Распространенные ошибки, которых следует избегать при виртуализации контроллеров домена

Платформы виртуализации серверов (например, Microsoft Hyper-V) упростили создание новых виртуальных машин. Важно помнить рекомендации, которых следует придерживаться при создании новых виртуальных машин. Это особенно верно при виртуализации контроллеров домена.
Вы можете создать контроллер домена так же, как и любой другой виртуальный сервер. При этом Microsoft рекомендует создавать виртуальные контроллеры домена таким образом, чтобы обеспечить более высокий уровень безопасности и надежности.
В этой статье я расскажу о 4 распространенных ошибках, которых следует избегать при виртуализации контроллеров домена.
4 распространенные ошибки, которых следует избегать при виртуализации контроллеров домена
Контроллеры домена виртуализации нуждаются в настройке для дополнительной безопасности и надежности. Тем не менее, вы можете столкнуться с некоторыми препятствиями в этом процессе. Вот 4 распространенные ошибки, которых следует избегать при виртуализации контроллеров домена.
1. Слишком сильно зависит от виртуализации
Как это ни парадоксально, одна из наиболее распространенных ошибок при использовании виртуализированных контроллеров домена заключается в чрезмерной зависимости от виртуализации. Это увеличивает риск сбоев в работе платформы виртуализации. В свою очередь, неисправность повлияет на все хост-системы, использующие платформу.
Microsoft рекомендует иметь по крайней мере один физический контроллер домена для каждого домена. Таким образом, контроллер домена будет работать, даже если вся платформа виртуализации выйдет из строя. Вы также избежите ненужных рисков и уменьшите последствия серьезного сбоя.
2. Забыть о границах доверия
В крупной компании крайне редко за всем следит один администратор. Вместо этого администраторы обычно несут ответственность за один конкретный аспект инфраструктуры компании. Например, у вас будут администраторы виртуализации и администраторы хранилища, которые контролируют свои зоны ответственности.
Эта модель несколько выходит из строя после виртуализации контроллеров домена. Согласно Microsoft, «администратор на хост-компьютере имеет такой же доступ, как и администратор домена на гостевом контроллере домена с возможностью записи, и должен рассматриваться как таковой».
Эта и другие подобные проблемы с доверием заставили некоторые компании развернуть выделенные кластеры Hyper-V. В таких кластерах работают только контроллеры домена и другие активы уровня 1. Группа Active Directory также управляет ими вместо группы виртуализации.
3. Использование неправильного типа диска
При настройке виртуализированного контроллера домена важно учитывать конфигурацию виртуального жесткого диска. Одна из лучших практик Microsoft — избегать использования разностных дисков.
Разностные диски, такие как динамически расширяемые виртуальные жесткие диски, иногда могут вызывать проблемы с производительностью. Что еще более важно, разностные диски также упрощают случайный откат виртуальной машины до предыдущего состояния.
При виртуализации контроллеров домена следует создавать виртуальные жесткие диски фиксированного размера. Хотя такие диски изначально занимают больше места, чем динамически расширяемые диски, они обеспечивают более высокую общую производительность.
Microsoft также рекомендует использовать виртуальные диски SCSI вместо дисков IDE. Это означает, что вы должны создавать контроллеры домена как виртуальные машины поколения 2.

4. Избегайте клонирования и откатов
Платформы виртуализации, такие как Hyper-V , упрощают клонирование виртуальной машины. Они также упрощают использование моментальных снимков и других механизмов для отката виртуальной машины до более раннего состояния без восстановления резервной копии. Тем не менее, это может вызвать серьезные проблемы для виртуализированных контроллеров домена.
Как правило, никогда не следует использовать контрольную точку виртуализированного контроллера домена. Вы также не должны экспортировать контроллер домена или пытаться клонировать или копировать виртуальную машину. Точно так же вы никогда не должны приостанавливать работу виртуального контроллера домена дольше, чем его значение TTL захоронения.
Эти действия потенциально могут привести к ситуации, которая вызовет откат. Откат приводит к рассинхронизации контроллеров домена, что в конечном итоге приводит к сбою репликации Active Directory.

Нижняя линия
Когда дело доходит до виртуализации контроллеров домена, очень важно настроить их для обеспечения безопасности и надежности. Вы также должны принять меры для предотвращения отката, поскольку такое событие может нарушить репликацию AD. Это обеспечит успешный процесс виртуализации.
В этой статье я рассказал о четырех наиболее распространенных ошибках, с которыми вы можете столкнуться при виртуализации контроллеров домена. Я также дал советы о том, как избежать каждой из этих ошибок.
Есть еще вопросы о виртуализации контроллеров домена? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже.
Часто задаваемые вопросы
Что такое откат USN?
Откат USN — это состояние, которое может возникнуть при возврате контроллера домена в предыдущее состояние с помощью любого метода, кроме поддерживаемого восстановления из резервной копии. В свою очередь, это также остановит репликацию или вызовет множество ошибок. Прочтите здесь, чтобы узнать больше о том, как обнаружить откат USN.
Какие компоненты инфраструктуры Active Directory требуют особого внимания при виртуализации?
Контроллеры домена необходимо настроить таким образом, чтобы они были более безопасными и надежными, чем большинство других виртуальных серверов. Тем не менее, контроллеры домена не могут работать без DNS, поэтому вам следует уделять особое внимание DNS-серверам. Точно так же серверы Azure AD Connect должны получать такую же заботу, как и контроллеры домена.
Каковы наилучшие методы работы с часами виртуального контроллера домена?
Виртуальные серверы в основном синхронизируют свои часы с хостом Hyper-V. Тем не менее, хосты могут устанавливать свои часы по-разному. Active Directory зависит от точного времени, поэтому вам следует отключить службу интеграции Time Synchronization. Вместо этого вам также следует синхронизировать контроллеры домена с NTP-сервером.
Можно ли исправить откат USN контроллера домена, если это произойдет?
Да, ты можешь. Процесс включает в себя передачу ролей FSMO (при необходимости), понижение роли контроллера домена и его повторное повышение. Это также одна из многих причин, почему так важно иметь несколько контроллеров домена для каждого домена.
Может ли функция защиты виртуальной машины Hyper-V помочь в обеспечении безопасности контроллера домена?
Функция экранированных виртуальных машин Hyper-V позволяет запускать виртуальные машины только на определенных хостах. Если вы переместите виртуальный жесткий диск в другое место, он будет зашифрован и не сможет быть прочитан или смонтирован. Эта функция также может помочь с безопасностью контроллера домена. Тем не менее, вы должны реализовать его таким образом, чтобы избежать единых точек отказа.