Windows AD

Domain Controller als virtuelle Maschine

Virtuelle Maschinen (VM) sind eine tolle Sache und aus der heutigen IT-Welt kaum noch wegzudenken. Ihr besonderer Reiz liegt darin, dass sie sich wie echte Server verhalten, relativ schnell angelegt sind und keine extra Hardware für einen neuen virtuellen Computer angeschafft werden muss. Im Gegenteil die Auslastung bestehender Hardware kann deutlich gesteigert werden, wodurch sich i.d.R. die Betriebskosten reduzieren lassen.

Dies gilt alles auch für die Verwendung von VMs als Domain Controller (DC). Jedoch gibt es hier ein paar Dinge zu beachten.

  1. Bei dem Bestreben die vorhandene Hardware bestmöglich auszulasten, sollte man immer darauf achten, dass man keinen Single-Point-Of-Failure (SPOF) schafft. So können zwei DCs (das ist die empfohlene Mindestanzahl an DCs im Active Directory) auf dem selben Host, das “Weiterleben” der Domain beim Ausfall des Host nicht sicherstellen.
    1. DCs sollten immer auf unabhängigen System installiert sein, d.h. als VM auf zwei separaten Hosts.
    2. Bildet man aus mehreren Hosts einen Cluster, so ist darauf zu achten, dass die Migrationsmechanismen der Virtualisierungssoftware die DCs immer auf verschiedene Hosts verteilen, sodass sich die DCs nicht irgendwann auf einem Host befinden.
  2. VMs teilen sich die Hardware gemeinsam mit anderen VMs und bekommen normalerweise nur die Resourcen, die sie benötigen, sei es RAM, LAN oder CPU. Besonders letzteres ist bei einem DC eine teilweise sehr heikle Geschichte, da ein DC mit seinen Berechtigungs- und Authentifizierungsstrukturen sowie Verschlüsselungsmechanismen sehr stark auf eine verlässliche und präzise Zeitquelle angewiesen ist. Da sich die Zeit aber über CPU-Zyklen definiert kann diese von der echten Zeit abweichen, wenn der DC nicht im ausreichenden Maße CPU-Zeit auf dem Hostsystem bekommt.
    1. Hier lässt man am besten die Systemzeit der DC-VM mit dem Host abgleichen (das lässt sich meist in der Virtualisierungssoftware einstellen).
    2. Auf eine zusätzliche Synchronisation mit einem Netzzeitgeber sollte man verzichten oder sich zumindest für einen Weg der Synchronisation entscheiden. Ausschlaggebend ist hierbei weniger die Quelle als der Mechanismus.
    3. Der Host sollte hingegen einen verlässlichen Netzzeitgeber abfragen. Dieser sollte jedoch nicht der DC sein!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert