不久之前我寫了一篇文章,關(guān)于虛擬化域控制器這個爭議性話題。當(dāng)時的大問題是除了自己的虛擬化軟件——Virtual Server 2005,微軟不愿意為其它托管在虛擬機(jī)上的域控制器提供支持。當(dāng)時,微軟要求管理員在物理硬件上復(fù)制他們的域控制器,這樣做很麻煩。
隨著整個IT行業(yè)在虛擬化的道路上發(fā)展迅速、又有多種新技術(shù)可用,再重新來看域控制器虛擬化問題似乎很合適。
了解虛擬化域控制器的第一件事就是不能把域控制器當(dāng)做其它任何一種服務(wù)器,它不是其它任何一種服務(wù)器。域控制器是基礎(chǔ)設(shè)施中的關(guān)鍵安全組件,不像成員服務(wù)器運(yùn)行應(yīng)用,它通過不同的規(guī)則簡單運(yùn)行。
當(dāng)然,你可以認(rèn)為在決定如何虛擬化服務(wù)器時并沒有“一體適用”的方法。例如,你用在虛擬Exchange Server和SQL Server上的標(biāo)準(zhǔn)不會相同。服務(wù)器通過不同的方式運(yùn)用不同的資源,而且它們有不同的備份要求和恢復(fù)方法。域控制器因類似的原因不同。
了解問題
對于虛擬域控制器的最大爭論涉及安全和管理。大中型企業(yè)通常有不同的管理員分管活動目錄和服務(wù)器虛擬化。簡單地說,你也許不想虛擬化服務(wù)器主機(jī)的管理員有活動目錄域管理權(quán),反之亦然。
在活動目錄世界,對有高技能又被高度信任的人限制域管理權(quán)是一個好的實踐。如果這些人沒有運(yùn)行域控制器虛擬機(jī)的虛擬服務(wù)器主機(jī)管理權(quán),這將保護(hù)它們不受域控制器及時恢復(fù)的傷害。例如,如果域控制器出現(xiàn)問題,你必須能訪問虛擬化軟件的控制臺來啟動或配置它。虛擬化管理員也許沒有這個權(quán)力。
交換安全責(zé)任的例子還有很多,但你還要自己拿主意——把域控制器用作虛擬機(jī)增加了復(fù)雜性。
虛擬域控制器的其它重要組件關(guān)于備份。其它類型的虛擬服務(wù)器備份可通過備份虛擬硬盤文件、創(chuàng)建虛擬主機(jī)快照或拍攝、恢復(fù)鏡像來完成。但是這些方法在備份域控制器時不起作用。
微軟知識庫章節(jié)888794引用了USN回滾這一事件,專用于強(qiáng)制性還原。這在域控制器得到適當(dāng)備份、重置調(diào)用身份時能起作用。當(dāng)主機(jī)從快照中創(chuàng)建恢復(fù)虛擬域控制器,它并不會重置調(diào)用身份。因此這一套老數(shù)據(jù)沒有更新,域控制器不能告訴其它域控制器這些與它們相關(guān)的數(shù)據(jù)是過期的,從而不能復(fù)制。
因為沒有事件或錯誤說“由于你沒有重置調(diào)用身份就執(zhí)行了USN回滾,所以我們不能復(fù)制”,因此這很難發(fā)現(xiàn)。導(dǎo)致不一致的問題,如某些物體出現(xiàn)在一些域控制器卻不出現(xiàn)在另一些上。修整的唯一方法是降級問題域控制器并反過來促進(jìn)它。
不要把這個過程和虛擬機(jī)中的卷影復(fù)制服務(wù)弄混了。我贊成活動目錄專家Sean Deuby的言論:你絕不該對一臺虛擬域控制器做任何域控制器本身和目錄服務(wù)不能意識到的事情。例如,復(fù)制或輸出虛擬機(jī)的虛擬硬盤是在虛擬機(jī)本身對運(yùn)行無意識時在主機(jī)上完成的。有一種情況是在兩臺主機(jī)上有兩個虛擬域控制器。作為一條備份策略,管理員應(yīng)該每晚從每個域控制器輸出虛擬機(jī)并存儲在另一臺上。這違背上面Deuby描述的規(guī)則?蜋C(jī),即域控制器本身知道這次輸出和存儲嗎?當(dāng)然不知道了,因此,它不能完成。相反地,只是從虛擬機(jī)內(nèi)部備份虛擬機(jī)就沒有問題。
時間同步也是一個問題。虛擬域控制器內(nèi)的系統(tǒng)時間不應(yīng)由主機(jī)限制。主機(jī)不是域控制器,那么它為什么應(yīng)該參與時間服務(wù)基礎(chǔ)設(shè)施呢?只有域服務(wù)器的同步時間可用作時間服務(wù)器。主域控制器是域的授權(quán)時間服務(wù)器,所以同步主機(jī)時間服務(wù)和驅(qū)動域控制器的時間會避免根域控制器變成域授權(quán)。不用同步來自兩個獨(dú)立時間源的物理域控制器。
域控制器是域結(jié)構(gòu)的基本要素,它必須保持運(yùn)行或如果在出現(xiàn)問題的時候能夠立即啟動。暫時關(guān)閉物理域控制器不是什么問題,一樣地,短時間內(nèi)暫停虛擬域控制器也并不是一個大問題。只要關(guān)閉時間比墓碑存活時間短,當(dāng)接入網(wǎng)絡(luò)、自身過期時,它就能夠適當(dāng)復(fù)制。是的,在事件日志中也會有抱怨,但是這可以完成維護(hù)、為虛擬機(jī)或更多重新配置資源設(shè)置,就像你關(guān)機(jī)維護(hù)物理電腦機(jī)一樣。
在本文的下半部分中,我們將繼續(xù)介紹虛擬域控制器的方法。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:緊跟潮流 您虛擬域控制器了嗎?