Exécution d'un contrôleur de domaine dans une machine virtuelle sur un serveur de fichiers

1

J'essaie de savoir comment installer un nouveau contrôleur de domaine et un nouveau serveur de fichiers sur un matériel. Je veux savoir quelle serait la meilleure méthode de pratique et si je risquerais de tomber sur les principaux pièges en le faisant de cette manière.

Mes options sont les suivantes (autant que je sache)

  1. Je pouvais virtualiser à la fois le DC et le serveur de fichiers en utilisant Esxi installé sur une carte SD
  2. Je pourrais installer Windows Server sur le matériel, en l'exécutant en tant que serveur de fichiers et en installant Hyper V sur cette machine, qui serait alors le contrôleur de domaine.
  3. Je pourrais installer Windows Server sur le matériel et simplement installer les rôles de contrôleur de domaine et de serveur de fichiers sur une seule machine.

Je pense que ma meilleure option est 2, car ce sera aussi le plus facile à mettre en place - mais cela posera-t-il des problèmes à l'avenir? Je pense que l’option 3 pourrait poser des problèmes de sécurité?

Le matériel est un HP Proliant DL360 Gen 9

virtual-machine hyper-v windows-server-2012 windows-domain esxi tim.baker
la source
2
Donc, vous retarderiez le démarrage du contrôleur de domaine dont vous aurez probablement besoin pour vous authentifier auprès du serveur qui exécute Hyper-V? Pourriez-vous donner plus d'informations sur le scénario et vos exigences pour les deux systèmes?
Seth
1
Séparer le contrôleur de domaine (c'est-à-dire la chose qui contrôle vos clés du réseau) de tout autre rôle semble être une très bonne chose. J'éliminerais donc l'option 3. Les options 1 et 2 pourraient toutes les deux fonctionner, mais 1 se sent plus propre. Ce n'est pas un terme technique, mais c'est beaucoup plus propre. En outre, cela facilitera la migration du DC si vous avez un nouveau matériel ou plus.
Hennes

Réponses:

0

Selon l'endroit où vous êtes le plus à l'aise, vous pouvez étendre l'option 1 (qui serait ma préférence) à 3 variantes différentes:

  • a) selon votre choix 1
  • b) Installez Hyper-V Server et votre contrôleur de domaine et votre serveur de fichiers sur des ordinateurs virtuels distincts (aucune interface graphique sur le serveur, telle que l'hyperviseur VMWare ESXi, mais pouvant être gérée avec RSAT)
  • c) Si vous souhaitez une interface graphique, installez Windows Server et le rôle Hyper-V. Installez vos serveurs DC et fichiers sur des ordinateurs virtuels distincts.

D'après mon expérience, il est beaucoup plus facile de sauvegarder et de restaurer en cas d'urgence avec Veeam, par exemple, si vous avez l'un ou l'autre des rôles directement sur le matériel. De plus, lorsque vous aurez un autre hôte à l'avenir, vous serez beaucoup plus flexible pour déplacer l'un des deux ordinateurs virtuels vers le nouvel hôte.

SuHwak
la source
0

Pour qu'un contrôleur de domaine Server 2012 ou 2016 2016 fonctionne correctement, le contrôleur de domaine doit avoir accès au TPM sur le matériel réel.
Je crains que cela ne fonctionne pas avec ESXi.

Ce dont vous avez besoin est d'installer un serveur Windows minimal (non intégré au domaine) avec uniquement le rôle Hyper-V directement sur le matériel.
Dans Hyper-V, vous pouvez ensuite configurer une machine virtuelle (avec l’intercommunication TPM) pour le contrôleur de domaine (vous voudrez probablement également utiliser les services DNS et DHCP intégrés à AD sur celui-ci également).
Et vous créerez des ordinateurs virtuels supplémentaires pour le serveur de fichiers, le serveur SQL, le serveur d'échange et tout ce dont vous pourriez avoir besoin.

C’est également la configuration que Microsoft utilise pour ses environnements de laboratoire pour les cours de formation.

Tonny
la source
Pour quelle raison l'accès au TPM est-il requis par un contrôleur de domaine Server 2012?
Twisty Impersonator
@ Twisty. Je ne l'ai pas très bien formulé dans la réponse. Ce n'est pas strictement nécessaire, mais vous avez besoin du TPM pour pouvoir réellement sécuriser votre environnement AD. (Les clés de sécurité de domaine très importantes peuvent être stockées dans le TPM / liées au TPM.) Sans TPM matériel, votre niveau de sécurité est inférieur d'un niveau au niveau maximum. C'est encore assez bon et peut-être tout ce dont vous avez besoin, mais le consensus général est qu'il faut vraiment que le TPM «fasse les choses correctement». (Je crois me souvenir avoir entendu quelque part qu'en 2016, le TPM est effectivement requis pour un contrôleur de domaine, mais je n'en suis pas certain. Pour 2012R2, il est facultatif.)
Tonny