不久之前我写了一篇文章,关于虚拟化域控制器这个争议性话题。当时的大问题是除了自己的虚拟化软件——Virtual Server 2005,微软不愿意为其它托管在虚拟机上的域控制器提供支持。当时,微软要求管理员在物理硬件上复制他们的域控制器,这样做很麻烦。
随着整个IT行业在虚拟化的道路上发展迅速、又有多种新技术可用,再重新来看域控制器虚拟化问题似乎很合适。
了解虚拟化域控制器的第一件事就是不能把域控制器当做其它任何一种服务器,它不是其它任何一种服务器。域控制器是基础设施中的关键安全组件,不像成员服务器运行应用,它通过不同的规则简单运行。
当然,你可以认为在决定如何虚拟化服务器时并没有“一体适用”的方法。例如,你用在虚拟Exchange Server和SQL Server上的标准不会相同。服务器通过不同的方式运用不同的资源,而且它们有不同的备份要求和恢复方法。域控制器因类似的原因不同。
了解问题
对于虚拟域控制器的最大争论涉及安全和管理。大中型企业通常有不同的管理员分管活动目录和服务器虚拟化。简单地说,你也许不想虚拟化服务器主机的管理员有活动目录域管理权,反之亦然。
在活动目录世界,对有高技能又被高度信任的人限制域管理权是一个好的实践。如果这些人没有运行域控制器虚拟机的虚拟服务器主机管理权,这将保护它们不受域控制器及时恢复的伤害。例如,如果域控制器出现问题,你必须能访问虚拟化软件的控制台来启动或配置它。虚拟化管理员也许没有这个权力。
交换安全责任的例子还有很多,但你还要自己拿主意——把域控制器用作虚拟机增加了复杂性。
虚拟域控制器的其它重要组件关于备份。其它类型的虚拟服务器备份可通过备份虚拟硬盘文件、创建虚拟主机快照或拍摄、恢复镜像来完成。但是这些方法在备份域控制器时不起作用。
微软知识库章节888794引用了USN回滚这一事件,专用于强制性还原。这在域控制器得到适当备份、重置调用身份时能起作用。当主机从快照中创建恢复虚拟域控制器,它并不会重置调用身份。因此这一套老数据没有更新,域控制器不能告诉其它域控制器这些与它们相关的数据是过期的,从而不能复制。
因为没有事件或错误说“由于你没有重置调用身份就执行了USN回滚,所以我们不能复制”,因此这很难发现。导致不一致的问题,如某些物体出现在一些域控制器却不出现在另一些上。修整的唯一方法是降级问题域控制器并反过来促进它。
不要把这个过程和虚拟机中的卷影复制服务弄混了。我赞成活动目录专家Sean Deuby的言论:你绝不该对一台虚拟域控制器做任何域控制器本身和目录服务不能意识到的事情。例如,复制或输出虚拟机的虚拟硬盘是在虚拟机本身对运行无意识时在主机上完成的。有一种情况是在两台主机上有两个虚拟域控制器。作为一条备份策略,管理员应该每晚从每个域控制器输出虚拟机并存储在另一台上。这违背上面Deuby描述的规则。客机,即域控制器本身知道这次输出和存储吗?当然不知道了,因此,它不能完成。相反地,只是从虚拟机内部备份虚拟机就没有问题。
时间同步也是一个问题。虚拟域控制器内的系统时间不应由主机限制。主机不是域控制器,那么它为什么应该参与时间服务基础设施呢?只有域服务器的同步时间可用作时间服务器。主域控制器是域的授权时间服务器,所以同步主机时间服务和驱动域控制器的时间会避免根域控制器变成域授权。不用同步来自两个独立时间源的物理域控制器。
域控制器是域结构的基本要素,它必须保持运行或如果在出现问题的时候能够立即启动。暂时关闭物理域控制器不是什么问题,一样地,短时间内暂停虚拟域控制器也并不是一个大问题。只要关闭时间比墓碑存活时间短,当接入网络、自身过期时,它就能够适当复制。是的,在事件日志中也会有抱怨,但是这可以完成维护、为虚拟机或更多重新配置资源设置,就像你关机维护物理电脑机一样。
在本文的下半部分中,我们将继续介绍虚拟域控制器的方法。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:紧跟潮流 您虚拟域控制器了吗?
相关文章
