Zum Inhalt wechseln


Foto

mehr als 1 Domain Controller in virtuellen Umgebungen?

Active Directory

  • Bitte melde dich an um zu Antworten
42 Antworten in diesem Thema

#1 Wolke2k4

Wolke2k4

    Board Veteran

  • 2.110 Beiträge

 

Geschrieben 13. Januar 2015 - 16:09

Wir sind hier gerade am überlegen ob bzw. warum man mehr als 1 DC in einer virtualisierten Umgebung einsetzen soll. Ich weiß noch vom Grundsatz: Kerndienste (dazu würden ja DC, DNS, DHCP) auch außerhalb der virtuellen Welt bereitstellen. Aber ich sehe aktuell die Notwendigkeit nicht so dringlich, wenn folgende Faktoren bei einer 1 Domain Controller Umgebung erfüllt sind: 1. Wenn der eine DC als gesamte VM gesichert wird kann jederzeit auf diese Sicherung zurückgegriffen werden. 2. Bei mehr als einem DC können bspw. Replikationsfehler auftreten. Klar hier obliegt es jedem selber regelmäßig den Status des AD im Auge zu behalten. Aber es ist letztendlich wieder ein Einfallstor für Fehler. Bei einer klassischen nicht Virtualisierungsumgebung sehe ich die Notwendigkeit schon eher gegeben, keine Frage. Kann mir noch jemand plausible Gründe für die Notwendigkeit von mehr als 1x DC in virtualisierten Umgebungen erläutern?


most valuable workaround by Mircosoft:

WORKAROUND
To work around this issue, ignore this error event.

#2 zahni

zahni

    Expert Member

  • 16.403 Beiträge

 

Geschrieben 13. Januar 2015 - 16:21

Du solltest 1  phys. DC verwenden und 1+n  virtuelle DC's. Wenn ein DC ausfällt, wäre es empfehlenswert  den nicht  zurückzusichern. Besser  ist es  den toten DC aus dem AD zu entfernen und einfach neu installieren.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 NilsK

NilsK

    Expert Member

  • 12.347 Beiträge

 

Geschrieben 13. Januar 2015 - 16:45

Moin,

 

mehr als 1 DC, egal ob virtuell oder physisch, ist für Umgebungen mit mehr als, sagen wir, zehn Usern Pflicht.

 

Dass die Replikation Fehler erzeugt, tritt so gut wie nie auf, es sei denn, man legt es mutwillig darauf an. Wenn aber der einzige DC ausfällt, kann niemand mehr arbeiten. Und man verlasse sich da nicht auf "Sicherungen gesamter VMs" - die werden in solchen Umgebungen oft in einer Weise erzeugt, die Zeit und Geld kostet, aber kein Recovery ermöglicht. Und wenn dann der DC nicht wieder hochkommt und man keinen zweiten hat ... dann wird es schwierig für das Unternehmen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 13. Januar 2015 - 21:09

Vor ein paar Monaten habe ich die Migration von Domänen in meinem Unternehmen zu 2012R2 durchgeführt. Ich habe mich entschieden, zwei Hyper-V Hosts (physischen Servers) zu installieren und auf ihnen die virtuellen Domänencontrollers zu erstellen. Meiner Meinung nach ist das die beste Lösung. Wir haben die Sicherung, falls ein physischer Server kaputtgeht, es ist einfach ein Backup von den virtuellen DCs zu machen und Disaster Recovery auszuführen.

Nur ein DC in der Umgebung zu haben, ist wie ein russisches Roulett. Replikation Fehler? Vielleicht in der ersten Implementierung von Active Directory (Windows 2000 Server) traten sie auf, aber in den heutigen Systemen sind sie eher sehr selten. So mach dir keine Sorgen und richte so schnell wie möglich den zweiten DC ein.

 

Grüße

Marcin



#5 NeMiX

NeMiX

    Board Veteran

  • 1.356 Beiträge

 

Geschrieben 13. Januar 2015 - 21:20

 

Wir haben die Sicherung, falls ein physischer Server kaputtgeht, es ist einfach ein Backup von den virtuellen DCs zu machen und Disaster Recovery auszuführen.

 

 

 

Aber hoffentlich nicht von der VM auf das physikalische Blech?!?



#6 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 13. Januar 2015 - 21:37

Ich bin nicht sicher, ob ich dich richtig verstehe. Es gibt zwei physische Servers (Hyper-V Hosts). Auf dem ersten Host sitzt der erste DC und auf dem zweiten - der zweite DC. Es ist egal ob der physiche (Host) or virtuelle (DC selbst) Server kaputtgeht. Das Unternehmen funktioniert die ganze Zeit, weil die Domäne ständig verfügbar ist. So gibt es keine Bedrohung.

 

Grüße
Marcin



#7 NeMiX

NeMiX

    Board Veteran

  • 1.356 Beiträge

 

Geschrieben 14. Januar 2015 - 08:00

Das habe ich nicht gemeint, aber du sprachst von B&R das du einfach einen DC sicherst und dann daraus einen restore machst für einen weiteren DC?!



#8 Doso

Doso

    Board Veteran

  • 2.462 Beiträge

 

Geschrieben 14. Januar 2015 - 12:47

DC ist offline, kaputt, weis der Teufel. Du bist im Urlaub, der E-Mail Server und das Intranet geht natürlich auch nicht. Niemand kann arbeiten. Willst du dir den Stress wirklich antun? Oder willst du dann aus dem Urlaub kommen, feststellen das ein DC kaputt ist und dann in aller Ruhe dich an die Problemlösung machen?

 

Ich weis welche Variante ich wähle.



#9 lefg

lefg

    Expert Member

  • 20.482 Beiträge

 

Geschrieben 14. Januar 2015 - 12:52

Natürlich müssen die User auch bei Ausfall des DC weiter arbeiten können, auch in einer Firma mit nur einem DC. Und die Arbeitsfähigkeit darf nicht von einem Admin abhängen, der gearde auf den Seychellen in Urlaub ist.


Bearbeitet von lefg, 14. Januar 2015 - 12:53.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#10 Marcin_K

Marcin_K

    Junior Member

  • 65 Beiträge

 

Geschrieben 14. Januar 2015 - 18:28

Das habe ich nicht gemeint, aber du sprachst von B&R das du einfach einen DC sicherst und dann daraus einen restore machst für einen weiteren DC?!

 

Vielleicht habe ich mich schlecht ausgedrückt, also lass mir erklären. Bezüglich "Backup und Recovery" habe ich nicht gemeint, dass ich nur einen virtuellen DC sichere. Ich mache das Backup von bedien DCs, ich verwende die "Windows Server Backup" Software, sie macht Backup vom ganzen Server, mit der Active Directory Datenbank, usw. Wenn mein ganzes Rechnenzentrum zerstören würde, könnte ich einfach Active Directory wiederherstellen, weil man den virtuellen DC auf irgendeinem physischen Server, das als Hyper-V Host funktioniert, wiederherstellen kann. Deswegen denke ich, dass der DC auf einem physischen Server keine Vorteilen hat.

 

Ich hoffe, dass es jetzt klar ist :) Wenn du irgendwelche Fragen hättest, gib mir Bescheid.

 

Grüße

Marcin



#11 monstermania

monstermania

    Board Veteran

  • 1.179 Beiträge

 

Geschrieben 16. Januar 2015 - 11:26

Moin,

ich finde die Anzahl der DC in einem Unternehmen hat nichts mit Virtualisierung zu tun, sondern ausschließlich mit der Größe bzw. den Anforderungen.

Bei den klassischen SBS Kunden gab/gibt es i.d.R. nur den 1 Server. Ob dieser nun virtuell oder native läuft ist völlig egal. Bei einem Hardwaredefekt geht so oder so nichts mehr!

Ich habe seit 2010 keine nativen Installationen bei Kunden mehr gemacht bzw. an Kunden ausgeliefert. Der SBS lief immer auf einem ESXi Hypervisor. Ist einfach ein großer Administrativer Vorteil, da ein Hardwaretausch extrem vereinfacht wird.

 

Bei größeren Kunden stellt sich die Frage nach mehreren DC gar nicht, da es eh immer mehrere gibt. Ob diese dann native oder virtuell laufen kommt dann wieder auf die örtlichen Voraussetzungen an bzw. ist auch eine Glaubensfrage der Admins :)

Bei uns laufen alle DC virtuell. Allerdings läuft ein DC auf dem lokalen Storage eines VMHosts (RAID1). Alle anderen DC laufen auf dem SAN. Dieser Host ist auch der einzige mit lokalen Platten. Die anderen Hosts sind ohne Platten und starten VMWare per SD-Karte.

 

Damit ist sichergestellt, dass im Falle eines totalen Crash des SAN zumindest die Anmeldedienste noch laufen. Dann könnten die Mitarbeiter zumindest noch im Internet surfen. :)

 

Gruß

Dirk

 

PS: Ach ja, wenn das SAN crasht müsste ich wohl meinen Urlaub abbrechen. Da nutzt der evtl. laufende DC dann auch nichts...



#12 Doso

Doso

    Board Veteran

  • 2.462 Beiträge

 

Geschrieben 16. Januar 2015 - 17:10

Irgendwie beneide ich VMWare Leute ja schon etwas, VMWare vom USB Stick oder SD-Karte ist schon irgendwie cool.

 

Ach, Moment, Glaubensfrage. Hail Hyper-V, es lebe mind. ein physischer DC  ;)


Bearbeitet von Doso, 16. Januar 2015 - 17:11.


#13 NorbertFe

NorbertFe

    Expert Member

  • 30.609 Beiträge

 

Geschrieben 16. Januar 2015 - 17:54

Was hat der physische dc mit dem virtualisierer zu tun.

Make something i***-proof and they will build a better i***.


#14 lefg

lefg

    Expert Member

  • 20.482 Beiträge

 

Geschrieben 16. Januar 2015 - 17:58

 

..............es lebe mind. ein physischer DC  ;)

 

 

Ich habe das schon mehrfach gelesen, wird wie eine Mantra vorgetragen, was ich vermisse ist die logische Begründung.


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#15 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 16. Januar 2015 - 18:29

Mit Hyper-V bin ich noch nicht so vertraut. Aber ich habe meine ganzen Testrechner in Virtualbox VMs am Laufen. Da reicht ein falsches Windows Update und die VMs laufen dann erst mal nicht mehr. Für meine kleinere Umgebung (ca. 50 Clients) fühle ich mich mit zwei physischen DCs auch relativ sicher gegen Totalausfälle. Da muss schon viel passieren, damit die alle beide zur gleichen Zeit ausfallen.

 

Ich wäre eher für physische DCs. Zumindest zwei Stück, je nachdem wie groß die Sache angelegt ist. Virtuelle Maschinen sind, zumindest nach meinem Eindruck, anfälliger für Fehler, als die physischen. Fatal wäre auch den virtuellen DC direkt auf der Hardware eines physischen DCs zu virtualisieren. Im Zweifel hat man da gar nichts gewonnen.

 

Man kann das mit den VMs sicher testen,nur irgendwo will man ja den Aufwand verringern. Die entsprechenden Lizenzen braucht man ja auch.

 

Viel eher würde ich darüber nachdenken, eventuelle SQL-Server zu virtualisieren, um sie von den DCs getrennt zu halten.


Bearbeitet von willy-goergen, 16. Januar 2015 - 18:52.




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory