Особенности развертывания виртуализированных контроллеров домена

Платформы виртуализации, например Hyper-V, предоставляют ряд удобных возможностей, облегчающих управление, обслуживание, резервное копирование и миграцию компьютеров. Однако имеется несколько распространенных функций и приемов развертывания, которые нельзя использовать для виртуальных контроллеров домена. Действия, которых следует избегать при развертывании контроллеров домена, приведены в следующем списке.

• Не применяйте разностные виртуальные жесткие диски (VHD) на виртуальной машине, настраиваемой в качестве контроллера домена. Это слишком облегчает возврат к предыдущей версии, а также снижает производительность. Дополнительные сведения о типах виртуальных жестких дисков см. в статье «Мастер создания виртуального жесткого диска» (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkID=137279.
• Не клонируйте установку операционной системы без использования программы Sysprep.exe, поскольку идентификатор безопасности (SID) компьютера не будет обновлен. Дополнительные сведения об использовании программы подготовки системы (Sysprep) см. в разделе «Использование виртуальных жестких дисков» статьи «Способы развертывания операционной системы на виртуальную машину» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=137100).
• Чтобы предотвратить возникновение потенциально возможной ситуации отката номера последовательного обновления (USN), не используйте копии VHD-файла, который представляет уже развернутый контроллер домена, для развертывания дополнительных контроллеров домена. Следующие три пункта этого списка также рекомендуются с целью предотвращения потенциально возможной ситуации отката номера последовательного обновления. Дополнительные сведения об откате номера последовательного обновления см. в Приложение A: виртуализированные контроллеры домена и проблемы репликации.
• Не используйте функцию экспорта Hyper-V для экспорта виртуальной машины, на которой выполняется контроллер домена.

Предупреждение
Выполнение программы Sysprep на контроллере домена повредит установку доменных служб Active Directory. Используйте программу Sysprep до установки роли доменных служб Active Directory, чтобы получить уникальный идентификатор безопасности для этой установки.

 

System Center Virtual Machine Manager (VMM) 2008 обеспечивает единое управление физическими компьютерами и виртуальными машинами. Кроме того, это решение предоставляет возможность миграции физического компьютера на виртуальную машину. Это процесс известен как преобразование физического компьютера в виртуальную машину (P2V). Во время процесса преобразования P2V физический контроллер домена, миграция которого осуществляется, не должен быть включен одновременно с новой виртуальной машиной, чтобы избежать ситуации отката номера последовательного обновления, как описано в Приложение A: виртуализированные контроллеры домена и проблемы репликации.

Преобразование P2V необходимо выполнить в автономном режиме, чтобы данные каталога были согласованы, когда контроллер домена вновь включится. Вариант автономного режима предлагается и рекомендуется в мастере преобразования физического сервера. Описание различий между автономным и оперативным режимами см. в статье «P2V: преобразование физических компьютеров в виртуальные машины в VMM» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=155072). Во время преобразования P2V виртуальная машина не должна быть подключена к сети. Сетевой адаптер виртуальной машины следует включать только после завершения процесса преобразования P2V и его проверки. На этом этапе исходный физический компьютер будет отключен. Не подключайте исходный физический компьютер обратно к сети, пока жесткий диск не будет переформатирован.

Внимание
Чтобы предотвратить проблемы с репликацией Active Directory, убедитесь, что только один экземпляр (физический или виртуальный) контроллера домена существует в заданной сети в любой момент времени.

 

Для создания тестовых сред можно использовать миграцию P2V с помощью VMM. Можно осуществлять миграцию рабочих контроллеров домена с физических компьютеров на виртуальные машины для создания тестовой среды без вывода рабочих контроллеров домена из использования на длительное время. Однако если должно быть два экземпляра одного контроллера домена, тестовая среда должна находиться в сети, отличной от рабочей среды. Необходимо проявлять повышенную осторожность при создании тестовых сред с помощью миграции P2V, чтобы избежать откатов номера последовательного обновления, которые могут повлиять на состояния тестовой и рабочей сред. Ниже описан способ, который можно использовать для создания тестовых сред с помощью преобразования P2V.

Выполняется миграция на тестовую виртуальную машину одного рабочего контроллера домена из каждого домена преобразованием P2V согласно рекомендациям, приведенным в подразделе Миграция из физической в виртуальную среду. Физические рабочие компьютеры и тестовые виртуальные машины должны находиться в разных сетях, когда они вновь будут подключаться к сети. Чтобы избежать в тестовой среде откатов номера последовательного обновления, все контроллеры домена, миграция которых выполняется с физических компьютеров на виртуальные машины, должны быть отключены от сети. (Для этого необходимо остановить службу NTDS или перезагрузить компьютер в режиме восстановления служб каталогов (DSRM).) После отключения контроллеров домена от сети в среде не должны производиться обновления. Компьютеры должны оставаться отключенными от сети в процессе миграции P2V; ни один компьютер нельзя вновь подключать к сети, пока полностью не завершена миграция всех компьютеров. Дополнительные сведения об откате номера последовательного обновления см. в Приложение A: виртуализированные контроллеры домена и проблемы репликации.

Последующие тестовые контроллеры домена должны создаваться как реплики в тестовой среде.

Отключите через службы интеграции синхронизацию времени с узлом для виртуальных машин, настроенных в качестве контроллеров домена. Вместо этого используйте синхронизацию времени доменной структуры с помощью службы времени Windows (W32time), установленной по умолчанию.

Синхронизация времени с узлом позволяет операционным системам на виртуальной машине синхронизировать свои системные часы с системными часами операционной системы узла. Поскольку контроллеры домена имеют собственный механизм синхронизации времени, синхронизацию времени с узлом необходимо отключить на виртуальных машинах, настроенных в качестве контроллеров домена. Если контроллеры домена синхронизируют время по своему собственному опорному источнику времени, а также синхронизируют время с узлом, время контроллера домена может часто изменяться. Поскольку выполнение многих задач контроллера домена привязано к системному времени, скачок значения системного времени может привести к тому, что устаревшие объекты останутся в каталоге, а репликация будет остановлена.

Чтобы отключить синхронизацию времени с узлом в параметрах виртуальной машины, в разделе Службы интеграции диспетчера Hyper-V снимите флажок Синхронизация времени.

Дополнительные сведения об установке и использовании служб интеграции см. в руководстве «Начало работы с Hyper-V» (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkId=137146.

Чтобы оптимизировать производительность виртуальной машины, настроенной в качестве контроллера домена, следуйте приведенным ниже рекомендациям для хранения файлов операционной системы, Active Directory и VHD-файлов.

• Хранение на виртуальной машине. Файл базы данных Active Directory (Ntds.dit), файлы журналов и SYSVOL-файлы должны храниться на виртуальном диске, отдельном от файлов операционной системы. Интеграционные компоненты необходимо устанавливать так, чтобы для интерфейса IDE можно было использовать виртуальные драйверы вместо эмуляции. Быстродействие виртуальных SCSI- и IDE-дисков одинаково при использовании ими виртуальных драйверов.
• Хранение VHD-файлов на узле. Рекомендации. Рекомендации по хранению на узле относятся к хранению VHD-файлов. Чтобы обеспечить максимальную производительность, не храните VHD-файлы на диске, который часто используют другие службы или приложения, например на системном диске с установленной ОС Windows узла. Каждый VHD-файл рекомендуется хранить на отдельном разделе отдельно от операционной системы узла и остальных VHD-файлов. Оптимальная конфигурация достигается при хранении каждого VHD-файла на отдельном физическом диске.
• Виртуальные жесткие диски фиксированного объема в сравнении с транзитными дисками. Существует много способов конфигурации хранилища для виртуальных машин. Если используются VHD-файлы, то виртуальные жесткие диски фиксированного объема более эффективны, чем динамические виртуальные жесткие диски, поскольку память для виртуальных жестких дисков фиксированного объема выделяется при их создании. Транзитные диски, используемые виртуальными машинами для доступа к физической среде хранения, еще лучше оптимизированы для обеспечения высокой производительности. Транзитные диски, по существу, являются физическими дисками или логическими номерами устройств (LUN), подключенными к виртуальной машине. Транзитные диски не поддерживают функцию создания моментального снимка. Поэтому транзитные диски являются предпочтительной конфигурацией жестких дисков, поскольку не рекомендуется использовать моментальные снимки для контроллеров домена.

Чтобы уменьшить вероятность повреждения данных Active Directory, используйте SCSI-контроллеры или отключите кэширование записей на ATA/IDE-дисках.

• Используйте физические SCSI-диски (в качестве альтернативы ATA/IDE-дискам) в серверах Hyper-V, на которых размещены виртуальные контроллеры домена. Если нет возможности установить SCSI-диски, убедитесь, что отключено кэширование записей на ATA/IDE-дисках, на которых размещены виртуальные контроллеры домена. Дополнительные сведения см. в статье «Событие с кодом 1539 — Целостность базы данных» (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkId=162419.
• Используйте виртуальные SCSI-контроллеры для любой виртуальной машины, функционирующей в качестве контроллера домена. Если нет возможности использовать виртуальные SCSI-контроллеры, убедитесь, что отключено кэширование записей на виртуальных IDE-дисках виртуальных машин, функционирующих в качестве контроллеров домена. Тип установленных контроллеров диска можно узнать в диалоговом окне Параметры диспетчера виртуальных машин. Дополнительные сведения см. в статье «Настройка виртуальных машин» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkID=129912).

Другие ресурсы

Работа контроллеров домена в среде Hyper-V (загружаемый документ в формате Word)