節點主機,通過 vDC 的身份驗證機制之後便會儲存一份「Cached Credentials」在本機當中,當無法連絡 vDC 時便會用這份快取驗證來運作。

經過實作確實是可行的,也就是先在實體主機上啟動 Hyper-V 角色,接著建立一台 VM 虛擬主機並提升為網域控制站,然後將 Hyper-V 實體主機加入運作在 VM 虛擬主機當中的網域,接著 Hyper-V 實體主機便可以建立 Hyper-V Cluster。





vDC 的注意事項

但是,將 DC 運作在 VM 虛擬主機時,仍須避免執行下列動作以防止發生將 USN 混亂的情況發生 (因為,USN 會追蹤 AD Object Replication 進而導致 RID Pool 發生問題):
  • 不可建立檢查點 (CheckPoint),舊稱為「快照 (Snapshot)」。
  • 不可以針對運作 DC 的 VM 虛擬主機進行復原動作 (不管是 Host 或 Storage Level 的備份) 。
  • 不可以單純的針對運作 DC 的 VM 虛擬主機進行「Copy / Clone」作業。



參考資源