Compartilhar via

Coisas a considerar ao hospedar controladores de domínio do Active Directory em ambientes de hospedagem virtual

  • Artigo

Este artigo descreve os problemas que afetam um controlador de domínio (DC) baseado no Windows Server em execução como um sistema operacional convidado em ambientes de hospedagem virtual. Ele também discute coisas a serem consideradas quando um DC é executado em um ambiente de hospedagem virtual.

Número original do KB: 888794

Resumo

Um ambiente de hospedagem virtual permite que você execute vários sistemas operacionais convidados em um único computador host ao mesmo tempo. O software host virtualiza os seguintes recursos:

  • CPU
  • Memória
  • Disco
  • Rede
  • Dispositivos locais

Ao virtualizar esses recursos em um computador físico, o software host permite que você use menos computadores para implantar sistemas operacionais para teste e desenvolvimento e em funções de produção. Determinadas restrições se aplicam a um controlador de domínio do Active Directory executado em um ambiente de hospedagem virtual. Essas restrições não se aplicam a um controlador de domínio executado em um computador físico.

Este artigo discute o que deve ser considerado quando um controlador de domínio baseado no Windows Server é executado em um ambiente de hospedagem virtual. Os ambientes de hospedagem virtual incluem:

  • Virtualização do Windows Server com Hyper-V.
  • Família VMware de produtos de virtualização.
  • Família Novell de produtos de virtualização.
  • Família Citrix de produtos de virtualização.
  • Qualquer produto na lista de hipervisores no Programa de Validação de Virtualização de Servidor (SVVP).

Para obter mais informações sobre o status atual da robustez e segurança do sistema para DCs virtualizados, consulte o seguinte artigo:

Virtualizando controladores de domínio usando o Hyper-V.

O artigo Virtualizando controladores de domínio fornece recomendações gerais que se aplicam a todas as configurações. Muitas das considerações descritas nesse artigo também se aplicam a hosts de virtualização de terceiros. Ele pode incluir recomendações e configurações específicas do hipervisor que você está usando, incluindo:

  • Como configurar a sincronização de tempo para DCs.
  • Como gerenciar volumes de disco para integridade de dados.
  • Como aproveitar o suporte à ID de Geração em cenários de restauração ou migração.
  • Como gerenciar a alocação e o desempenho de núcleos de RAM e processador no host da máquina virtual.

Observação

Se você estiver usando hosts de virtualização de terceiros, consulte a documentação do host de virtualização para obter orientações e recomendações específicas.

Este artigo complementa o artigo Virtualizando Controladores de Domínio fornecendo mais dicas e considerações que não estavam no escopo do artigo Virtualizando Controladores de Domínio.

Coisas a considerar ao hospedar funções de controlador de domínio em um ambiente de hospedagem virtual

Quando você implanta um controlador de domínio do Active Directory em um computador físico, determinados requisitos devem ser atendidos durante todo o ciclo de vida do controlador de domínio. A implantação de um controlador de domínio em um ambiente de hospedagem virtual adiciona determinados requisitos e considerações, incluindo:

  • O serviço do Active Directory ajuda a preservar a integridade do banco de dados do Active Directory se ocorrer uma perda de energia ou outra falha. Para fazer isso, o serviço executa gravações sem buffer e tenta desabilitar o cache de gravação de disco nos volumes que hospedam o banco de dados e os arquivos de log do Active Directory. O Active Directory também tenta funcionar dessa maneira se estiver instalado em um ambiente de hospedagem virtual.

    Se o software do ambiente de hospedagem virtual oferecer suporte corretamente a um modo de emulação SCSI que ofereça suporte ao FUA (acesso forçado à unidade), as gravações sem buffer executadas pelo Active Directory nesse ambiente serão passadas para o sistema operacional host. Se não houver suporte para FUA, você deverá desabilitar manualmente o cache de gravação em todos os volumes do sistema operacional convidado que hospeda:

    • o banco de dados do Active Directory
    • os logs
    • O arquivo de ponto de verificação

    Observação

    • Você deve desabilitar o cache de gravação para todos os componentes que usam o ESE (Mecanismo de Armazenamento Extensível) como formato de banco de dados. Esses componentes incluem o Active Directory, o FRS (Serviço de Replicação de Arquivos), o WINS (Serviço de Cadastramento na Internet do Windows) e o DHCP (Dynamic Host Configuration Protocol).
    • Como prática recomendada, considere a instalação de fontes de alimentação ininterruptas em hosts de máquina virtual.

  • Um DC do Active Directory destina-se a executar o modo do Active Directory continuamente assim que for instalado. Não pare ou pause a máquina virtual por um longo período. Quando o controlador de domínio é iniciado, a replicação do Active Directory deve ocorrer. Verifique se todos os controladores de domínio fazem replicação de entrada em todas as partições do Active Directory mantidas localmente de acordo com o agendamento definido em links de site e objetos de conexão. Isso é especialmente verdadeiro para o número de dias especificado pelo atributo de tempo de vida da marca de exclusão.

    Se a replicação não ocorrer, você poderá experimentar conteúdo inconsistente de bancos de dados do Active Directory em DCs na floresta. A inconsistência ocorre porque o conhecimento das exclusões persiste pelo número de dias definido pelo tempo de vida da marca de exclusão. Quando os DCs não concluem transitivamente a replicação de entrada das alterações do Active Directory dentro desse número de dias, os objetos permanecerão no Active Directory. A limpeza de objetos persistentes pode ser demorada, especialmente em florestas de vários domínios que incluem muitos DCs.

  • Para se recuperar de vários problemas, um DC do Active Directory requer backups regulares do estado do sistema. A vida útil padrão de um backup de estado do sistema é de 60 ou 180 dias. Depende da versão do sistema operacional e da revisão do service pack que está em vigor durante a instalação. Essa vida útil é controlada pelo atributo de tempo de vida da marca de exclusão no Active Directory. Pelo menos um DC em cada domínio na floresta deve ser copiado em um ciclo regular, de acordo com o número de dias especificado no tempo de vida da marca de exclusão.

    Em um ambiente de produção, você deve fazer backups diários do estado do sistema de dois DCs diferentes.

    Observação

    Quando o host da máquina virtual tira um instantâneo de uma máquina virtual, o sistema operacional convidado não detecta esse instantâneo como um backup. Quando o host dá suporte à ID de Geração do Hyper-V, essa ID é alterada quando a imagem é iniciada a partir de um instantâneo ou réplica. Por padrão, o controlador de domínio se consideraria restaurado de um backup.

Coisas a considerar ao hospedar funções DC em hosts clusterizados ou ao usar o Active Directory como back-end em um ambiente de hospedagem virtual

  • Quando seus DCs são executados em servidores host clusterizados, você esperaria que eles fossem tolerantes a falhas. A mesma expectativa se aplica a implantações de servidor virtual que não são da Microsoft. No entanto, há um problema nessa suposição: para que os nós, discos e outros recursos em um computador host clusterizado sejam iniciados automaticamente, as solicitações de autenticação do computador devem ser atendidas por um controlador de domínio no domínio do computador. Como alternativa, parte da configuração do host clusterizado deve ser armazenada no Active Directory.

    Para garantir que esses DCs possam ser acessados durante a inicialização do sistema de cluster, implante pelo menos dois DCs no domínio do computador em uma solução de hospedagem independente fora dessa implantação de cluster. Você pode usar hardware físico ou outra solução de hospedagem virtual que não tenha uma dependência do Active Directory. Para obter mais informações sobre esse cenário, consulte Evitar a criação de pontos únicos de falha.

  • Esses DCs em plataformas separadas devem ser mantidos online e acessíveis pela rede (no DNS e em todas as portas e protocolos necessários) para os hosts clusterizados. Em alguns casos, os únicos DCs que podem atender às solicitações de autenticação durante a inicialização do cluster estão em um computador host clusterizado que está sendo reiniciado. Nessa situação, as solicitações de autenticação falham e você deve recuperar manualmente o cluster.

    Observação

    Não presuma que essa situação se aplica apenas ao Hyper-V. As soluções de virtualização de terceiros também podem usar o Active Directory como um repositório de configuração ou para autenticação durante determinadas etapas de inicialização da VM ou alterações de configuração.

Suporte para DCs do Active Directory em ambientes de hospedagem virtual

Para obter mais informações, consulte Política de suporte para software da Microsoft executado em software de virtualização de hardware que não seja da Microsoft.