главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • В мае 2009 года, когда я работал в компании Infinite Group Inc., мне было поручено провести оценку виртуализации во всех муниципальных колледжах штата Миссисипи (США) и разработать набор рекомендаций по виртуализации Active Directory.

    Поскольку большинство сетевых служб Windows зависят от Microsoft Active Directory, к виртуализации этой роли следует подходить с особой осторожностью. В частности, нужно тщательно продумать следующие аспекты:

    • синхронизация времени;
    • отказоустойчивость;
    • высокая готовность;
    • распределение ролей FSMO.

    Синхронизация времени

    Все службы Active Directory так или иначе зависят от времени. Для одних служб (аутентификация, регистрация событий, лицензирование) эта зависимость очевидна, для других (обновление) — не особенно.

    При виртуализации серверов почти все компоненты системы оказываются не физическими, а виртуальными, в том числе и процессор. Между тем, время системы определяется именно в соответствии со временем процессора. Большинство физических часов и прочих приборов для измерения времени в той или иной степени неточны. Поддерживать точное соответствие времени без определенного перекоса временной диаграммы почти невозможно, поэтому время приходится периодически корректировать.

    В случае с виртуализацией необходимо наличие некоего механизма, позволяющего корректировать или преобразовывать время виртуального процессора для синхронизации с каким-либо прибором измерения времени. На виртуальных машинах перекос временной диаграммы более очевиден, чем на физических, поэтому корректировку требуется осуществлять чаще.

    Проблема синхронизации времени является одной из причин, по которым не рекомендуется развертывать службы Active Directory в полностью виртуальной среде.

    Отказоустойчивость

    При любой схеме развертывания Active Directory рекомендуется иметь как минимум два сервера, выполняющих роль доменных служб Active Directory, для каждого домена в лесу Active Directory. Это гарантирует, что существование более одного сервера с копией базы данных Active Directory в каждый момент времени.

    Поскольку в соответствии с принципами функционирования Active Directory каждый контроллер домена имеет не меньшее значение, чем все остальные, возникает модель с несколькими мастер-доменами. Сам термин «multi-master» чаще всего применяется в контексте репликации Active Directory, то есть копирования изменений базы данных Active Directory с одного контроллера домена на другой.

    В случае с виртуализацией, рекомендуется, чтобы в каждом домене как минимум один контроллер домена был развернут на физическом сервере для обеспечения отказоустойчивости в случае сбоя.

    Высокая готовность

    Одно из преимуществ виртуализации Active Directory — возможность обеспечить высокую готовность контроллера домена.

    При использовании одних только физических серверов обеспечить высокую готовность контроллера домена Active Directory невозможно. Для этого пришлось бы размещать базу данных и файлы журнала Active Directory на файлообменных ресурсах высокой готовности, что значительно повышает сложность рабочей среды.

    Контроллеры домена Active Directory, установленные на виртуальном сервере, можно установить в кластере и обеспечить высокую готовность виртуальной машины. Благодаря этому гарантировать высокую готовность контроллеров домена Active Directory становится очень легко.

    Распределение ролей FSMO

    Как правило, доменные службы Active Directory используют модель с несколькими мастер-доменами. Однако некоторые функции и роли Active Directory требуют привязки к определенному серверу и не могут быть распространены на все контроллеры домена. Их называют ролями одиночного гибкого хозяина операций (flexible single master operations, FSMO).

    Помимо базы данных и файлов журнала, обязательным условием нормального функционирования Active Directory является доступность этих ролей. Если некоторые из них реализованы на виртуальном сервере, рекомендуется, чтобы он не выполнял никаких других критически важных задач, помимо служб доменов Active Directory.

    Это необходимо на случай серьезного сбоя виртуального сервера без возможности быстрого восстановления его работоспособности: тогда роли FSMO, которые он выполнял, перейдут к другому серверу контроллера домена Active Directory. При этом на виртуальном сервере останутся неактуальные мета-данные Active Directory и для восстановления его прежней роли после возобновления работы необходимо будет переустановить операционную систему, снова присоединиться к домену, добавить роль доменных служб Active Directory и осуществить репликацию с другими контроллерами домена Active Directory. Только после этого на сервер можно будет вернуть роли FSMO.

    В случае с виртуальными машинами, восстановление сервера или создание нового отнимает всего несколько минут, в то время как на восстановление физического сервера уходит гораздо больше времени.

    Засбоивший виртуальный сервер в такой ситуации проще уничтожить — вновь присоединяться к домену уже не имеет смысла, а удалить один файл образа гораздо проще, чем продолжать дорогостоящее обслуживание неиспользуемого физического сервера.

    Автор: Brad Bird
    Перевод SVET


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Десять советов по созданию эффективной структуры Active Directory
  • Остановка служб каталогов Active Directory в Windows Server 2008
  • Перезапуск Active Directory в качестве службы в Windows Server 2008
  • Ищем пустую группу в Active Directory.


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс десять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+