Tôi có nên vẫn có một DC vật lý, thậm chí là hậu máy chủ 2012 không?

Quay trở lại những ngày trước Windows Server 2012, khuyến nghị dường như có ít nhất một bộ điều khiển miền vật lý nằm cạnh các DC ảo của bạn.

Một lý do cho điều này là bởi vì nếu các máy chủ Hyper-V của bạn được phân cụm, thì chúng yêu cầu một DC có thể liên lạc được trong quá trình khởi động. Điều này làm cho ý nghĩa hoàn toàn với tôi.

Tuy nhiên, tôi thường nghe mọi người nói rằng vẫn cần có DC vật lý ngay cả khi bạn không thiết lập cụm (ví dụ như trong một thiết lập đơn giản với một máy chủ Hyper-V duy nhất chạy một vài VM, một VM trong đó là một DC). Sự biện minh cho điều này dường như (và tôi không bao giờ có thể hoàn toàn chắc chắn) rằng bạn vẫn sẽ gặp vấn đề theo nghĩa là khi máy chủ Hyper-V khởi động lần đầu tiên, không có DC trên mạng. Thông tin lưu trữ có nghĩa là bạn vẫn có thể đăng nhập, nhưng tất cả những bit xảy ra trong quá trình khởi động có nghĩa là có DC xung quanh là có lợi? Đây thực sự là một vấn đề? Có thực sự bất kỳ hoạt động nào có thể chạy chỉlúc khởi động sẽ gây ra vấn đề? Bất kỳ chính sách nhóm nào chẳng hạn? Về cơ bản, điều tôi hỏi là, đối số DC vật lý chỉ thực sự giữ nước khi phân cụm có liên quan hay (trước năm 2012) có một trường hợp kỹ thuật quan trọng cho nó mà không phân cụm? Bài viết này từ Altaro (xem phần "Huyền thoại gà và trứng trứng") cho thấy không có nhu cầu, nhưng tôi vẫn không chắc chắn.

Bây giờ đến phần thứ hai (và chính) trong câu hỏi của tôi:

Windows Server 2012 đã giới thiệu một số tính năng nhằm giải quyết các vấn đề xung quanh bộ điều khiển miền ảo hóa, bao gồm:

1. ID thế hệ VM - Điều này đã giải quyết vấn đề khôi phục USN có nghĩa là chụp nhanh (hay cụ thể hơn là quay lại ảnh chụp nhanh) không được hỗ trợ / một ý tưởng thực sự tồi tệ
2. Cluster Bootstrapping - Điều này giải quyết vấn đề "gà và trứng" xung quanh Clusterover Clustering mà tôi đã đề cập ở trên. Phân cụm chuyển đổi dự phòng không còn yêu cầu phải có mặt DC trong quá trình khởi động.

Vì vậy, câu hỏi thứ hai của tôi tương tự như câu hỏi đầu tiên, nhưng lần này là cho năm 2012+. Giả sử cả vDC và máy chủ lưu trữ là 2012+ và bạn tách ra khỏi phương trình, có vấn đề nào khác giống như những vấn đề được đề cập ở trên có nghĩa là tôi vẫn nên xem xét một DC vật lý không? Tôi có nên vẫn đang cân nhắc việc có một DC vật lý song song với máy chủ Hyper-V 2012 / 2012R2 không cụm của tôi có một DC ảo hóa không? Tôi nghe một số người đề nghị đưa AD lên máy chủ Hyper-V, nhưng tôi không thích ý tưởng đó vì nhiều lý do (bộ đệm WB bị vô hiệu hóa để bắt đầu).

Là một lưu ý phụ, câu hỏi của tôi mặc nhiên cho rằng thật hợp lý khi máy chủ Hyper-V của bạn được kết nối với miền để cải thiện khả năng quản lý. Liệu khẳng định này đứng lên để xem xét?

CẬP NHẬT:

Sau khi đọc một số câu trả lời, tôi nhận ra rằng tôi có thể diễn đạt mọi thứ hơi khác để đi vào trung tâm của những gì tôi đang hỏi:

Ngay cả với những cải tiến trong năm 2012 và sau đó, thực tế vẫn không có bất kỳ DC vật lý hoặc DC ảo nào trên máy chủ khác, máy chủ vẫn khởi động khi không có DC. Đây thực sự là một vấn đề? Theo một nghĩa nào đó, tôi cho rằng đó là câu hỏi tương tự (hoặc rất giống nhau) nếu bạn hoàn toàn ảo hóa ra khỏi bức tranh. Nếu bạn khởi động máy chủ thành viên trước bất kỳ DC nào thường xuyên, đó có phải là vấn đề không?

Tôi cũng sẽ không biến máy chủ Hyper-V thành DC.

Về việc bạn có nên có một DC vật lý hay không, ý kiến ​​của tôi là với những thay đổi mà Microsoft đã thực hiện liên quan đến Bộ kiểm soát miền ảo hóa nói chung và việc khởi động cụm không có DC cụ thể, tôi không thấy cá nhân tôi cần, cũng không ủng hộ có một DC vật lý. Việc duy trì một DC vật lý dường như trái ngược với bản chất của việc chuyển cơ sở hạ tầng của bạn sang nền tảng ảo hóa. Ảo hóa toàn bộ cơ sở hạ tầng của tôi nhưng tất cả bản lề trên một DC vật lý có sẵn? Điểm trong đó là gì?

Có nhiều cách để hạn chế "phơi sáng" trong khi vẫn ảo hóa Bộ kiểm soát miền của bạn. Một cách sẽ là triển khai nhiều DC trên các máy chủ khác nhau trong cụm của bạn và sử dụng tính chống lại để ngăn cách chúng trong trường hợp máy chủ bị lỗi (phụ thuộc vào số lượng máy chủ trong cụm).

Mặc dù câu trả lời của Greg bao gồm một liên kết đến một số khuyến nghị của MS, bài viết đó dù sao cũng đã hai năm tuổi và đề cập đến Windows Server 2008 và 2008 R2. Tôi sẽ không coi bài viết đó là cách thực hành tốt nhất hiện tại liên quan đến Windows Server 2012 và 2012 R2. Tôi không thể tìm thấy tài liệu MS chính thức, nhưng anh chàng này được coi là người có thẩm quyền hàng đầu trên Hyper-V - http://www.aidanfinn.com/?p=13171

Một lý do để duy trì một DC vật lý trên mỗi miền là nếu có sự cố lớn ảnh hưởng đến máy chủ hoặc lưu trữ bộ lưu trữ khung cho DC ảo, bạn sẽ có ít nhất một DC vật lý có bộ nhớ cục bộ để thực hiện khôi phục và duy trì liên tục. Microsoft tiếp tục thực hiện kiểm tra này và đưa ra khuyến nghị này trong RAPs Active Directory (Đánh giá rủi ro và lập kế hoạch).

https://technet.microsoft.com/en-us/l Library / virtual_active_directory_domain_controll_virtualization_hyperv% 28v = ws.10% 29.aspx

"Duy trì bộ điều khiển miền vật lý trong mỗi miền của bạn. Điều này giảm thiểu rủi ro của sự cố nền tảng ảo hóa ảnh hưởng đến tất cả các hệ thống máy chủ sử dụng nền tảng đó."

Tôi cảm thấy như bạn đang tìm kiếm một câu trả lời một dòng, vì vậy đây là:

Bạn nên có một DC vật lý nếu bạn không tin tưởng vào khả năng chống lại sự thất bại của môi trường ảo.

Chúng ta có thể hiểu về những đặc thù và ngoại lệ với từng kịch bản, nhưng tôi nghĩ điều này đánh vào gốc rễ của câu hỏi.

Hãy lấy các cụm ra phương trình và tập trung vào một dòng trong câu hỏi của bạn khiến tôi rùng mình.

Tôi có nên vẫn được xem xét có một DC vật lý cùng phía duy nhất, non-clustered chủ 2012 / 2012R2 Hyper-V của tôi mà có một đơn ảo hóa DC vào nó?

Tại sao, tại sao, tại sao, bạn muốn có một DC? Trong bất kỳ môi trường cụ thể nào, chúng tôi cố gắng tránh có những điểm thất bại duy nhất cho bất kỳ cơ sở hạ tầng cụ thể nào. DC là bánh mì và bơ của bạn - họ cung cấp DNS, xương sống của Active Directory. Nghiêm túc, xây dựng lại một máy tính để bàn Windows 7 trên 2008R2 và quảng bá nó. Luôn luôn có một trường hợp mạnh mẽ cho một DC vật lý.

Hyper-V với AD DS? Không, nhất quyết không. Thứ nhất, Microsoft không hỗ trợ điều này. Thứ hai, như bạn đã đề cập, việc xử lý các bản sao lưu sẽ trở thành một nỗi đau phụ thuộc vào cấu hình đĩa của bạn. Chưa kể - vẻ đẹp của ảo hóa là khả năng rút lui các máy chủ vật lý nhanh nhất có thể để chúng xây dựng chúng (và tôi đánh giá cao một dcpromo không phải là vấn đề lớn (tùy thuộc vào quy mô môi trường của bạn)) và lưu trữ AD DS chỉ làm phức tạp vấn đề Bạn cũng giới thiệu một sự phức tạp khác của Windows Time.

Cá nhân tôi để các máy chủ Hyper-V độc lập của mình rời khỏi miền, nhưng thực tế, tôi không có đối số thực sự nào cho cấu hình.

Để trả lời câu hỏi cuối cùng về việc đây có thực sự là một vấn đề không: Tôi nhận thấy rằng các máy chủ Hyper-V của tôi có bật RDP, nhưng yêu cầu NLA, không cho phép RDP cho đến khi tôi khởi động lại dịch vụ Nhận biết vị trí mạng nếu không có DC lên khi nó khởi động. Đôi khi tôi cũng gặp vấn đề với việc kết nối với VMMS, nhưng chỉ khi một cái gì đó khác cũng bị hỏng. Khi bạn không thể RDP hoặc kết nối với người quản lý Hyper-V từ xa, thật khó để tìm ra những gì bị hỏng và sửa chữa mọi thứ. Giữ một DC vật lý xung quanh đã ngăn điều này xảy ra với tôi bất cứ lúc nào.