我是否還應該擁有物理 DC,即使是在 Server 2012 之後?
早在 Windows Server 2012 之前的日子裡,建議似乎是讓至少一個物理域控制器與您的虛擬化 DC 並排放置。
這樣做的一個理由是,如果您的 Hyper-V 主機是集群的,那麼它們需要在啟動期間可以聯繫到 DC。這對我來說完全有意義。
但是,我經常聽到人們說,即使您沒有集群設置,擁有一個物理 DC 仍然很重要(例如,在一個執行多個 VM 的單個 Hyper-V 伺服器的簡單設置中,一個其中是 DC)。這樣做的理由似乎(我永遠無法確定)在 Hyper-V 主機首次啟動時,網路上不存在 DC 的意義上仍然存在問題。記憶體的憑據意味著您仍然可以登錄,但是在啟動過程中發生的所有這些位意味著擁有 DC 是有益的呢?這真的是一個問題嗎?實際上是否有任何可能只執行的操作在啟動時會導致問題嗎?例如,任何組策略?我基本上要問的是,物理 DC 論點是否僅在涉及集群時才真正成立,或者(2012 年之前)是否存在沒有集群的重要技術案例?Altaro 的這篇文章 (參見“雞和蛋”神話部分)表明沒有必要,但我仍然不確定。
現在到我問題的第二個(也是主要)部分:
Windows Server 2012 引入了幾個旨在解決虛擬化域控制器問題的功能,包括:
- VM-Generation ID - 這解決了 USN 回滾問題,這意味著快照(或更具體地說,回滾到快照)不受支持/一個非常糟糕的主意
- Cluster Bootstrapping - 這解決了我上面提到的圍繞故障轉移集群的“雞和蛋”問題。故障轉移群集不再需要在啟動期間存在 DC。
所以我的第二個問題與第一個問題相似,但這次是針對 2012 年以上的。假設 vDC 和主機都是 2012+ 並且您將集群排除在等式之外,是否還有其他類似上面提到的問題意味著我仍然應該考慮物理 DC?我是否仍應考慮在我的單個非集群 2012/2012R2 Hyper-V 主機旁邊安裝一個物理 DC,該主機上有一個虛擬化 DC?我聽說有人建議將 AD 放在 Hyper-V 主機上,但出於各種原因我不喜歡這個想法(一開始就禁用了 WB 記憶體)。
作為旁注,我的問題隱含地假設讓您的 Hyper-V 主機加入域以提高可管理性是有意義的。這種說法是否經得起推敲?
更新:
在閱讀了一些答案之後,我突然想到,我可以用稍微不同的方式來表達我所要問的問題的核心:
即使在 2012 年及以後進行了改進,事實仍然是,在另一台主機上沒有任何物理 DC 或虛擬 DC,主機仍然在沒有可用 DC 時啟動。這真的是一個問題嗎?從某種意義上說,我認為如果您完全不考慮虛擬化,這是相同(或非常相似)的問題。如果您定期在任何 DC 之前啟動成員伺服器,這是一個問題嗎?
我也不會讓 Hyper-V 主機成為 DC。
至於你是否應該擁有一個物理 DC,我的觀點是,隨著微軟對虛擬化域控制器和具體的無 DC 集群引導實施的更改,我個人認為沒有必要,也不提倡擁有物理 DC。維護物理 DC 似乎與將基礎架構遷移到虛擬化平台的性質背道而馳。虛擬化我的整個基礎架構,但這一切都取決於一個可用的物理 DC?那有什麼意義呢?
有一些方法可以限制您的“暴露”,同時仍然虛擬化您的域控制器。一種方法是在集群中的不同主機上部署多個 DC,並使用反關聯性在主機發生故障時將它們分開(取決於集群中有多少主機)。
雖然 Greg 的回答包括一些 MS 建議的連結,但那篇文章仍然有兩年的歷史,涉及 Windows Server 2008 和 2008 R2。我不認為那篇文章是與 Windows Server 2012 和 2012 R2 相關的目前最佳實踐。我找不到官方的 MS 文件,但這個人被認為是 Hyper-V 的權威 - http://www.aidanfinn.com/?p=13171