將備份 AD 域控制器作為 VM 放在工作站上
作為一家小商店(約 10 台 PC),我們只有一台物理伺服器機器。此物理伺服器機器執行以下兩個虛擬機:
- 一個 AD 域控制器和
- 一台“生產伺服器”(文件伺服器、數據庫伺服器等)。
現在,所有最佳實踐指南都告訴我,強烈建議使用第二個 AD 域控制器(“備份 DC”)。
把它放在與主 DC 相同的物理機器上似乎毫無意義,所以我想把它作為一個 VM 放在通常執行 24-7 的更強大的工作站之一上。由於它只是一個備份 DC,我會給它很少的 CPU/RAM 資源,所以它不會對使用者造成太大影響。
這聽起來像是一個好計劃還是有什麼我應該注意的陷阱?
我相信普遍的共識是“不”,尤其是當您計劃將第二個 DC 作為帶有工作站主機的 VM 託管時。
您使用兩個 DC 的原因是,一個出現故障不會使您的網路癱瘓,並且在更大的環境中提供更多資源來執行 DC 的任務。
如果將其中一個 DC 作為 VM 放置在伺服器機櫃中的專用虛擬機管理程序中,並且周圍有靜態 IP,則不會嚴重損害系統的容錯能力。而 Windows Server 2016 尤其解決了虛擬環境中 DC 的許多問題,例如權威記錄、備份和恢復等。
但是,如果將 DC 作為 VM 放置在工作站上,則 DC VM 依賴於主機的連接性,這抵消了冗餘的大部分好處。
如果主物理 DC 出現故障,您的工作站主機將失去連接,因此備份 DC 也會:毫無價值。
您將獲得的唯一冗餘是如果 VM DC 出現故障,在這種情況下,物理 DC 將繼續執行並提供網路的需求。
換句話說:沒有任何好處。
更新:一個選項
有了許可,您可以花一點硬體和 Windows Server 的單個標准許可的價格,建立一個 Hypervisor(我可能建議 Nano 嗎?)並在其上執行 2 個 VM 伺服器。執行一個作為您的第二個 DC,另一個作為標準的提供服務的伺服器。
我認為,這只需少量現金就可以解決大部分問題。
- 你得到兩個在離散硬體上執行的 DC
- 您只使用一個伺服器許可證(我假設您已經考慮將其作為虛擬機安裝在工作站上)
- 你在伺服器級硬體上做這一切(這真的更能幫助你晚上睡覺)
- 您有一個可用的虛擬伺服器,可用於升級/遷移/擴展/使人們開心/等。
假設虛擬機管理程序和在其上執行的虛擬機都將是靜態 IP 系統,網路中斷不太可能影響它們。
伺服器級管理程序軟體在修補後也不太可能需要重新啟動(因此我的 Nano 建議),這意味著管理程序不需要像普通桌面那樣頻繁地重新啟動。
這只是一個更好的全方位解決方案,而不是更多的錢。