本文详细介绍了AD域控制器虚拟化过程中遇到的时间同步、快照回滚问题,并阐述了Windows Server 2012中引入的VM-Generation ID如何解决这些问题。同时,提供了虚拟化DC的先决条件和步骤,包括加入安全组、创建DcCloneConfig.xml文件以及导入克隆的DC。
AD域控制器虚拟化完整篇
一、关于AD DC虚拟化的问题
1、时间同步问题
因为Kerberos身份验证依赖于可靠的时间,所以域中时间同步是非常重要的,如果进行DC虚拟化,时间会与hyper-v主机同步,这样就产生系列问题,所以建议禁用时间同步服务,确保有一个正确的时间同步配置。
2、虚拟机快照回滚
虚拟机快照回滚会产生两个问题:
1)USN(Update Sequence Number)
AD利用USN来提供对目录更改的精确复制,每个DC维护一个64位的数字,在DC上对AD对象作任何更改,USN都会增加。如当DC2从DC1上发起复制的时候,会比较USN的大小。如DC1上某个对象的USN比自己的大,说明有变化,将进行复制变化。如果DC虚拟机利用快照回滚到了之前一个状态上,USN值可能会变得比较小,其他DC会认为这个创建动作已经被复制过了而拒绝复制,导致DC之间的AD数据库不一致和复制失败。
2)RID池
DC为了给新用户或其他对象分配SID,且保证唯一。域中的DC会向RID主机申请一个池,即SID的范围,供新来的对象分配。比如池范围为101-600,使用了一段时间,意味着一部分用户已经从此池中得到了SID号,也同步到了其他的DC了。如果这时侯快照回滚,则可以引起对池中的ID重复分配。
二、Windows Server 2012中的改进
Windows Server 2012中引入了一个新的标志符VM-Generation ID,这样虚拟DC会得到一个VM-Generation ID的内置标识符,但是需要Hypervisor支持。VM-GenerationID的值作为计算机对象的一部分保存在AD中,同时也保存在虚拟机配置文件中。在AD中,VM-GenerationID的值保存在该Domain Controller计算机对象(computer object)的msDS-GenerationID属性(attribute)里面。
在虚拟机配置文件中,VM-GenerationID的值保存在虚拟机配置文件(.vmx)中,
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
