ComputerBase Menü
Aktuelles

Windows Server 2012 R2 Domänen Controller virtualisieren?

C

c-mate

Rear Admiral
Registriert
Aug. 2010
Beiträge
5.327
Mal eine schnelle knackige Frage, bin gespannt auf die Meinungen.
Wie steht ihr zu dem Thema Domänen Controller virtualisieren (mit Hyper V)?
Problemlos oder gibt es Einwände?
(weil es "früher" immer hieß, dass der DC ein eigener physischer Server sein muss/soll)

THX
 
Ist natürlich Quatsch,

alles was man virtuell haben kann, sollte man virtuell haben.

Eine gescheite VM-Ware / Hyper-V Umgebung und ein gutes Backupsystem (Veeam zum Beispiel für VMs) ist natürlich die Grundlage.
 
Die Frage dabei ist wie viele DCs du hast.

Ein DC? Kein Problem!
Mehrere DCs? Probleme möglich, wenn auch nicht mehr so schlimm wie früher.
Befindet sich dein Hyper-V Server selbst in der Domäne? Probleme wahrscheinlich.

Die einfachste und beste Konfiguration für kleine bis mittelgroße Netzwerke:

Hyper-V Server in Arbeitsgruppe und ein einzelner DC.

Die Gründe wieso von virtualisierten DC abgeraten wurde sind einfach. Ist der Hyper-V Server selbst in der Domäne, gibt es Probleme wenn die DCs unten sind und wird zum Beispiel ein Snapshot von einem DC zurückgestellt, gibt es bei mehreren DCs Probleme mit AD Synchronisation.

Für das zweite Problem gibt es seit Server 2012 allerdings eine Lösung.
https://blogs.msmvps.com/acefekay/2...ng-snapshot-support-preventing-usn-rollbacks/
 
Zuletzt bearbeitet:
Hallo zusammen,

wir haben 5 DC's (2008R2), alle Virtuell auf ESXi.
Bisher nie Probleme, auch ein vMotion oder ähnliches macht keine Probleme.
Also ab in die Virtuelle Welt damit.
 
Man sollte immer möglichst 2 DC's einsetzen, dabei kann dann einer durchaus auch virtualisiert betrieben werden.

Technisch spricht da nichts dagegen, die Empfehlung des Einsatzes mindestens eines physischen DC's resultiert vereinfacht gesagt aus diversen anderen Gründen, Backup und Wiederherstellung (was wenn der Virtualisierungshost defekt ist, etc), USN Rollback durch falsche Verwendung von Snapshots bei virtuellen Maschinen, Lizenzierung (Stichwort: Zuweisen einer Lizenz zu Hardware und das 90 Tage Limit für das Verrschieben der Lizenz auf andere Hardware) und weiterer Gründe, die man dann trefflich auch gerne kontrovers diskutieren kann.

So ganz pauschal kann man das aber eh nicht beantworten, es findet sich aber durchaus genügend Information im Netz hierzu.

Grüsse

Gulp
 
Zuletzt bearbeitet:
Gulp schrieb:
Man sollte immer möglichst 2 DC's einsetzen, dabei kann dann einer durchaus auch virtualisiert betrieben werden.
Zum Vergrößern anklicken....

Jap, da man sowieso eine extra Kiste für Backups haben sollte kann diese Kiste gleich noch den zweiten DC und den zweiten DNS machen.
So spart man sich, egal mit was man virtualisiert, viel Ärger.
 
Gulp schrieb:
Man sollte immer möglichst 2 DC's einsetzen.
Zum Vergrößern anklicken....

Das ist eine Aussage die in kleinen (virtualisierten) Umgebungen praktisch keinen Nutzen, aber jede Menge Nachteile hat.

Die Bereitstellung von mehreren DCs soll die Verfügbarkeit einer Domäne selbst dann gewährleisten wenn ein DC heruntergefahren ist, zudem soll die Last aufgeteilt werden.

Durch feste Rollen die den jeweiligen DCs zugewiesen werden, ist der erste Punkt aber eh nicht wirklich zu erfüllen und in kleinen Umgebungen ist die Last, die DC/DNS Dienste erzeugen nahezu lächerlich.

Im Virtualisierungszeitalter kann eine Verfügbarkeit durch Hyper-V Replikation wesentlich einfacher und problemloser bereitgestellt werden, als es mit AD Replikation möglich ist. Zudem hat man bei einem einzelnen DC nie Probleme mit Datensicherung oder Snapshots. Vor größeren Änderungen am AD, kann einfach ein Snapshot erstellt werden, beim Einsatz von mehreren DCs ist sowas undenkbar.
 
Zuletzt bearbeitet:
Mehrere DCs, immer virtualisiert, idealerweise läuft der zweite DC auf einer anderen physischen Kiste (idealererweise anderer Serverhersteller). Die Nachteile die virtuelle DCs haben können sind seit 2012R2 so ziemlich obsolet.

Relevant Altaro: https://www.altaro.com/hyper-v/virtualized-domain-controllers-4-myths-12-best-practices/


Die Bereitstellung von mehreren DCs soll die Verfügbarkeit einer Domäne selbst dann gewährleisten wenn ein DC heruntergefahren ist, zudem soll die Last aufgeteilt werden.

Durch feste Rollen die den jeweiligen DCs zugewiesen werden, ist der erste Punkt aber eh nicht wirklich zu erfüllen [...]
Zum Vergrößern anklicken....
Übergangsweise (wenn DC1 nach Windows Updates nicht hochkommen will) ist das belanglos. Die Domäne lebt durch DC2 erst mal weiter. Ist DC1 platt, bekommt DC2 die FSMOs & DC1 wird neu gebaut.

[...]und in kleinen Umgebungen ist die Last, die DC/DNS Dienste erzeugen nahezu lächerlich.
Zum Vergrößern anklicken....
Stimmt, aber Lastverteilung ist gerade in kleineren Umgebungen bei DCs nie der Grund für mehrere DCs. Es geht hier wirklich nur um Verfügbarkeit.

Im Virtualisierungszeitalter kann eine Verfügbarkeit durch Hyper-V Replikation wesentlich einfacher und problemloser bereitgestellt werden, als es mit AD Replikation möglich ist.
Zum Vergrößern anklicken....
Heißes Eisen. Best Practice ist weiterhin nach Möglichkeit nicht zu replizieren wenn die zugrundeliegenden Server/Dienste eigene Replikationsmethoden mitbringen. Und imho ist es einfacher einen zweiten DC hochzuziehen als eine Hyper-V Replica.

Vor größeren Änderungen am AD, kann einfach ein Snapshot erstellt werden, beim Einsatz von mehreren DCs ist sowas undenkbar.
Zum Vergrößern anklicken....
Dann eben Snapshots von beiden DCs ^^ (wobei ich bei einem nötigen Restore den zweiten DC eher gar nicht wieder anstarten würde, sondern einen neuen DC bauen würde).

Die Gründe wieso von virtualisierten DC abgeraten wurde sind einfach. Ist der Hyper-V Server selbst in der Domäne, gibt es Probleme wenn die DCs unten sind
Zum Vergrößern anklicken....
Nope, nicht (mehr). Der Virtualisierungsdienst ist unabhängig von einer Domänen-Mitgliedschaft des Hyper-V. Größtes wirkliches Problem ist vielmehr, dass die Zeitsynchronisation zunächst einen Teufelskreis dreht. Aber das ist ein Häkchen.
 
Zuletzt bearbeitet:
t-6 schrieb:
Ist DC1 platt, bekommt DC2 die FSMOs & DC1 wird neu gebaut.
Zum Vergrößern anklicken....

Ist der DC platt, nimmt man eine Sicherung von letzten Tag, Woche oder Monat und alles läuft wieder. Der Vorschlag einen zweiten DC zu nutzen, kommt aus der Zeit als man noch auf physikalische Hardware installiert hat und eine Systemwiederherstellung zeitaufwändig gewesen ist.

Früher:
Neue Hardware beschaffen, System neu installieren, Datensicherungssoftware neu installieren, Systemstatus wiederherstellen. Dauer zwischen 1 Tag oder einer Woche.

Heutzutage:
VM vom Replikat starten oder VM wiederherstellen und auf irgendwas mit Hyper-V Unterstützung starten. Dauer ein paar Sekunden bis Minuten.

t-6 schrieb:
Heißes Eisen. Best Practice ist weiterhin nach Möglichkeit nicht zu replizieren wenn die zugrundeliegenden Server/Dienste eigene Replikationsmethoden mitbringen. Und imho ist es einfacher einen zweiten DC hochzuziehen als eine Hyper-V Replica.
Zum Vergrößern anklicken....

Negativ! Vor allem aber wieso?

Angenommen ich habe in einer üblichen Umgebung einen DC/File Server, Exchange Server und einen Terminal Server. Eine Hyper-V Replikation auf irgendwelche alte Hardware, schützt alle Server vor möglichen Ausfällen des Hauptservers. Entsprechend konfiguriert kann ich jederzeit auf Snapshots der letzten 24h zugreifen was in nu konfiguriert ist.

Ein zweiter Domänencontroller würde jegliche Sicherheiten zunichte machen. Ihn wie hier gerade vorgeschlagen wurde, auf eine physikalische Maschine zu platzieren, würde jegliche Option auf Snapshots zugreifen zu können sperren. Was ist wenn ein Upgrade vom Exchange Server fehlschlägt? Was ist wenn ich "aus Versehen" x Benutzer gelöscht habe. Mit AD Replikation mache ich viele Vorteile der Virtualisierung zunichte.

t-6 schrieb:
Nope, nicht (mehr). Der Virtualisierungsdienst ist unabhängig von einer Domänen-Mitgliedschaft des Hyper-V. Größtes wirkliches Problem ist vielmehr, dass die Zeitsynchronisation zunächst einen Teufelskreis dreht. Aber das ist ein Häkchen.
Zum Vergrößern anklicken....

Jain!

Die Anmeldung an einem solchen Host ist nur noch mit einem lokalen Konto möglich und viele der "tollen" Features wie Live Migration wirst du ohne einen laufenden DC auch nicht mehr nutzen können. Das sind dann Fallen die man sich in einem vermutlich eh schon schwierigen Fall selbst baut.
 
Zuletzt bearbeitet:
Bitte nicht falsch verstehen: Ich virtualisiere alles was sich virtualisieren lässt - und ggf. nicht Oracle heißt ^^ Also auch einen zweiten DC auf anderer Hardware.
Aber ein replizierter Domänen-Controller ist kein Ersatz für einen zweiten Domänen-Controller. Zumal, wie weit willst du das skalieren? Grundsätzlich nur ein DC pro Site, egal wie groß die Site? Ab welcher Größe wird der Zeitversatz bis sich Clients wieder anmelden können unangenehm? Wäre es da nicht besser immer einen zweiten DC/DNS (ggf. DHCP-Failover) laufen zu haben?
Dein einer Domänen-Controller macht unspezifische Probleme (Klassiker: DNS-Service fällt ständig aus) - wie weit in den Snapshots gehst du zurück um den einen stabilen Punkt zu erlangen, du setzt zurück - und plötzlich verlieren ein paar Rechner Vertrauensstellungen (konstruiert, ich weiß)? Wäre wohl einfacher gewesen den problematischen DC einfach wegzuwerfen, hättest du denn einen zweiten DC gehabt. Wenigstens können die Leute noch mehr oder weniger arbeiten.
Oder, Failover passiert: VHDX von Only-DC am Replica-Server korrupt, fällt aber erst beim Anstarten auf. Argh.

Angenommen ich habe in einer üblichen Umgebung einen DC/File Server, Exchange Server und einen Terminal Server. Eine Hyper-V Replikation auf irgendwelche alte Hardware, schützt alle Server vor möglichen Ausfällen des Hauptservers.
Zum Vergrößern anklicken....
Ein zweiter DC, ein geDFSRter File, zweiter Exchange+DAG & ein zweiter TS (aber mit repliziertem Broker) erreicht das auch und noch besser. Bis auf die User am TS & ggf. Outlook-Schluckauf bekommt in diesem Fall idealerweise niemand mit dass gerade ein Server brennt. ^^

Je nachdem wieviel Downtime akzeptabel ist. Aber eine Kombination aus Replicas und multiplen gleichartigen Servern dürfte an sich schon gut was abdecken.
 
t-6 schrieb:
Bitte nicht falsch verstehen: Ich virtualisiere alles was sich virtualisieren lässt - und ggf. nicht Oracle heißt ^^ Also auch einen zweiten DC auf anderer Hardware.
Aber ein replizierter Domänen-Controller ist kein Ersatz für einen zweiten Domänen-Controller. Zumal, wie weit willst du das skalieren?
Zum Vergrößern anklicken....

Das gebe ich so zurück! Die Rede ist von kleinen Umgebungen. Klein sind für mich übliche SMB Installationen mit 1-10 VMs und bis 100 Benutzern. Selbst bei 500 Benutzern besteht nur wegen Lastaufteilung kein Bedarf für einen zweiten DC, vermutlich auch nicht bei 1000.

Ich könnte dir Bücher über Probleme schreiben die MIT mehreren DC passieren können und wiederhole nochmal gerne meinen Standpunkt. Mit EINEM DC und Hyper-V Hosts in einer Arbeitsgruppe sind die wenigsten Probleme zu erwarten. Ein zweiter DC hebt praktisch jegliche Vorteile einer solchen Lösung auf.

Einzelne DCs in kleinen Umgebungen sichere ich häufig nur einmal die Woche, in den meisten Umgebungen ändert sich am AD monatelang nichts, außer bei den von dir angesprochenen Accounts für Computer. Dateiserver mit DC Rolle logischerweise regelmäßig.

Eine Datensicherung ist Pflicht, häufig ergänzt durch Hyper-V Replikation. Ausfallzeit ist wie erwähnt unter 10 Minuten. Wie lange brauchst du für ein Failover oder Rücksicherung von einem DC? Sowas geht heutzutage instant. Ohne DC Replikation kann sowieso kaum etwas passieren, eine Datenbank zerbröselt nicht durch anschauen. Mögliche Fälle sind hier ein Systemabsturz oder ein beschädigter Datenträger und genau gegen solche Fälle schützt Replikation und Datensicherung.

Anfällig wird AD doch erst wenn mehrere DCs vorhanden sind, weil dann auch ein unbeabsichtigter Neustart (Hard) schon zu Problemen führen kann die man erst später merkt. Bei einem DC kann man (vereinfacht ausgedrückt) sich entweder anmelden oder nicht. Wenn es nicht geht macht man eine Rücksicherung, nutzt ein Replikationssnapshot oder kopiert einfach die AD Dateien aus der Sicherung in die VM und fertig ist die Laube.

t-6 schrieb:
Ein zweiter DC, ein geDFSRter File, zweiter Exchange+DAG & ein zweiter TS (aber mit repliziertem Broker) erreicht das auch und noch besser. Bis auf die User am TS & ggf. Outlook-Schluckauf bekommt in diesem Fall idealerweise niemand mit dass gerade ein Server brennt.
Zum Vergrößern anklicken....

Du verdoppelst die Ausgaben für Software und Hardware. Vervierfachst die Kosten für Einrichtung und Wartung und holst dir mit gleich drei verschiedenen Replikationsarten + TS Broker mehr Probleme ins Haus, die du je mit einer einfachen Installation bekommen könntest.

Spätestens wenn du feststellst, dass du nach einem Jahr die meiste Zeit und Aufwand, für die Beseitigung von Problemen benötigt hast die mit Replikation zu tun haben, stellst du dir schnell die Frage ob das alles so gut war.

Wie schon erwähnt, das was du vorschlägst hat man gemacht, als die Server noch physikalisch waren. Heutzutage kannst du VMs sogar direkt aus einer Sicherung starten oder beim Ausfall eines ganzen Standorts aus einer Azure Cloud. Replikation auf Anwendungsebene macht bei einer Replikation auf Virtualisierungsebene genau 0 Sinn. Es wird erst dann wieder interessant wenn man die Last aufteilen muss (Exchange) oder verteilte Standorte hat (DC) und da reden wir schon über ganz andere Dimensionen.

t-6 schrieb:
Dein einer Domänen-Controller macht unspezifische Probleme (Klassiker: DNS-Service fällt ständig aus)
Zum Vergrößern anklicken....

Weiss du wieso es diesen "Klassiker" überhaupt gibt? Weil Microsoft die schlaue Idee hatte, DNS im AD zu replizieren und gleichzeitig AD vom DNS abhängig zu machen. Das ist ein Klassiker den es nur gibt, wenn du mehrere DC hast und DNS im AD speichern lässt.

Wirf den zweiten DC raus, speichere DNS in einer Datei und ich versichere dir, du wirst in den nächsten 100 Jahren diese Probleme nie wieder bekommen.

Das soll jetzt nicht heißen, dass alles was Microsoft sagt total Schwachsinn ist. Einiges davon ist allerdings weit von "Best Practice" entfernt, lässt sich auf kleinere Umgebungen nicht übertragen oder gilt schon lange nicht für aktuelle Möglichkeiten. Eine Domäne "xyz.local" zu nennen ist vermutlich der grösste Blödsinn, den Microsoft jahrelang propagiert hat, die (falsche) Behauptung man könne eine Domäne mit einem installierten Exchange Server nicht umbenennen kostet jedes Jahr tausende Arbeitsstunden und die Empfehlung zu mehreren DCs gehört längst ad Acta gelegt.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Domänen Controller ist nicht erreichbar
Antworten
10
Aufrufe
9.516
Darlis
D
jan4321
2 raspberry pi als Samba Domänen Controller limits?
Antworten
3
Aufrufe
1.229
b1nb4sh
B
Don-DCH
Sehr Stromsparende Hardware für Domänen Controller gesucht
Antworten
4
Aufrufe
2.656
Don-DCH
Don-DCH
Don-DCH
HP ProLiant MicroServer Gen8 als Domänen Controller ausreichend?
Antworten
17
Aufrufe
3.521
DerGast
D
Benzer
Domain Controller virtualisieren - Problem
2
Antworten
20
Aufrufe
6.861
Benzer
Benzer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz