活动目录域名控制器虚拟化注意事项与技巧(1)

多年来，VMware和微软都在提供虚拟化服务。其中，VMware的虚拟化历史已超过十年，而微软公司进入服务器虚拟化领域的时间则相对较短。

一个IT环境是由一系列物理IT组件构成的，其中包括托管Active Directory(活动目录)服务的服务器。Active Directory域控制器是顺利运行IT操作所必需的关键服务器。作为虚拟化路线的一部分，企业必须确保它的每个物理IT资源都处在被虚拟化的过程中，从而降低成本。这当然也包括了对物理域控制器进行虚拟化。

Active Directory域控制器不仅有助于IT业务的顺利运行，它还是提供验证和授权服务的关键组成部分。在如今的生产环境中，几乎所有的网络应用程序都采用Active Directory作为身份验证。在对这些关键服务实现虚拟化之前，我们需要考虑很多事情。

这也是本文要介绍虚拟化“最佳实践”法的用意，它能帮助你了解在VMware或Hyper-V上对活动目录域名控制器进行虚拟化时，哪些操作应该做，哪些不该做：

禁用时间同步功能

借助Windows的时间服务，Active Directory域控制器有一个内置机制可处理时间同步任务。虚拟化平台也为虚拟机(VM)提供了时间服务，不过建议对每一个虚拟域控制器都关闭时间同步选项并让Active Directory来管理虚拟域控制器之间的时间同步任务。

不要生成系统快照

快照功能是专为开发和测试目的而设计的。执行快照功能是为了可以恢复到之前作为快照过程一部分的配置状态。快照功能要求，在创建快照文件之前，虚拟机处于保存状态。

1. 第一步，把虚拟域控制器置于保存状态作为快照过程的一部分，并确保停机时间最短，如果不同的磁盘文件变得很大，由此会产生显著的影响。

2. 其次，我们从来不希望特别地为一个虚拟域控制器而恢复到之前的配置。如果你这样做的话，这可能会导致该域控制器上Active Directory数据库的副本不一致。

注：通过在Windows Server 2012中引入了一个新的Live快照融合功能，微软公司的Hyper-V解决了由快照功能引起的停机问题。

禁用域控制器上的磁盘缓存功能

对于“在虚拟域控制器的所有磁盘驱动器策略标签中，关闭磁盘写缓存功能”的设置，建议对所有使用可扩展引擎存储(ESE)技术的服务选择该项设置，以避免任何的数据丢失可能。

关闭磁盘缓存可确保数据实际上是被写入磁盘而不是被保存在非易失性内存中，后者在发生电源故障或主机服务器当机时有可能会造成数据的丢失。

不要暂停

不建议暂停虚拟域控制器，尤其是虚拟域控制器暂停时间超过Active Directory的Tombstone timeframe。暂停可能会导致虚拟域控制器的不同步，并在Active Directory环境中引入延迟对象。

当被删除对象没有在Active Directory的Tombstone timeframe时间(一般为80或160天，具体取决于所使用的操作系统)内被复制到所有的Active Directory域控制器时，就会出现延迟对象。

常对虚拟域名控制器设置固定或直通磁盘

建议为存储域控制器的数据库(NTDS.DIT)和日志文件配置固定或直通型磁盘，以便于域控制器能够更高效地运行。使用其他类型硬盘之一(例如有差异的磁盘虚拟硬盘)将降低虚拟域控制器的性能。

注：直通型磁盘是微软Hyper-V的一个功能，它与VMware虚拟化平台中的Raw磁盘可以相提并论。

不要复制域控制器虚拟机

大部分的虚拟化供应商都提供了虚拟机克隆功能以实现快速部署。但是，我们强烈建议不要克隆域控制器安装。如果你确有需要，我们建议使用SysPrep.exe工具，它通过删除重复的安全标识符(SID)来准备操作系统。

切勿使用虚拟化产品的导出功能

在导出程序导出相关文件之前，导出功能会把域控制器置于保存状态。然后，就会恢复虚拟机以提供服务。

由于显而易见的原因，我们强烈建议，除非绝对必要，请切勿暂停域控制器的服务。暂停这些服务可能会导致把Active Directory 作为其验证程序使用的网络应用程序的停机。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!