Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Wolke2k4

mehr als 1 Domain Controller in virtuellen Umgebungen?

Empfohlene Beiträge

Moin,

 

also, bitte mal langsam. Hier gehen dann doch ein paar Dinge durcheinander.

 

  • Es spricht nichts dagegen, DCs als VM zu betreiben.
  • Wenn man DCs virtuell betreibt, sollte man ein paar Sachen bleiben lassen. Snapshots gehören immer noch dazu, auch mit Windows Server 2012.
  • Windows Server 2012 und VM-Generation-ID schaffen das Risiko von Fehlern nicht aus der Welt.
  • Auch mit VM-Generation-ID sind Snapshots zum DC-Recovery nicht empfohlen.
  • VM-Snapshots sind für die meisten Applikationen nicht unterstützt.
  • VM-Snapshots sind in der Regel nicht als Recovery-Methode geeignet.
  • Es gibt mehr als nur einen Grund, einen DC pro Domäne physisch zu betreiben, mindestens aber außerhalb der "zentralen" Virtualisierungsumgebung.
  • Man sollte mehr als nur ein Backup von einer Domäne haben.
  • Es ist von Vorteil, (mindestens) ein Systemstate Backup auf einer VM zu erzeugen.
  • Es ist durchaus möglich, den Systemstate eines physischen DC auf einem anderen Server wiederherzustellen, meist aber deutlich aufwändiger als einen VM-Systemstate auf einer anderen, gleichartigen VM wiederherzustellen.
  • Windows-Clusterserver müssen Mitglied einer Domäne sein.
  • Sofern die Clusterserver als Domänenmitglieder ordentlich laufen und nach der vollständigen Einrichtung sich an die Domäne erfolgreich angemeldet haben, brauchen sie bei späteren Neustarts nicht zwingend Kontakt zu einem DC. Sie kommen aber auch weiter nicht dauerhaft ohne Domäne aus.
  • Es ist technisch nicht nötig, Hyper-V-Hostserver in eine Domäne aufzunehmen. Es ist in den meisten Situationen aber mit vielen Vorteilen für Betrieb und Verwaltung verbunden.
  • Hyper-V-Hostserver müssen nicht in derselben Domäne sein wie die VMs, die auf ihnen laufen.
  • Auch Virtualisierungsumgebungen, die nicht unter Hyper-V laufen, haben in der Praxis meist faktische Abhängigkeiten zum AD bzw. den Komponenten des AD, was einer der Gründe für mindestens einen phyisischen bzw. mindestens "separaten" DC ist.
  • Und um zum Thread zurückzukehren: In Umgebungen mit mehr als ca. 10 Benutzern ist es dringend anzuraten, mehr als einen DC pro Domäne zu betreiben. Anderenfalls kann der Ausfall eines "einzigen" DCs unangemessen hohen Aufwand nach sich ziehen.
  • Auch bei knappen Budgets ist ein zusätzlicher DC nicht unerschwinglich. Man kann ihn durchaus sinnvoll für einen Betrag von 1000 Euro inkl. Lizenz bekommen, wobei 1500 Euro i.d.R. schon ein wirklich brauchbares System ergeben.

So.

 

Gruß, Nils

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

 

  • VM-Snapshots sind für die meisten Applikationen nicht unterstützt.
  • VM-Snapshots sind in der Regel nicht als Recovery-Methode geeignet

 

Wenn nur diese beiden Punkte verinnerlicht werden würden.

Gerade wenn Firmen neu beim Thema Virtualisierung sind, werden Snapshots mit Recovery verglichen und es kommt schnell die Idee auf das derzeitige Backup wegzuwerfen. Leider mehr als 1x erlebt...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Diskussion ist sehr interessant, so lasse ich mich noch etwas hinzufügen.

 

  • Ich habe nicht gemeint, dass Snapshots als eine Methode von Sicherungskopien verwenden soll - ganz im Gegenteil. Aber das heißt, dass Microsoft die Virtualisierung der DCs noch mehr als früher unterstützt. Das Backup von "system state" ist notwendig und dies steht außer Zweifel.
  • Ich empfehle nicht, einen virtuellen DC auf einem Windows Cluster zu betreiben. In meiner Umgebung läuft jeder DC auf dem selbständigen physischen Server.
  • Ich sehe keinen Grund, den physischen DC zu halten. Die Wiederherstellung des "system state" Backups auf einem anderen Server (anderen Hardware) ist auf keinen Fall zuverlässig und Microsoft unterstützt diese Methode nicht. Der Unterschied in der Schicht der Hardware kann verursachen, dass das wiederherstellene System überhaupt nicht startet.

 

Grüße
Marcin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wozu aber ist ein Snapshot eines DC gut? Für nichts, unbrauchbar? Warum, was ist der Grund? Snapshot aber für anderes, andere Server?

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da der HyperVisor bzw. die Mgmt Tools nicht wissen das es sich um einen DC handelt und Snapshots in anderen Bereichen ein sinnvolles Feature sein können wird dieses generelle Feature bei einem DC nicht ausgegraut oder deaktiviert.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

 

Ich sehe keinen Grund, den physischen DC zu halten. Die Wiederherstellung des "system state" Backups auf einem anderen Server (anderen Hardware) ist auf keinen Fall zuverlässig und Microsoft unterstützt diese Methode nicht.

 

das ist falsch. Oder es wäre mir neu - was mich nach über 15 Jahren AD überraschen würde. Hast du Belege für diese Aussage?

 

Wozu aber ist ein Snapshot eines DC gut? Für nichts, unbrauchbar? Warum, was ist der Grund? Snapshot aber für anderes, andere Server?

 

"Für nichts" trifft es ganz gut. Man sollte hinzufügen: Snapshots (oder Images) von DCs sind eine Methode, die sehr schnell dem AD gravierende Schäden zufügt. Die Argumente sind in diesem Board ja schon sehr oft gebracht worden. Hier noch mal eine übersicht:

 

[Warum Images nicht als Datensicherung taugen | faq-o-matic.net]
http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensicherung-taugen/

 

In diesem Video zeige ich das auch, etwa ab Minute 38.

 

[Active Directory – "Tu mir das nicht an", sagte der Domänencontroller | Techday@ice:2011]
http://technet.microsoft.com/de-de/edge/active-directory-tu-mir-das-nicht-an-sagte-der-domanencontroller

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

 

das ist falsch. Oder es wäre mir neu - was mich nach über 15 Jahren AD überraschen würde. Hast du Belege für diese Aussage?

 

 

 

 

Sprichst du über die Wiederherstellung vom "system state" Backup auf einer anderen Hardware? Ja, meine Versuche mit den HP Proliant Servers sind die Belege. Ich habe das gerade in Zusammenhang mit das Testen der Wiederherstellung von Active Directory (disaster recovery) gemacht. Ich gebe zu, dass es um Windows 2008R2 handelt. Ich habe mit 2012R2 nicht geprüft - ich vertraue dieser Methode nicht und habe mich, bei der Migration von AD auf 2012R2 im letzten Jahr, auf zwei virtuelle DCs auf zwei getrennten physischen Hosts entschieden.

Und noch ein Beitrag von Microsoft:

http://support2.microsoft.com/kb/249694/de

Was den physischen DC betrifft - ständig weiß ich nicht, warum zumindest ein solcher DC notwendig oder ratsam ist.

 

Grüße

Marcin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

 

Sprichst du über die Wiederherstellung vom "system state" Backup auf einer anderen Hardware?

[...]

Und noch ein Beitrag von Microsoft:

http://support2.microsoft.com/kb/249694/de

Was den physischen DC betrifft - ständig weiß ich nicht, warum zumindest ein solcher DC notwendig oder ratsam ist.

 

nein, ich spreche von deiner Behauptung, dass Microsoft das WIederherstellen des Systemstate auf anderer Hardware nicht unterstützen würde. Diese Aussage ist falsch, was ja auch der von dir angeführte Link belegt.

 

Zu deiner erneut gestellten Frage ist mittlerweile alles gesagt worden, was es sinnvoll auf dieser Ebene dazu zu sagen gibt. Teilweise mehrfach. Du musst es ja nicht befolgen.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

 

nein, ich spreche von deiner Behauptung, dass Microsoft das WIederherstellen des Systemstate auf anderer Hardware nicht unterstützen würde. Diese Aussage ist falsch, was ja auch der von dir angeführte Link belegt.

 

 

 

"Die Wiederherstellung einer Sicherungskopie des Systemstatus eines Computers auf einem anderen Computer, bei dem es sich um ein anderes Fabrikat oder Modell handelt oder der eine andere Hardwarekonfiguration hat, wird von Microsoft nicht unterstützt."

Das ist das Zitat von Microsoft - schwarz auf weiß.

Aber es ist nicht nötig, sich miteinander zu überzeugen, das führt zu nichts :-) Ich halte diese Methode für unzuverlässig, habe sie getestet, usw. Ich mag lieber meine virtuellen DCs :-)

Danke für deine Antworten.

Marcin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

"Die Wiederherstellung einer Sicherungskopie des Systemstatus eines Computers auf einem anderen Computer, bei dem es sich um ein anderes Fabrikat oder Modell handelt oder der eine andere Hardwarekonfiguration hat, wird von Microsoft nicht unterstützt."

Das ist das Zitat von Microsoft - schwarz auf weiß.

 

dann aber bitte vollständig und nicht den nächsten, entscheidenden Satz unterschlagen:

 

"Microsoft gewährt in diesem Zusammenhang nur Unterstützung in angemessenem Rahmen."

 

Das bedeutet, dass Microsoft nicht dafür geradestehen kann, wenn die Treiber auf der Zielplattform nicht so wollen oder wenn Treiber so tief ins System integriert sind, dass man sie nur mit viel Aufwand ausgetauscht kriegt. Microsoft gewährt dann "Best effort"-Support, kann aber ggf. nicht in jedem Fall bis zum Ende supporten (einfach weil in solchen Situationen Drittanbieter im Boot sind). Es bedeutet eben nicht, dass Microsoft den Support für die Methode als solche verweigert! (Sonst gäbe es ja schließlich den Artikel nicht ...)

 

Man sollte schon fair bleiben. Im Übrigen hat in diesem Thread auch niemand gefordert, dass der physische DC derjenige sein müsse, auf dem das Systemstate-Backup läuft. Ganz im Gegenteil, wurde hier deutlich und mehrfach darauf hingewiesen, dass es von Vorteil ist, das Backup (und das Recovery) auf Basis von VMs zu machen. Aber das spricht ja nicht gegen die Argumente, die einen physischen (bzw. separat betriebenen) DC sinnvoll machen.

 

Und jetzt sollte endlich mal Schluss sein, es ist alles gesagt. Mittlerweile auch praktisch von jedem.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×