So stärken Sie Ihr virtualisiertes Active Directory-Design

Active Directory ist viel mehr als eine einfache Serverrolle. Es ist die Single Sign-On-Quelle für die meisten, wenn nicht alle Anwendungen und Dienste Ihres Rechenzentrums. Diese Zugriffskontrolle umfasst Workstation-Anmeldungen und erstreckt sich auf Clouds und Cloud-Dienste.

Da AD ein so wichtiger Bestandteil vieler Unternehmen ist, ist es wichtig, dass es immer verfügbar ist und über die Ausfallsicherheit und Langlebigkeit verfügt, die den Geschäftsanforderungen entsprechen. Microsoft hatte genug Voraussicht, um AD als verteilte Plattform einzurichten, die weiterhin funktionieren kann – ohne viel oder in einigen Fällen ohne Unterbrechung der Dienste -, selbst wenn Teile des Systems offline gingen. Dies war hilfreich, wenn AD-Knoten noch physische Server waren, die häufig auf mehrere Racks oder Rechenzentren verteilt waren, um Ausfallzeiten zu vermeiden. Nun stellt sich die Frage, wie Active Directory-Design richtig virtualisiert werden kann.

Besiege nicht die nativen AD-verteilten Fähigkeiten

Active Directory ist eine verteilte Plattform. Durch die Virtualisierung wird die native verteilte Funktionalität der Software beeinträchtigt. AD-Knoten können auf verschiedenen Hosts platziert werden, und die Failover-Software startet VMs neu, wenn ein Host abstürzt. Was ist jedoch, wenn Ihr Primärspeicher ausfällt? Es ist ein Szenario, das Sie nicht rabattieren sollten.
Wenn Sie den Active Directory-Entwurfsprozess für eine Virtualisierungsplattform durchführen, müssen Sie über einen Hostfehler hinausgehen und allgemeine Infrastrukturausfälle untersuchen, die kritische Systeme ausschalten können. Einer der Vorteile separater physischer Server war die Ausfallsicherheit der Anordnung. Wir möchten virtuelle Server zwar nicht aufgeben, müssen jedoch die damit verbundenen Grenzen und Bedenken verstehen und zusätzliche Bereiche wie Verwaltungscluster berücksichtigen.
Verwaltungscluster sind häufig Plattformen niedrigerer Ebene – normalerweise noch virtualisiert -, die nur Verwaltungsserver, -anwendungen und -infrastrukturen enthalten. Hier möchten Sie einige AD-Knoten platzieren, damit sie sich außerhalb der von ihnen verwalteten Produktionsumgebung befinden. Die Herausforderung bei einem virtualisierten Verwaltungscluster besteht darin, dass er nicht am selben physischen Speicherort wie die Produktion platziert werden kann. dies macht den Zweck der Aufgabentrennung zunichte. Sie können kostengünstigere Speicherplattformen wie ein virtuelles Speicherbereichsnetzwerk für gemeinsam genutzten Speicher oder sogar lokalen Speicher verwenden.
Denken Sie daran, dass dies eine Infrastruktur und keine Kernproduktion ist. Daher sollte IOPS kein so großes Problem darstellen, da das Ziel die Ausfallsicherheit und nicht die Leistung ist. Dies bedeutet, dass lokale Laufwerke und RAID-Gruppen in der Lage sein sollten, die erforderlichen IOPS bereitzustellen.

Wie man AD wie am Schnürchen laufen lässt

Eines der Probleme mit AD-Controllern in einer virtualisierten Umgebung ist die Zeitverschiebung.
Alle Computer verfügen über Uhren, und eine ordnungsgemäße Zeitmessung ist sowohl für die Leistung als auch für die Sicherheit des gesamten Netzwerks von entscheidender Bedeutung. Die meisten Server und Workstations beziehen ihre Zeit von AD, wodurch alles synchron bleibt und Kerberos-Sicherheitsanmeldefehler vermieden werden.
Diese AD-Server beziehen ihre Zeit normalerweise aus einer Zeitquelle, wenn sie physisch sind, oder von den Hosts, wenn sie von ihnen virtualisiert werden. Die AD-Server würden dann die Zeit basierend auf den CPU-Zyklen mit der internen Uhr des Computers synchronisieren.
Wenn Sie einen Server virtualisieren, verfügt er nicht mehr über eine festgelegte Anzahl von CPU-Zyklen, auf denen seine Zeit basiert. Das bedeutet, dass die Zeit driften kann, bis eine externe Zeitprüfung durchgeführt wird, um sich selbst zurückzusetzen. Diese Zeitüberprüfung kann jedoch auch deaktiviert sein, da Sie möglicherweise nicht in der Lage sind, den Zeitablauf bis zur nächsten Überprüfung zu bestimmen, was das Problem verschärft. Zeitdrift kann in einer unangenehmen Schleife stecken bleiben, da die Virtualisierungshosts ihre Zeit häufig von Active Directory beziehen.
Ihre Umgebung benötigt eine externe Zeitquelle, die nicht von der Virtualisierung abhängig ist, um die Dinge auf dem Boden zu halten. Während Internet-Zeitquellen verlockend sind, ist es möglicherweise nicht ideal, wenn die Infrastruktur nach Zeitprüfungen greift. Ein Core-Switch oder ein anderes wichtiges Netzwerkgerät kann eine zuverlässige Zeitquelle bieten, die aufgrund ihrer Hardware-Natur wahrscheinlich nicht von Drift betroffen ist. Sie können diese Zeitquelle dann als Synchronisierungsquelle sowohl für die Virtualisierungshosts als auch für AD verwenden, sodass sich alle Systeme zur selben Zeit befinden, die von derselben Quelle stammt.
Einige Personen bestehen aus diesem Grund auf einem einzelnen physischen Server in einem virtualisierten Rechenzentrum. Das ist eine Option, die aber normalerweise nicht benötigt wird. Virtualisierung ist beim Active Directory-Entwurf nicht zu vermeiden, muss jedoch mit Bedacht und Planung durchgeführt werden, um sicherzustellen, dass die Infrastruktur die AD-Konfiguration unterstützen kann. Verwaltungscluster sind der Schlüssel zur Trennung von AD-Knoten und -Rollen.
Dies bedeutet nicht, dass Hochverfügbarkeitsregeln (HA) für Hyper-V- oder VMware-Umgebungen nicht erforderlich sind. Sowohl Produktions- als auch Verwaltungsumgebungen sollten HA-Regeln haben, um zu verhindern, dass AD-Server auf denselben Hosts ausgeführt werden.
Es sollten Regeln vorhanden sein, um sicherzustellen, dass diese Server zuerst neu gestartet werden und Ressourcen für den ordnungsgemäßen Betrieb reserviert sind. Intelligente HA-Regeln sind leicht zu übersehen, da weitere AD-Controller hinzugefügt werden und die Regelkonfiguration vergessen wird.
Ziel ist es nicht, Ausfälle zu verhindern – das ist nicht möglich. Es ist genug Replikate und Rollen von AD zu haben an den richtigen Stellen Benutzer werden es also nicht bemerken. Sie könnten ein wenig hinter die Kulissen kriechen, wenn eine Störung auftritt, aber das gehört zum Job. Der Schlüssel besteht darin, die Kunden in Bewegung zu halten, ohne dass sie etwas über die im Hintergrund auftretenden Probleme wissen.

Similar Posts

Leave a Reply