Virtualisation Active Directory

Mon entreprise cherche à essayer de virtualiser tous nos serveurs, et nous essayons de déterminer si la virtualisation de Active Directory est une bonne idée. Est-ce même quelque chose qui peut être fait, et si c'est le cas, y a-t-il des inconvénients à le configurer de cette façon? Mon réseau est configuré avec plusieurs serveurs physiques, plusieurs serveurs virtuels et un SAN.

Si vous avez besoin de plus d'informations, veuillez me le faire savoir.

Microsoft recommande de maintenir au moins un contrôleur de domaine physique dans chaque domaine.

Pour la plupart des environnements, cela n'a pas besoin d'être un serveur. Même un serveur Atom double cœur 64 bits monté en rack , consommant 25 watts d'énergie et coûtant moins de 500 $ lorsqu'il est configuré avec 4 Go de RAM et une paire de disques durs de 2,5 pouces en RAID1, peut fournir un contrôleur de domaine physique / DNS / très utile Serveur DHCP exécutant Server 2008 R2.

Le principal avantage réel de toujours maintenir un contrôleur de domaine physique est d'éviter les problèmes de «démarrage à froid» lors du redémarrage de votre environnement virtualisé après des mises à jour / mises à niveau, des pannes de courant, etc. Ceci est particulièrement pertinent si vous utilisez des serveurs Hyper-V comme hôtes de virtualisation , car ces machines s'attendent à pouvoir trouver un contrôleur de domaine au démarrage.

Le principal problème que j'ai vu avec les ordinateurs virtualisés de contrôleur de domaine (DC) Active Directory (DC) concerne les problèmes de synchronisation de l'heure. AD est très tributaire d'une bonne synchronisation temporelle entre vos contrôleurs de domaine, alors assurez-vous que vos hyperviseurs sont configurés selon les spécifications du fabricant pour permettre aux machines virtuelles invitées d'avoir une synchronisation temporelle solide.

Au-delà de la synchronisation temporelle, je n'ai aucune mauvaise expérience avec les contrôleurs de domaine virtualisés à signaler. Ne faites rien avec eux que vous ne feriez pas avec des contrôleurs de domaine physiques. Assurez-vous que vous ne restaurez pas les machines virtuelles DC à l'aide de fonctionnalités telles que les instantanés, car vous pourriez provoquer des problèmes de réplication de la base de données (équivalent à la restauration d'une ancienne sauvegarde d'un DC physique). Ne clonez pas de machines virtuelles DC (équivalentes à des DC physiques d'imagerie de disque).

Éditer:

Je recommande fortement de garder au moins un contrôleur de domaine physique autour, également, pour faire écho à la réponse de @ MilesErickson. J'irais jusqu'à dire que vous avez besoin d'un contrôleur de domaine physique à chaque emplacement où vous hébergez des ordinateurs serveurs pour permettre à ces machines d'être "démarrées à froid" lorsque la connectivité WAN est en panne.

Il y a quelque temps, nous avons virtualisé les contrôleurs de domaine pour AD / Server 2003. Cela fonctionnait bien, sauf lorsque l'une des machines avait une ancienne version de sa machine virtuelle démarrée à la place de la dernière version. Cela a provoqué un problème GRAVE - et a fait en sorte que le serveur AD a cessé de répliquer et de faire confiance aux autres serveurs.

Ce que j'ai découvert plus tard a été déclenché était un USN Rollback - C'est très désagréable à corriger. http://support.microsoft.com/kb/885875

J'ai pu corriger le problème et nous avons poursuivi notre virtualisation. Cependant - cette fois-ci, je venais d'avoir une machine virtuelle prête à l'emploi sur standy dans le cas où un hôte de contrôleur de domaine échouerait, je voudrais simplement joindre le standy au domaine en tant que nouveau contrôleur de domaine - cela a bien fonctionné.

Ceci est plus mis à jour et peut être utile: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx