Question : peut-on virtualiser les contrôleurs de domaines ?

Oui, il est possible de virtualiser les contrôleurs de domaine, mais attention un des attraits de la virtualisation est l’utilisation des « snapshots » et donc la possibilité de retour en arrière. Un retour en arrière peut entraîner un USNRollback et corrompre Active Directory entrainant des refus de répliquer avec les autres DC, voir un problème d'intégrité de l'annuaire. 

Pour la restauration d’Active Directory je vous renvoie sur le lien :

-       Restauration de la forêt : http://pbarth.fr/node/53

-       Restauration d’un DC : http://pbarth.fr/node/46

-       Restauration d’un object : http://pbarth.fr/node/57

 

Du coup, vous me direz qu’il n’y a plus de raison valable de garder un DC physique. Il suffit de ne pas faire de "Snapshot". Ce serait trop facile !!! 

Il existe un problème connu avec Active Directory et les disques IDE ne supportant pas la désactivation du cache en écriture. En effet Active Directory pour garantir l’intégrité essaie d’écrire directement sur le disque sans utiliser le cache en écriture. 

Sur un « serveur » en ide il serait recommandé de désactiver le cache en écriture sur le disque concerné, comme expliqué sur la procédure suivante :

http://technet.microsoft.com/en-us/library/dd941847(v=ws.10).aspx

Si le cache en écriture n'est pas désactivé vous pouvez retrouver cette erreur dans les journaux :

Hors si votre serveur HyperV n’est pas à jour, il existe un risque de corruption de l’AD, car l’hyperviseur fait croire au contrôleur de domaine que le cache est bien désactivé alors que ce n’est pas le cas. Vous trouverez plus de détails dans le lien suivant : https://support2.microsoft.com/kb/2853952?wa=wsignin1.0

Le correctif ne règle pas le problème du cache mais évite que HyperV donne une mauvaise réponse au contrôleur de domaine. La solution proposée par Microsoft est d’utiliser un 2ème disque SCSI pour stocker l’annuaire et « sysvol ».

Extrait de :  http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(v=ws.10).aspx#usn_and_usn_rollback

To ensure durability of Active Directory writes, do not deploy a virtual domain controller’s database files (the Active Directory database (NTDS.DIT), logs and SYSVOL) on virtual IDE disks. Instead, create a second VHD attached to a virtual SCSI controller and ensure that the database, logs, and SYSVOL are placed on the virtual machine’s SCSI disk during domain controller installation. 

Dans le cas d'un environnement Vmware il n'y a pas spécialement de problème dès lors que vous utilisez des disques virtuels SCSI présent depuis pas mal de temps.

A partir de Windows 2012 et si l'hyperviseur supporte le "GenerationID" il est possible d'utiliser des fonctionnalités supplémentaires tel que les "snapshot" ou le clonage de contrôleur de domaine.

Ce dernier détectera un retour en arrière, par l'intermédiaire de cette nouvelle propriété de la machine virtuelle, il sera en mesure de rattraper le décalage de réplication.

 

 

A noter que si vous utilisez un cluster HyperV il est fortement recommandé de conserver un contrôleur de domaine physique, au moins pour garantir le bon redémarrage et fonctionnement de votre cluster HyperV.

 

Commentaires

Autre point a prendre en compte

Bonjour

Autre point très important à prendre en compte quand on virtualise un contrôleur de domaine.
Il faut impérativement désactiver la synchronisation horaire de la VM sur l'hôte (dans un environnement VMware, c'est une option par défaut).
C'est de DC qui détient le rôle d'émulateur PDC qui donne la cadence a l'ensemble du domaine.
Les conséquences peuvent être importante en cas de décyncho ...
Dans tous les cas comme vous je conseille très fortement de garder un DC physique.

Merci pour cet article détaillé.

RE Autre point a prendre en compte

Pour les questions de synchronisation d'horloge la remarque ne se limite pas aux contrôleurs de domaine. L'article suivant http://pbarth.fr/node/87 donne plus de détail sur ce point.

En ce qui concerne les DC virtuels, je recommande également de conserver un DC physique et encore plus si vos hyperviseurs sont membres du domaine. Pour Vmware cela se discute ... 
 

Ajouter un commentaire

Bloc brute

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
3 + 0 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.