Le contrôleur de domaine Windows peut-il être virtualisé?

Juste la question sur le titre. Il y a un problème? Une expérience à ce sujet?

Oui, ça peut se faire. La pertinence de le faire est sujette à débat.

• Assurez-vous que l'heure reste synchronisée! C'est très important. Un DC avec une heure incorrecte peut causer des ravages.
• Désactivez et n'utilisez pas d'instantanés. Le retour à un ancien instantané dans un domaine avec de nombreux contrôleurs de domaine entraînera un chaos massif.
• Ne suspendez / suspendez pas le contrôleur de domaine.
• Assurez-vous que votre serveur VM n'est pas surchargé.
• Je vous suggère d'exécuter au moins un contrôleur de domaine au sein de votre domaine sur du matériel réel, si vous avez un réseau plus important.

Pourriez-vous expliquer le point de chaos instantané? Le fait de revenir à un instantané ne se comportera-t-il pas comme une restauration à partir d'une sauvegarde, c'est-à-dire qu'il synchronisera les modifications récentes des autres contrôleurs de domaine?

Le répertoire actif n'est pas conçu pour prendre en charge cela. Une fois qu'une mise à jour a été répliquée, elle ne sera pas répliquée. Normalement, si vous restaurez le répertoire actif, vous devez suivre une procédure spéciale. ( http://technet.microsoft.com/en-us/library/cc779573.aspx ). L' article de la base de connaissances Sam Cogan et Gharper mentionnés traitent spécifiquement de ce point.

En particulier, Active Directory ne prend en charge aucune méthode qui restaure un instantané du système d'exploitation ou du volume sur lequel le système d'exploitation réside. Ce type de méthode provoque une restauration du numéro de séquence de mise à jour (USN). Lorsqu'un rollback USN se produit, les partenaires de réplication du contrôleur de domaine incorrectement restauré peuvent avoir des objets incohérents dans leurs bases de données Active Directory. Dans cette situation, vous ne pouvez pas rendre ces objets cohérents.

Nous ne prenons pas non plus en charge l'utilisation des fonctionnalités "Annuler" et "Différencier" dans Virtual PC sur les images du système d'exploitation pour les contrôleurs de domaine qui s'exécutent dans des environnements d'hébergement virtuels.

L'équipe Microsoft AD vient de publier un nouvel article sur la virtualisation des contrôleurs de domaine qui comprend plusieurs recommandations.

Oui, il peut être virtualisé, non, nous n'avons rencontré aucun problème (VMWare ESX & VMWare Server 2), et d'après mon expérience, c'est à peu près la même chose que l'exécution du contrôleur de domaine sur un serveur physique.

Microsoft a un article à considérer qui mérite d'être lu.

Oui, cela peut être fait, je l'ai fait et cela fonctionne bien. Vous devez prendre certaines choses en compte lorsque vous le faites. Cet article de la base de connaissances fournit un bon guide pour ces considérations.

Nous avons virtualisé les DC depuis des années maintenant. Je recommanderais d'utiliser au moins deux hôtes physiques configurés avec ESX et configurés avec DRS. Dans DRS, configurez une règle pour empêcher les deux machines virtuelles (je suppose que vous avez un PDC et un BDC) de s'exécuter sur le même hôte. Si vos hôtes sont déjà en cluster avec DRS activé, configurez simplement la règle DRS.

Vous pouvez configurer vos hôtes ESX pour utiliser NTP pour les mises à jour de l'heure, et au sein de vos contrôleurs de domaine, les outils vmware synchronisent leur heure avec l'hôte ESX.

Cela fait un peu plus d'un mois que je remplace notre DC physique par un virtuel. L'utilisation est généralement TRÈS faible et il n'y a eu aucun problème. Lors d'un appel sans rapport avec le support de la virtualisation MS, j'ai posé quelques questions, et ils n'ont eu aucun avertissement ni mise en garde à me lancer.

Vous pouvez virtualiser les contrôleurs de domaine (j'en ai quelques-uns à des fins de test).

Clonage: je crée des machines virtuelles afin de pouvoir les cloner - toujours les promouvoir en DC après le clonage. Sysprep (ou tout autre outil utilisé pour régénérer les SID) détruit les contrôleurs de domaine. Vous souhaitez uniquement cloner sans exécuter sysprep dans un environnement isolé (par exemple, une clôture de gestionnaire de laboratoire).