多年來，VMware和微軟這兩家公司都一直在提供虛擬化服務(wù)。VMware在這個(gè)市場至今已摸爬滾打了十多年，而微軟進(jìn)入服務(wù)器虛擬化領(lǐng)域的時(shí)間比較短。

IT環(huán)境通常由許多物理IT部件組成，其中包括托管運(yùn)行活動目錄（Active Directory）服務(wù)的服務(wù)器?；顒幽夸浻蚩刂破魇琼槙尺\(yùn)行IT操作環(huán)境所需要的關(guān)鍵服務(wù)器。作為虛擬化路線圖的一部分，企業(yè)必須確保每一種物理IT資源都正在被虛擬化，以便降低成本。這也包括對物理域控制器進(jìn)行虛擬化。

活動目錄域控制器不僅有助于IT操作環(huán)境的順暢運(yùn)行，它們還是提供驗(yàn)證和授權(quán)服務(wù)的一個(gè)關(guān)鍵組成部分。在如今的生產(chǎn)環(huán)境中，幾乎所有的網(wǎng)絡(luò)應(yīng)用程序都使用活動目錄作為驗(yàn)證提供方。對這些關(guān)鍵服務(wù)進(jìn)行虛擬化之前，我們必須考慮許多方面。

這時(shí)候，通用的“最佳實(shí)踐”指南可以派得上用場，解釋了若干最佳實(shí)踐，明確你對VMware或Hyper-V上的活動目錄域控制器進(jìn)行虛擬化時(shí)，應(yīng)該做哪些事、不該做哪些事：

禁用時(shí)間同步功能

活動目錄域控制器是在Windows時(shí)間服務(wù)的幫助下，處理時(shí)間同步的一種內(nèi)置機(jī)制。虛擬化平臺還為虛擬機(jī)提供了時(shí)間服務(wù)，不過建議禁用每一個(gè)虛擬域控制器上的時(shí)間同步功能，讓活動目錄可以管理虛擬域控制器之間的時(shí)間同步。

不要拍取快照

快照功能是為開發(fā)和測試目的而設(shè)計(jì)的。拍取快照是為了可以恢復(fù)到之前的配置狀態(tài)，這是快照過程的一部分。快照要求在創(chuàng)建快照文件之前，讓虛擬機(jī)處于已保存狀態(tài)。

1. 第一步，作為快照過程的一部分，讓虛擬域控制器處于已保存狀態(tài)，這確保了停機(jī)時(shí)間最短；如果差異磁盤文件變得太大，這會帶來顯著影響。

2. 其次，我們從來不想恢復(fù)到虛擬域控制器的之前配置。如果你這么做，這可能會導(dǎo)致該域控制器上的活動目錄數(shù)據(jù)庫的副本不一致。

注意：通過在Windows Server 2012中引入一項(xiàng)新的實(shí)時(shí)快照合并（Live Snapshot Merge）功能，微軟的Hyper-V解決了快照引起的停機(jī)問題。

禁用域控制器上的磁盤緩存功能

至于“禁用虛擬域控制器中所有磁盤驅(qū)動器的策略標(biāo)簽上的磁盤寫緩存功能”這個(gè)設(shè)置，建議為使用可擴(kuò)展引擎存儲（ESE）技術(shù)的所有服務(wù)設(shè)置該選項(xiàng)，以免任何數(shù)據(jù)丟失。

禁用磁盤緩存可以確保數(shù)據(jù)實(shí)際上被寫入到磁盤上，而不是將數(shù)據(jù)保存在非易失性內(nèi)存中；而出現(xiàn)電源故障，或者主機(jī)服務(wù)器崩潰時(shí)，非易失性內(nèi)存中的數(shù)據(jù)可能會丟失。

不要暫停

不建議暫停虛擬域控制器，如果虛擬域控制器暫停時(shí)間較長，超過活動目錄的邏輯刪除時(shí)間范圍（Tombstone timeframe），就更不要暫停。暫?？赡軙?dǎo)致虛擬域控制器不同步，還會給活動目錄環(huán)境帶來延遲對象（lingering object）。

當(dāng)被刪除對象在為活動目錄的邏輯刪除時(shí)間范圍設(shè)置的時(shí)間段（一般是80天或160天，具體取決于所使用的操作系統(tǒng)）內(nèi)沒有被復(fù)制到所有活動目錄域控制器時(shí)，就會出現(xiàn)延遲對象。

總是為虛擬域控制器配置固定磁盤或直通磁盤

建議配置固定磁盤或直通磁盤類型，以便用于存儲域控制器的數(shù)據(jù)庫（NTDS.DIT）和日志文件，那樣域控制器就能更高效地運(yùn)行。如果采用其他類型的一種磁盤（比如差異磁盤虛擬硬盤），將降低虛擬域控制器的性能。

注意：直通磁盤這種磁盤是微軟Hyper-V的一項(xiàng)特性，它與VMware虛擬化平臺中的Raw磁盤可以相提并論。

不要克隆域控制器虛擬機(jī)

大多數(shù)虛擬化技術(shù)供應(yīng)商都提供了克隆虛擬機(jī)這個(gè)選項(xiàng)，以便快速部署。不過，我們強(qiáng)烈建議避免克隆安裝的域控制器系統(tǒng)，除非你在使用Windows Server 2012，它提供了自己的克隆功能。不然，如果你非要進(jìn)行克隆，我們會建議使用SysPrep.exe工具，該工具通過刪除重復(fù)的安全標(biāo)識符（SID），讓操作系統(tǒng)作好了準(zhǔn)備。

千萬不要使用虛擬化產(chǎn)品的導(dǎo)出功能

在導(dǎo)出過程可以導(dǎo)出相關(guān)文件之前，導(dǎo)出功能會讓域控制器處于已保存狀態(tài)。然后恢復(fù)運(yùn)行虛擬機(jī)，以提供服務(wù)。

由于顯而易見的原因，我們強(qiáng)烈建議：除非絕對有必要，否則不要暫停域控制器的服務(wù)。暫停這些服務(wù)可能會導(dǎo)致使用活動目錄作為驗(yàn)證提供方的網(wǎng)絡(luò)應(yīng)用程序出現(xiàn)停機(jī)。

禁用或配置自動開啟操作

虛擬機(jī)可以配置成萬一虛擬化主機(jī)出現(xiàn)任何故障，虛擬機(jī)能自動開啟。微軟Hyper-V和VMware都提供了這個(gè)功能。

自動開啟操作功能避免了人工干預(yù)，但它對活動目錄域控制器來說不是一個(gè)好的選項(xiàng)/功能。所有虛擬域控制器不得配置成萬一虛擬化主機(jī)出現(xiàn)故障，可以自動重啟。

采用這個(gè)選項(xiàng)會導(dǎo)致域控制器啟動出現(xiàn)延遲。比如說，子域控制器在根域控制器啟動運(yùn)行之前根本不應(yīng)該開啟。因此，建議禁用該選項(xiàng)，或者為屬于子域一部分的虛擬機(jī)域控制器的初始啟動設(shè)置延遲。

禁用虛擬域控制器的故障恢復(fù)策略

活動目錄是一種多主機(jī)復(fù)制技術(shù)。在活動目錄復(fù)制技術(shù)的幫助下，所有域控制器保留著活動目錄數(shù)據(jù)庫的一致副本。默認(rèn)情況下，活動目錄域控制器自帶容錯和負(fù)載平衡機(jī)制，提供了驗(yàn)證和授權(quán)服務(wù)。

所以，如果虛擬域控制器在集群環(huán)境中運(yùn)行，最佳實(shí)踐是，禁用所有的故障恢復(fù)策略，阻止虛擬域控制器自動跨集群移動。

在物理機(jī)器上至少讓一個(gè)DNS和域控制器運(yùn)行

認(rèn)為這是一條最佳實(shí)踐的幾個(gè)原因如下：

1. 活動目錄與DNS是緊密整合的兩大組件。為生產(chǎn)環(huán)境中運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序解析域名，勢必需要DNS。DNS可以托管運(yùn)行在服務(wù)器上，而服務(wù)器上有沒有安裝活動目錄服務(wù)則沒有關(guān)系。如果DNS服務(wù)托管在域控制器上，那么建議讓至少一臺DNS服務(wù)器在物理環(huán)境中運(yùn)行，避免針對在虛擬化基礎(chǔ)設(shè)施外面運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序提供的域名解析服務(wù)出現(xiàn)任何中斷。

2. 牢記一點(diǎn)：微軟故障切換集群（Failover Clustering）服務(wù)要求使用集中式活動目錄域控制器，用于驗(yàn)證目的。如果你對所有域控制器進(jìn)行虛擬化，故障切換集群可能無法正常工作，或者無法提供故障切換服務(wù)。因此，建議在物理環(huán)境中讓至少一個(gè)域控制器運(yùn)行，那樣故障切換集群可以如期正常工作。

3. 虛擬化主機(jī)還要求使用DNS服務(wù)器服務(wù)。建議在虛擬化主機(jī)上配置DNS設(shè)置，以便使用外部DNS服務(wù)器，那樣萬一所有虛擬域控制器都停止運(yùn)行，域名解析仍能正常進(jìn)行。

在多個(gè)主機(jī)上托管虛擬域控制器

明白這一點(diǎn)很重要：虛擬化主機(jī)（虛擬域控制器在虛擬化主機(jī)上面運(yùn)行）也可能出現(xiàn)軟硬件故障。虛擬化主機(jī)停止運(yùn)行后，應(yīng)該不會導(dǎo)致所有虛擬活動目錄域控制器停止運(yùn)行。

一條最佳實(shí)踐就是，如果可能的話，將安裝的虛擬域控制器分散在多個(gè)虛擬化主機(jī)上，以避免服務(wù)出現(xiàn)任何中斷。

結(jié)論

我們在本文中了解了在虛擬化平臺上運(yùn)行的活動目錄域控制器方面的若干通用的最佳實(shí)踐。我們還明白了虛擬域控制器方面應(yīng)該做什么事、不該做什么事。