I forrige artikkel i denne serien undersøkte vi vanskelig tema for riktig dimensjonering av maskinvaren for domenekontrollere. Vi i utgangspunktet understreket to ting:
Systemet hardware av din fysiske domenekontrollere (eller av vertsmaskiner på hvilke dine virtualiserte domenekontrollere kjører) må ikke bare være tilstrekkelig til å håndtere den forventede arbeidsmengden, men også helt pålitelig og motstandsdyktig mot feil
Mens dimensjonering domenekontrollere før deres distribusjon er mulig, i realiteten det tar mye krefter for sannsynlig liten avkastning.; som et resultat best praktisk tilnærming for dimensjonering domenekontrollere er fortsatt å kaste mer enn nok behandling, minne, lagring og nettverksressurser på problemet og deretter legge til flere hvis noen er fortsatt nødvendig.
Listen kan være frustrerende selvfølgelig for bunnlinjen tenkning som prøver å presse mest mulig verdi ut av systemet anskaffelser utgifter. Styring av selskaper som tenker som dette pleier å be om Microsofts "offisielle" veiledning om hva system kravene de trenger gitt den type Active Directory-miljø de ønsker å distribuere. Men på mange måter ideen om autoritativ normative føringer fra Microsoft om bruk av deres produkter har egentlig aldri eksistert. Et godt eksempel på dette er den legendariske Windows 2000 Server Resource Kit som, når de beskriver de mange forskjellige alternativer organisasjoner kan bruke for å strukturere sin Active Directory-skogen (som enkelt domene, enkelt domene treet, flere domenenavn trær, flat OU struktur, hierarkisk OU struktur, geografisk organisasjonsenheter, teknisk funksjon organisasjonsenheter, forretningsfunksjon organisasjonsenheter, og så videre) bare presentert hvert alternativ sammen med noen mulige fordeler og ulemper, og deretter forlot det til kunden for å prøve å finne ut hvilket alternativ (er) ville fungere best for dem. Dessverre har mange av ulempene ved visse Active Directory strukturer (f.eks ha flere domenenavn trær eller ved hjelp av organisasjonsenheter basert på forretningsfunksjon) bare ble åpenbar år senere da kunder som gjennomførte disse alternativene oppdaget større ledelse kompleksiteten som resulterte fra å velge slike alternativer. Faktisk kan man argumentere for at Microsoft selv egentlig ikke forsto de beste (og verste) måter å distribuere Active Directory til godt etter Windows Server 2003 ble utgitt. Som et resultat jeg noen ganger tror kunder som bruker Active Directory har vært en del av en av de største "beta-testing" øvelser i historien av informasjonsteknologi, men da jeg husker Google og Apple og mange andre (selv Novell) i denne forbindelse. Og kanskje Ford Motor Company gjorde det samme type ting i det første tiåret av det 20. århundre, som minner meg om denne berømte teknologien sitat av Douglas Adams: "Teknologi er et ord som beskriver noe som doesn ’ t jobbe enda."
Men etter å ha sett på temaet domenekontroller dimensjonering, la oss backtrack til den første kulen nevnt ovenfor og undersøke en bestemt maskinvareproblem om domenekontrollere, nemlig: Kan (eller bør) man bruke en teamed nettverkskort (dvs. NIC teaming) på en domenekontroller? Dette er et godt spørsmål å ta opp som den fokuserer på en bestemt type system maskinvare og om det er bruk støttes og anbefales på domenekontrollere.
Support av NIC teaming på domenekontrollere
Mens Microsoft synes ikke å ha publisert en offisiell uttalelse om support teamed nettverkskort på domenekontrollere, kan man med rimelighet anta at NIC teaming kan bli støttet i et slikt scenario. Den enkle grunnen til å tro at dette er at fra perspektivet av nettverksinfrastruktur en domenekontroller er i utgangspunktet ikke noe mer enn en samling av TCP /IP-kontakter av både server og klient variasjon. Tenk på det på denne måten: katalogtjenesten funksjoner som utføres av en domenekontroller operere på et høyere nivå av stabelen enn nettverket kommunikasjonsfunksjoner oppstå. Spesielt Active Directory Directory Services (AD DS) utfører sitt arbeid på applikasjonslaget i Open Systems Interconnect (OSI) nettverksmodell mens TCP /IP-kommunikasjon over nettverket foregår på Nettverks- og transport lag og nedenfor. Slik drift av AD DS bør (som man kan håpe) være transparent med hensyn til selve naturen av det fysiske nettverkskortet på det fysiske domenet kontrolleren (eller på verten som den virtuelt domenekontroller er i gang).
For eksempel i denne TechNet Forum tråden datert 2008, Stuart Hudman som tidligere jobbet som støtteingeniør i Microsoft sier: "Teknisk sett, flernettverksdomenekontroller støttes Men det ’ s. anbefales ikke så mange problemer kan oppstå i et slikt miljø . " Stuart fortsetter deretter med å liste opp noen av de ulike typer problemer som kan oppstå når en domenekontroller er en fler, og han fortsetter med å gjenta at "det er støttet, men ikke best practice". Så her har vi en uttalelse av support fra noen som tidligere jobbet ved Microsofts kundestøttetjenester (PSS), og som derfor forstår minst tydelig hva ordet "support" betyr når den brukes til Microsoft-produkter.
Side note på flernettverksdomenekontrollere
Som en side note, selv om teamed nettverkskort støttes på domenekontrollere Dette betyr ikke ha flere un-teamed nettverkskort på en domenekontroller er også en konfigurasjon støttes. Scenarier som dette der en domenekontroller har mer enn ett NIC som ikke er en del av et team (en konfigurasjon kalles multihoming) har blitt sterkt frarådet av Microsoft siden Windows 2000 Server når denne KB-artikkelen ble publisert beskriver noen av de typer kommunikasjonssvikt som kan oppstå i et slikt scenario. Og selv om KB-artikkelen er oppgitt som kun gjelder Windows 2000 Server, flere eksperter, inkludert en Microsoft MVP innlegg i denne tråden på TechNet Forums staten at dette KB fortsatt gjelder domenekontrollere som kjører Windows Server 2012. En av disse ekspertene forklarer dette ved sier: "flernettverks DC-er er fortsatt ikke et alternativ fordi det er problemer da to NIC registrere to forskjellige IP i DNS &. som skaper konflikter med DNS navneløsing Riktignok finnes det midlertidige løsninger, men jeg ville ikke anbefalt å ha dual NIC minst på domenekontrolleren. " Den sakkyndige så henviser oss til dette blogginnlegget datert 2009 av Ace Fekay som er en Microsoft MVP som har teknisk kompetanse er i katalogtjenester og som forklarer noen av problemene som kan oppstå når du prøver å bruke multihoming på domenekontrollere som kjører Windows Server 2008.
Så mens multihoming anbefales ikke på domenekontrollere, er det mulig å gjennomføre det hvis du gjør det akkurat. Hvis du er interessert i trinnene involvert for å gjøre dette, kan du se dette blogginnlegget for noen uoffisielle veiledning om hvordan du kan gjøre det (og se denne KB-artikkelen også). Sørg også for å se denne artikkelen på Windows IT Pro.com som snakker om å deaktivere ubrukte nettverkskort på domenekontrollere for å sørge for at de ikke tilfeldigvis registrere IP-adresser tilordnet av Automatic Private IP Addressing (APIPA) til de ubrukte nettverkskort, da dette kan føre til i navneproblemer.
Råd om å bruke NIC teaming på domenekontrollere
Retur til blogginnlegget med MVP Ace Fekay referert ovenfor, er det verdt å merke seg at han også inkluderer flere ledd i hans blogginnlegg til artikler og diskusjoner som tyder på at NIC teaming anbefales ikke på domenekontrollere i minst visse situasjoner. Spesielt basert på diskusjonen i denne TechNet Forum tråden, har du sannsynligvis ikke bør prøve å bruke NIC teaming kombinert med balansering nettverksbelastning. Dette fremgår også av en gammel KB-artikkelen finner du her. Men fra å diskutere dette med et par personer inne Microsoft det virker som disse begrensninger ikke lenger gjelder som de daterer seg tilbake til Windows Server 2003 æra når Microsoft fortsatt hadde noen problemer med å bruke NIC teaming på domenekontrollere. Den grunnleggende årsaken til disse problemene var at på den tiden Windows Server ikke inkluderer egen NIC teaming løsning slik at kundene måtte stole på tredjeparts løsninger fra nettverksleverandørene. Siden Microsoft ikke kunne kontrollere disse tredjepartsløsninger og hvordan de kan påvirke domenekontrollere operasjoner, har Microsoft ikke liker å anbefale NIC teaming for domenekontrollere på den tiden. Selvfølgelig, har verden gått videre da og Microsoft tilbyr nå sin egen NIC teaming løsning som en ny funksjon kalt Windows NIC teaming først introdusert i Windows Server 2012.
En nyere innlegg av Ned Pyle datert 2011 på Ask The Directory Services Teamblogg svar på spørsmålet "Er NIC teaming anbefales på domenekontrollere?" ved å svare, "Stoler du din NIC leverandøren støtte?" Men det bør bli husket at Ned skrev sin post før Microsoft lanserte sin egen NIC teaming løsning i Windows Server 2012. Ned påpeker også vesentlig at en domenekontroller "sannsynligvis ikke trenger" NIC teaming fordi hvis hele nettverket båndbredde på domenet kontrollerens NIC blir konsumert deretter legge mer båndbredde ved teaming adapteren med andre adapteren er trolig ikke den beste løsningen. En bedre løsning ville rett og slett være å legge til en annen domenekontroller i domenet og /eller sted. I utgangspunktet hva dette rådet gjenspeiler det faktum at nettverkstilkobling er vanligvis ikke en flaskehals for domenekontrollere, er det vanligvis minne (for caching) eller prosessor (for håndtering av samtidige pålogginger) eller lagring (for lagring av transaksjonslogger) som er den vanlige flaskehalsen.
Ned påpeker også at hvis du bruker NIC teaming så det ville være best å gjennomføre i en failover konfigurasjon hvor den andre adapteren er inaktiv med mindre den første svikter i teamet. En god introduksjon til Windows NIC Teaming i Windows Server 2012 R2 kan finnes i min serie artikler med tittelen Windows NIC Teaming bruker Powershell her på WindowsNetworking.com. Men mens Windows NIC Teaming støttes for domenekontrollere som kjører Windows Server 2012 og senere, betyr det ikke at det er ikke uten problemer så det har fortsatt å stole på de underliggende driverne tredjepartsprogrammer for nettverkskortene på serveren.
Oppsummering av anbefalinger
For å oppsummere da:.
Windows NIC Teaming støttes på domenekontrollere som kjører Windows Server 2012 og senere
Støtte for tredjeparts NIC teaming løsninger på domenekontrollere bør diskuteres med ditt nettverk maskinvareleverandøren.
Hvis du velger å bruke NIC teaming på en domenekontroller, konfigurere den i failover-modus så annenhånds NIC kommer online hvis den primære NIC mislykkes.
Hvis koblingen nettverket til domenekontrolleren er mettet, legge til en annen domenekontroller til ditt domene /nettsted i stedet for å konfigurere NIC teaming i lastbalansering modus.
Siste ord
Visste du at det er mulig å ha for mye minne i en domenekontroller? Jeg faktisk hørt om en organisasjon som hadde mer enn 100.000 brukere, og ønsket å kjøre AD DS serverrollen på kraftige serversystemer som har 512 GB RAM i dem. Men dette ville være en svært dårlig idé faktisk, med tanke på hva det ville bety i form av siden filstørrelse, tid for serveren å starte på nytt, og tiden det ville ta for en full minnedump for å fullføre bør operativsystemet krasjet på serveren .
Likevel fikk spørsmål om Active Directory?
Hvis du har spørsmål om domenekontroller maskinvare planlegging, det beste stedet å spørre dem er Active Directory Domain Services forum på TechNet. Hvis du ikke får hjelpen du trenger det, kan du prøve å sende spørsmålet ditt til [email protected] slik at vi kan publisere den i English våre lesere delen av vårt nyhetsbrev og se om noen av de nesten 100 000 IT pro abonnenter av vårt nyhetsbrev har noen forslag angående problemet. Anmeldelser