VMware和微軟提供虛擬化服務(wù)已經(jīng)有很多年了。對于VMware，到現(xiàn)在已經(jīng)超過十年了，而微軟進入服務(wù)器虛擬化稍晚。

　　一個IT環(huán)境是由若干物理IT組件組成的，包括運行活動目錄服務(wù)的服務(wù)器?；顒幽夸浻蛎刂破魇琼樌\營IT所必須的關(guān)鍵服務(wù)器。作為虛擬化路線的一部分，必須確保每個物理IT資源都處于被虛擬化的過程中，這樣才能降低成本。這也包括對物理域名控制器進行虛擬化。

　　活動目錄域名控制器不僅有助于IT運營順利進行，它還是提供認證和授權(quán)服務(wù)的一個關(guān)鍵組成部分。在如今的生產(chǎn)環(huán)境中，幾乎所有的網(wǎng)絡(luò)應(yīng)用都使用活動目錄作為身份驗證提供程序。在對這些關(guān)鍵服務(wù)進行虛擬化之前，我們要考慮很多事情。

　　這也就是本文的出發(fā)點，它能幫助你了解在VMware或Hyper-V上對活動目錄域名控制器進行虛擬化時，哪些該做，哪些不該做。

　　禁用時間同步

　　借助于Windows時間服務(wù)，活動目錄域名控制器有一個內(nèi)建的機制來處理時間同步。虛擬化平臺也為虛擬機提供了時間服務(wù)，但是建議禁用虛擬域名控制器上的時間同步服務(wù)，并讓活動目錄管理虛擬域名服務(wù)器之間的時間同步。

　　不要生成系統(tǒng)快照

　　快照功能是為開發(fā)和測試目的而設(shè)計的。作為快照過程的一部分，快照會恢復(fù)為生成時的配置?？煺招枰诳煺瘴募汕埃摂M機置為已保存狀態(tài)。

　　1. 首先，將虛擬域名控制器置為已保存狀態(tài)可以減少停機時間，如果差分磁盤文件很大，作用是很明顯的。

　　2. 其次，盡量不要把一個虛擬域名控制器回復(fù)到以前的配置。如果你這么做了，這可能導(dǎo)致那臺域名控制器的活動目錄數(shù)據(jù)庫的副本不一致。

　　注意：微軟Hyper-V通過在Windows Server 2012中引入了一個新的Live Snapshot Merge功能解決了停機問題。

　　對域名控制器禁用磁盤緩存

　　關(guān)于“對虛擬域名控制器內(nèi)的所有磁盤驅(qū)動器上的Policies選項卡禁用磁盤寫緩存”，建議對所有使用 Extensible Engine Storage技術(shù)的服務(wù)應(yīng)用此項設(shè)置，避免數(shù)據(jù)丟失。

　　禁用磁盤緩存確保數(shù)據(jù)真的寫進了磁盤里，而不是在內(nèi)存中保存，否則一旦斷電或服務(wù)器崩潰，數(shù)據(jù)可能會丟失。

　　不要暫停

　　不建議暫停一個虛擬域名控制器，特別是虛擬域名控制器暫停的時間超出了活動目錄的墓碑時間。暫停會導(dǎo)致虛擬域名控制器脫離同步，在活動目錄環(huán)境中產(chǎn)生延遲對象。

　　延遲對象是在活動目錄墓碑時間內(nèi)，被刪除的對象沒有復(fù)制到所有活動目錄域名控制器上時產(chǎn)生的。墓碑時間按所使用的操作系統(tǒng)為80天或160天。

#p#

　　一定要對虛擬域名控制器設(shè)置固定或直通磁盤

　　建議為存儲域名控制器的數(shù)據(jù)庫(NTDS.DIT)和日志文件設(shè)置固定或直通磁盤類型，這樣域名控制器會更有效率。應(yīng)用其他的磁盤類型(如差分磁盤虛擬硬盤)會降低虛擬域名控制器的性能。

　　注意：直通磁盤類型是微軟Hyper-V的一個功能，相當(dāng)于VMware虛擬化平臺上的Raw磁盤。

　　不要復(fù)制域名控制器虛擬機

　　大多數(shù)虛擬化廠商為快速部署提供了復(fù)制虛擬機的功能。強烈建議不要對域名控制器進行復(fù)制。如果你需要這樣做，我們建議使用SysPrep.exe這個工具，它可以移除安全標示符(SID)副本。

　　千萬不要使用虛擬化產(chǎn)品的導(dǎo)出功能

　　在導(dǎo)出過程將相關(guān)文件導(dǎo)出之前，導(dǎo)出功能會把域名服務(wù)器置為已保存狀態(tài)。然后虛擬機才能繼續(xù)提供服務(wù)。

　　我們強烈建議除非萬不得已，否則不要暫停域名控制器上的服務(wù)。停止這些服務(wù)可能會導(dǎo)致使用活動目錄作為驗證提供程序的網(wǎng)絡(luò)應(yīng)用程序停止。

　　禁用或設(shè)置Automatic Start Action

　　虛擬機可以設(shè)置為虛擬主機故障后自動啟動。微軟Hyper-V和VMware都提供此功能。

　　Automatic Start Action功能避免了人為操作，但對于活動目錄域名控制器來說這不是一個很好的功能。假如虛擬主機停機，所有的虛擬域名控制器都不能設(shè)置為自動重啟。

　　使用此功能會導(dǎo)致啟動域名控制器的延遲。例如，子域名控制器不應(yīng)該在根域名控制器運行前啟動。因此，建議禁用此功能或為子域內(nèi)的虛擬機域名控制器的初次啟動設(shè)置延遲。

#p#

　　禁用虛擬域名控制器的故障恢復(fù)策略

　　活動目錄是一種多主機同步技術(shù)。在活動目錄備份技術(shù)的作用下，所有虛名控制器都會與活動目錄數(shù)據(jù)庫保持一致。默認情況下，活動目錄域名控制器帶有容錯和負載平衡機制，來提供身份驗證和授權(quán)服務(wù)。

　　因此，如果虛擬域名控制器運行在一個集群環(huán)境下，***的做法就是禁用所有故障恢復(fù)策略，阻止集群間虛擬域名控制器的自動備份。

　　在一臺主機上至少保證一個DNS和域名控制器運行

　　把它作為***做法，有很多理由：

　　1. 活動目錄和DNS緊密結(jié)合的組件。DNS需要為生產(chǎn)環(huán)境中運行的網(wǎng)絡(luò)應(yīng)用程序解析域名。DNS可以在裝有或未裝有活動目錄的服務(wù)器上運行。如果DNS服務(wù)在一臺域名控制器上運行，那建議至少在該物理環(huán)境下保證一臺DNS服務(wù)器運行，這樣可以避免在虛擬化設(shè)備之外運行的網(wǎng)絡(luò)應(yīng)用程序破壞域名解析服務(wù)。

　　2. 記住，出于認證目的，微軟故障轉(zhuǎn)移集群服務(wù)需要使用集中管理的活動目錄域名控制器。如果你將所有的域名控制器進行虛擬化，故障轉(zhuǎn)移集群可能不會工作，或不提供故障轉(zhuǎn)移服務(wù)。因此，建議在該物理環(huán)境下保證一臺DNS服務(wù)器運行，這樣可是故障轉(zhuǎn)移集群如期工作。

　　3. 虛擬主機也需要使用DNS服務(wù)器服務(wù)。建議將虛擬主機上的DNS設(shè)置為使用外部DNS服務(wù)器，這樣即便所有虛擬域名控制器下線，域名解析也能照常工作。

　　在多臺主機上架設(shè)虛擬域名控制器

　　了解一臺虛擬主機很重要，虛擬域名控制器在這里運行，它也會有硬件和軟件故障。虛擬主機的損壞不應(yīng)該 造成虛擬活動目錄域名控制器的損壞。

　　如果可能的話，***的做法就是將虛擬域名控制器分散在多個虛擬主機上，這樣可以防止服務(wù)中斷。