多年來(lái)，VMware和微軟這兩家公司都一直在提供虛擬化服務(wù)。VMware在這個(gè)市場(chǎng)至今已摸爬滾打了十多年，而微軟進(jìn)入服務(wù)器虛擬化領(lǐng)域的時(shí)間比較短。

IT環(huán)境通常由許多物理IT部件組成，其中包括托管運(yùn)行活動(dòng)目錄(Active Directory)服務(wù)的服務(wù)器。活動(dòng)目錄域控制器是順暢運(yùn)行IT操作環(huán)境所需要的關(guān)鍵服務(wù)器。作為虛擬化路線(xiàn)圖的一部分，企業(yè)必須確保每一種物理IT資源都正在被虛擬化，以便降低成本。這也包括對(duì)物理域控制器進(jìn)行虛擬化。

活動(dòng)目錄域控制器不僅有助于IT操作環(huán)境的順暢運(yùn)行，它們還是提供驗(yàn)證和授權(quán)服務(wù)的一個(gè)關(guān)鍵組成部分。在如今的生產(chǎn)環(huán)境中，幾乎所有的網(wǎng)絡(luò)應(yīng)用程序都使用活動(dòng)目錄作為驗(yàn)證提供方。對(duì)這些關(guān)鍵服務(wù)進(jìn)行虛擬化之前，我們必須考慮許多方面。

這時(shí)候，通用的“***實(shí)踐”指南可以派得上用場(chǎng)，解釋了若干***實(shí)踐，明確你對(duì)VMware或Hyper-V上的活動(dòng)目錄域控制器進(jìn)行虛擬化時(shí)，應(yīng)該做哪些事、不該做哪些事：

禁用時(shí)間同步功能

活動(dòng)目錄域控制器是在Windows時(shí)間服務(wù)的幫助下，處理時(shí)間同步的一種內(nèi)置機(jī)制。虛擬化平臺(tái)還為虛擬機(jī)提供了時(shí)間服務(wù)，不過(guò)建議禁用每一個(gè)虛擬域控制器上的時(shí)間同步功能，讓活動(dòng)目錄可以管理虛擬域控制器之間的時(shí)間同步。

不要拍取快照

快照功能是為開(kāi)發(fā)和測(cè)試目的而設(shè)計(jì)的。拍取快照是為了可以恢復(fù)到之前的配置狀態(tài)，這是快照過(guò)程的一部分。快照要求在創(chuàng)建快照文件之前，讓虛擬機(jī)處于已保存狀態(tài)。

1. ***步，作為快照過(guò)程的一部分，讓虛擬域控制器處于已保存狀態(tài)，這確保了停機(jī)時(shí)間最短;如果差異磁盤(pán)文件變得太大，這會(huì)帶來(lái)顯著影響。

2. 其次，我們從來(lái)不想恢復(fù)到虛擬域控制器的之前配置。如果你這么做，這可能會(huì)導(dǎo)致該域控制器上的活動(dòng)目錄數(shù)據(jù)庫(kù)的副本不一致。

注意：通過(guò)在Windows Server 2012中引入一項(xiàng)新的實(shí)時(shí)快照合并(Live Snapshot Merge)功能，微軟的Hyper-V解決了快照引起的停機(jī)問(wèn)題。

禁用域控制器上的磁盤(pán)緩存功能

至于“禁用虛擬域控制器中所有磁盤(pán)驅(qū)動(dòng)器的策略標(biāo)簽上的磁盤(pán)寫(xiě)緩存功能”這個(gè)設(shè)置，建議為使用可擴(kuò)展引擎存儲(chǔ)(ESE)技術(shù)的所有服務(wù)設(shè)置該選項(xiàng)，以免任何數(shù)據(jù)丟失。

禁用磁盤(pán)緩存可以確保數(shù)據(jù)實(shí)際上被寫(xiě)入到磁盤(pán)上，而不是將數(shù)據(jù)保存在非易失性?xún)?nèi)存中;而出現(xiàn)電源故障，或者主機(jī)服務(wù)器崩潰時(shí)，非易失性?xún)?nèi)存中的數(shù)據(jù)可能會(huì)丟失。

不要暫停

不建議暫停虛擬域控制器，如果虛擬域控制器暫停時(shí)間較長(zhǎng)，超過(guò)活動(dòng)目錄的邏輯刪除時(shí)間范圍(Tombstone timeframe)，就更不要暫停。暫停可能會(huì)導(dǎo)致虛擬域控制器不同步，還會(huì)給活動(dòng)目錄環(huán)境帶來(lái)延遲對(duì)象(lingering object)。

當(dāng)被刪除對(duì)象在為活動(dòng)目錄的邏輯刪除時(shí)間范圍設(shè)置的時(shí)間段(一般是80天或160天，具體取決于所使用的操作系統(tǒng))內(nèi)沒(méi)有被復(fù)制到所有活動(dòng)目錄域控制器時(shí)，就會(huì)出現(xiàn)延遲對(duì)象。

總是為虛擬域控制器配置固定磁盤(pán)或直通磁盤(pán)

建議配置固定磁盤(pán)或直通磁盤(pán)類(lèi)型，以便用于存儲(chǔ)域控制器的數(shù)據(jù)庫(kù)(NTDS.DIT)和日志文件，那樣域控制器就能更高效地運(yùn)行。如果采用其他類(lèi)型的一種磁盤(pán)(比如差異磁盤(pán)虛擬硬盤(pán))，將降低虛擬域控制器的性能。

注意：直通磁盤(pán)這種磁盤(pán)是微軟Hyper-V的一項(xiàng)特性，它與VMware虛擬化平臺(tái)中的Raw磁盤(pán)可以相提并論。

不要克隆域控制器虛擬機(jī)

大多數(shù)虛擬化技術(shù)供應(yīng)商都提供了克隆虛擬機(jī)這個(gè)選項(xiàng)，以便快速部署。不過(guò)，我們強(qiáng)烈建議避免克隆安裝的域控制器系統(tǒng)，除非你在使用Windows Server 2012，它提供了自己的克隆功能。不然，如果你非要進(jìn)行克隆，我們會(huì)建議使用SysPrep.exe工具，該工具通過(guò)刪除重復(fù)的安全標(biāo)識(shí)符(SID)，讓操作系統(tǒng)作好了準(zhǔn)備。

千萬(wàn)不要使用虛擬化產(chǎn)品的導(dǎo)出功能

在導(dǎo)出過(guò)程可以導(dǎo)出相關(guān)文件之前，導(dǎo)出功能會(huì)讓域控制器處于已保存狀態(tài)。然后恢復(fù)運(yùn)行虛擬機(jī)，以提供服務(wù)。

由于顯而易見(jiàn)的原因，我們強(qiáng)烈建議：除非絕對(duì)有必要，否則不要暫停域控制器的服務(wù)。暫停這些服務(wù)可能會(huì)導(dǎo)致使用活動(dòng)目錄作為驗(yàn)證提供方的網(wǎng)絡(luò)應(yīng)用程序出現(xiàn)停機(jī)。

禁用或配置自動(dòng)開(kāi)啟操作

虛擬機(jī)可以配置成萬(wàn)一虛擬化主機(jī)出現(xiàn)任何故障，虛擬機(jī)能自動(dòng)開(kāi)啟。微軟Hyper-V和VMware都提供了這個(gè)功能。

自動(dòng)開(kāi)啟操作功能避免了人工干預(yù)，但它對(duì)活動(dòng)目錄域控制器來(lái)說(shuō)不是一個(gè)好的選項(xiàng)/功能。所有虛擬域控制器不得配置成萬(wàn)一虛擬化主機(jī)出現(xiàn)故障，可以自動(dòng)重啟。

采用這個(gè)選項(xiàng)會(huì)導(dǎo)致域控制器啟動(dòng)出現(xiàn)延遲。比如說(shuō)，子域控制器在根域控制器啟動(dòng)運(yùn)行之前根本不應(yīng)該開(kāi)啟。因此，建議禁用該選項(xiàng)，或者為屬于子域一部分的虛擬機(jī)域控制器的初始啟動(dòng)設(shè)置延遲。

禁用虛擬域控制器的故障恢復(fù)策略

活動(dòng)目錄是一種多主機(jī)復(fù)制技術(shù)。在活動(dòng)目錄復(fù)制技術(shù)的幫助下，所有域控制器保留著活動(dòng)目錄數(shù)據(jù)庫(kù)的一致副本。默認(rèn)情況下，活動(dòng)目錄域控制器自帶容錯(cuò)和負(fù)載平衡機(jī)制，提供了驗(yàn)證和授權(quán)服務(wù)。

所以，如果虛擬域控制器在集群環(huán)境中運(yùn)行，***實(shí)踐是，禁用所有的故障恢復(fù)策略，阻止虛擬域控制器自動(dòng)跨集群移動(dòng)。

在物理機(jī)器上至少讓一個(gè)DNS和域控制器運(yùn)行

認(rèn)為這是一條***實(shí)踐的幾個(gè)原因如下：

1. 活動(dòng)目錄與DNS是緊密整合的兩大組件。為生產(chǎn)環(huán)境中運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序解析域名，勢(shì)必需要DNS。DNS可以托管運(yùn)行在服務(wù)器上，而服務(wù)器上有沒(méi)有安裝活動(dòng)目錄服務(wù)則沒(méi)有關(guān)系。如果DNS服務(wù)托管在域控制器上，那么建議讓至少一臺(tái)DNS服務(wù)器在物理環(huán)境中運(yùn)行，避免針對(duì)在虛擬化基礎(chǔ)設(shè)施外面運(yùn)行的網(wǎng)絡(luò)應(yīng)用程序提供的域名解析服務(wù)出現(xiàn)任何中斷。

2. 牢記一點(diǎn)：微軟故障切換集群(Failover Clustering)服務(wù)要求使用集中式活動(dòng)目錄域控制器，用于驗(yàn)證目的。如果你對(duì)所有域控制器進(jìn)行虛擬化，故障切換集群可能無(wú)法正常工作，或者無(wú)法提供故障切換服務(wù)。因此，建議在物理環(huán)境中讓至少一個(gè)域控制器運(yùn)行，那樣故障切換集群可以如期正常工作。

3. 虛擬化主機(jī)還要求使用DNS服務(wù)器服務(wù)。建議在虛擬化主機(jī)上配置DNS設(shè)置，以便使用外部DNS服務(wù)器，那樣萬(wàn)一所有虛擬域控制器都停止運(yùn)行，域名解析仍能正常進(jìn)行。

在多個(gè)主機(jī)上托管虛擬域控制器

明白這一點(diǎn)很重要：虛擬化主機(jī)(虛擬域控制器在虛擬化主機(jī)上面運(yùn)行)也可能出現(xiàn)軟硬件故障。虛擬化主機(jī)停止運(yùn)行后，應(yīng)該不會(huì)導(dǎo)致所有虛擬活動(dòng)目錄域控制器停止運(yùn)行。

一條***實(shí)踐就是，如果可能的話(huà)，將安裝的虛擬域控制器分散在多個(gè)虛擬化主機(jī)上，以避免服務(wù)出現(xiàn)任何中斷。

結(jié)論

我們?cè)诒疚闹辛私饬嗽谔摂M化平臺(tái)上運(yùn)行的活動(dòng)目錄域控制器方面的若干通用的***實(shí)踐。我們還明白了虛擬域控制器方面應(yīng)該做什么事、不該做什么事。