, indtil windows server - 2012 blev løsladt microsoft anbefalede altid organisationer har mindst ét område registeransvarlige, der er deployeret på fysiske hardware.med andre ord, selv om muligheden for at redesigne domænecontrollere (løbende dem som virtuelle maskiner på microsoft hyper-v eller vmware esx værter) er blevet en stadig mere attraktiv idé for mange organisationer, "officielle" vejledning fra microsoft har været at sørge for, at du holder mindst én fysisk område registeransvarlige i deres miljø.for eksempel, at microsoft videnbase artikel kb888794 siger:,,, "note: altid mindst én dc, der er fysisk udstyr, således at failover klynger og anden infrastruktur kan begynde.", denne henstilling var i bund og grund fordi redesigne domænecontrollere løber windows server - 2003 eller windows server - 2008 havde visse risici, navnlig risiko for usnn samme sted.usnn rollback sker, når den normale opdatering af ajourføre følgenumre (usns), der anvendes til at holde styr på kopiering af data mellem domænecontrollere, ved et uheld eller utilsigtet omgås.når det sker, er registeransvarlige bruger en usnn, der er lavere end den seneste opdatering, der kan resultere i active directory replikation fejl.en måde at forhindre usnn rollback med virtuelle domænecontrollere er at undgå indtagelse og anvendelse af billeder af virtuelle maskiner.dette er en af de væsentligste årsager til microsoft har traditionelt frarådede ved hjælp af hyper-v billeder i produktionen miljøer.en anden måde at forhindre usnn toldafvikling er at undgå eksporterende styrer virtuelle domænecontrollere, f.eks. ved at forsøge at klone dem til at skabe nye virtuelle domænecontrollere at anvende i deres miljø, windows server - 2012 har til formål at løse dette problem med optagelsen af nye garantier, som vil bidrage til at forhindre usnn rollback af virtuelle domænecontrollere og give evne til at sikkert klone virtuelle domænecontrollere.disse forbedringer for windows server - 2012 er beskrevet fuldt ud i en række technet artikel med titlen active directory domain tjenesteydelser (ad ds) virtualization, og hvis du er ny til at redesigne domænecontrollere, jeg anbefaler, at du starter med at læse disse artikler som baggrundsinformation.,, hvad ovennævnte technet artikler ikke præcisere, er imidlertid, om microsoft stadig anbefaler med mindst én fysisk område registeransvarlige i deres infrastruktur, selv om alle dine domænecontrollere løber windows server - 2012 eller windows server - 2012, r2."officielle" vejledning om dette emne stadig synes at være den, som er indeholdt i artikel 6 technet løber domænecontrollere i hyper-v, der senest blev ajourført i april 2008, og som gælder specifikt for windows server - 2008 og windows server - 2008 r2 og som tilføjer "dette emne vil blive ajourført for at gøre de retningslinjer, der gælder for windows server - 2012 men vi ved ikke, hvornår det vil ske.anyways, afsnittet "undgå at skabe fælles punkter af fiasko" i denne artikel netop siger, du skal:,,, "at opretholde fysisk domænecontrollere i hvert af deres områder.dette mindsker risikoen for en virtualization platform fejl, der påvirker alle vært systemer, der anvender den platform ".,,, indtil microsoft ajourfører denne artikel for windows server - 2012, er dette deres" officielle "vejledning om spørgsmålet om, hvorvidt de skal beholde nogle af dine domænecontrollere fysisk i stedet for at redesigne dem alle.men selv hvis redesigne alt din windows server - 2012 domænecontrollere, er helt sikkert fra et teknisk synspunkt, er det sikkert fra et forretningssynspunkt?og hvis det er tilfældet, er der ingen særlige betragtninger, du burde se eller bedste praksis, bør du følge?vi vil undersøge det spørgsmål, der er involveret i denne artikel, og den næste, og navnlig spørgsmålet om, hvorvidt der kunne være nogen genopbygning efter katastrofer eller business continuity konsekvenser af med alle deres organisation domænecontrollere virtualized.,, hvad fælles punkt svigt kan betyde, som det admins vi generelt er af afgørende betydning, at afskedigelse og for at undgå, at et enkelt punkt fiasko, deres miljø.men vi kan ikke altid være klar over, hvad et enkelt punkt af svigt kan i visse situationer.lad os begynde med at overveje en indlysende eksempler.,,, 1.contoso ltd. har et enkelt område netværk med kun ét område - controller.,,, er ovenstående scenario viser, at der er et eneste punkt, ikke?selvfølgelig!contoso har kun ét område registeransvarlige, så hvis det mislykkes, vil der være store problemer for brugerne af virksomhedens netværk.hvad er løsningen?har mindst to domænecontrollere pr. område for at skabe nogle afskedigelser.,,, 2.contoso ltd. har et fælles område med to virtuelle domænecontrollere både kører på de samme fysiske hyper-v vært maskine.,,, er der et enkelt punkt i ikke her?ja, fordi hvis hyper-v vært rubrik dør, så ingen af de to virtualized domænecontrollere, vil være til stede, og endnu en gang brugere kan have problemer med at få adgang til ressourcer på nettet.hvad er løsningen?hvis du vil kun have virtuelle domænecontrollere i deres miljø, så sørg for at have mindst to af dem, og at de løber på forskellige virtualization værter.f.eks. kunne du have virtuel maskine vdc-01 ved fysisk server host-01 og virtuel maskine vdc-02 kører på host-02.,, den næste scenario er værre:,,, 3.contoso ltd. har et fælles område med to virtuelle domænecontrollere hvert løb på separate fysiske vært for maskiner, der er både at windows server - 2012 r2 hyper-v. både vært maskiner er dell poweredge r320 rack servere med identiske hardware og købes på samme tid.,,, er der to problemer med ovenstående scenario, set fra et enkelt punkt i fiasko.første, både fysiske vært systemer har identiske hardware, dvs. samme forarbejdningsvirksomhed, oplagring og netværk hardware.dette kan pege på flere problemer.for eksempel, da både vært systemer blev købt på samme tid fra dell, harddiskdrev (eller faststof driver) for disse maskiner er sandsynligvis fra samme batch.hvis der var problemer i forbindelse med fremstillingen af dette parti, som kan øge risikoen for pludselige svigt af disketter fra det parti, så de kan forvente en øget risiko for disketter i begge jeres vært systemer ikke næsten samtidigt (selv om denne risiko er sikkert meget små), især da begge jeres vært systemer, der er identiske, oplagring, hardware, ville de derfor næsten helt sikkert har identiske oplagring chauffører monteret på dem.forestil dig et øjeblik, at sælgeren (dell i denne sag, men i virkeligheden er den samme risiko, må være til stede med en systemleverandør) sendte de chauffører, med en mikrofon i dem og på visse betingelser at insekt kan udløse korruption af data, der er lagret på disketter kørerne er forbundet med.hvad kan der ske i dette tilfælde, er, at oplagring på begge dine virtualization værter kan blive ødelagt på samme tid.og hvis dette sker, så den virtuelle maskiner (den virtuelle domænecontrollere) kører på disse værter sandsynligvis vil styrte ned, forlader deres infrastrukturer, uden nogen bearbejdning domænecontrollere.jeg har faktisk hørt det sker på en virksomhed, hvor de mistede næsten alle deres domænecontrollere og næsten nødt til at genopbygge deres område fra bunden.heldigvis havde et par domænecontrollere, der kørte på forskellige system hardware og oplagring på disse domænecontrollere ikke bliver ødelagt, så de var i stand til at redde område ved at få hardware sælger at forsyne dem med en ajourført chauffør, at faste oplagringsproblemet, hvorefter de genopbyggede alle de mislykkede domænecontrollere fra bunden.i dette særlige tilfælde domænecontrollere omfattede alle fysiske og ikke virtuelt, men det samme gælder for både fysiske eller virtuelle domænecontrollere.dette princip er:,,, du har hardware mangfoldigheden i deres domænecontrollere.,,, så hvis vi ændrede scenarie 3 således:,,, 3a. contoso ltd. har et fælles område med to virtuelle domænecontrollere hvert løb på separate fysiske vært for maskiner, der er både at windows server - 2012 r2 hyper-v. en af værtslandets maskiner er dell poweredge r320 rack servere, mens den anden er en hk proliant dl580 gen9 rack - server.,,, vil det forhindre, at sådanne problemer?- scenario 3a, overholde de krav, der er nødvendige for at undgå, at mangfoldigheden i et punkt af fiasko?ikke helt, for mens vi nu har forsikret hardware mangfoldighed for vores virtuelle domænecontrollere, vi har ikke forsikret software mangfoldighed for begge vores domænecontrollere har været virtualized i microsoft - hyper-v virtualization miljø.det synes måske at være overdrevet at nogle læsere, og microsoft objekt, som vi er paranoid, når de siger det, men for at skabe reel mangfoldighed - det er forskellige både hardware og software, - - kan du ændre det scenario, at noget lignende:,,, 3b. contoso ltd. har et fælles område med to virtuelle domænecontrollere de kører på separate fysiske vært maskiner.en af værtslandets maskiner er dell poweredge r320 rack servere løber windows server - 2012 r2 hyper-v. andre vært maskine er en hk proliant dl580 gen9 rack server løber vmware esxi 6.,,, begrundelsen for disse valg er at undgå et problem, hvor microsoft afgiver et opkald til windows server - 2012 r2, der skaber et problem for hyper-v server rolle.hvis dette skulle ske, og der har været nogle tidligere tilfælde, hvor microsoft har frigivet problematiske plastre, som har skabt store problemer for nogle kunder), og alle dine virtualization værter kører samme udgave af hyper-v så alle dine virtualized domænecontrollere kunne sættes ud af kommissionen, går du med store problemer på dine hænder.selvfølgelig, lad os håbe, at det aldrig sker, men hvad ovennævnte scenarier udgør virkelig er følgende spørgsmål som det forvaltning bør overveje nøje:,,, hvor meget risiko er du villig til at acceptere, at deres active directory infrastruktur vil dumpe?,,, da en større hardware /software mangfoldighed betyder også større forvaltning. vi har ganske enkelt ældgamle ulempe at overveje mellem håndterbarhed og pålidelighed og sikkerhed.og det er op til dig, hvordan du beslutter at afveje de to sider af denne ligning.vi vil fortsætte vores diskussion af virtuelle domænecontrollere i den næste artikel i denne serie.,, har stadig spørgsmål om active directory?,, hvis du har spørgsmål om område registeransvarlige hardware planlægning, det bedste sted at bede dem er active directory domain services forum om technet.hvis du ikke får hjælp, du har brug for det, kan du prøve at sende deres spørgsmål til [email protected], så vi kan offentliggøre det i spørge vores læsere, del af vores nyhedsbrev og se, om nogen af de næsten 100.000 det pro abonnenter på vores nyhedsbrev har nogen forslag om dit problem.