AD+DNS auf Hyper-V Host

Hallo,

nachdem nun entschieden wurde, alle Blades mit Windows 2008R2 und der Rolle Hyper-V zu installieren, habe ich mich um das Thema AD+DNS gekümmert.

Gibt es Probleme, wenn ich diese Rollen auf dem Host System zusätzlich zur Hyper-V Rolle ausführe?

Ich müsste sonst ein komplettes Blade für AD+DNS reservieren, da ich keine Pizzabox mehr bekomme und das scheint mir dann etwas oversized.

Das immer wieder empfohlen wird, Hyper-V als einzige Rolle auf dem Host auszuführen habe ich gelsen, nur keine wirkliche Begründung, im Gegensatz zu ADC als VM, da scheint es ja wirklich zu Problemen kommen zu können.

LG und Danke schonmal,

greyman

Hi du,

zu diesem Thema hat Nils eine sehr guten Beitrag geschreiben:

faq-o-matic.net Warum der Hyper-V-Host keine (!) weiteren Dienste ausfhren sollte

- Domänencontroller deaktivieren die "disk write caching"-Funktion auf allen Volumen mit AD-Daten, um die AD-Datenbank zu schützen. Dies beeinflusst wiederum die Leistung des Hyper-V-Host negativ.

Things to consider when you host Active Directory domain controllers in virtual hosting environments

- Das Failover-Clustering von Domänencontrollern ist nicht supported (aus einleuchenden Gründen -> Replikation, verteilte Datenbank). Du kannst somit kein Failover-Clustering von Hyper-V-Hosts machen, die gleichzeitig Domänencontroller sind.

Windows 2000, Windows Server 2003, and Windows Server 2008 cluster nodes as domain controllers

OK, danke.

Punkt 1 stört mich nicht gross, da die VHD auf dem SAN liegen sollen.

Punkt 2 schein ein k.o. Kriterium zu sein.

Schönen dank,

greyman

Moin,

um es kurz zu machen: AD in der Parent Partition (= "auf dem Host") ist ein No-go. AD in einer VM ist völlig okay, wenn man es richtig macht.

faq-o-matic.net Warum der Hyper-V-Host keine (!) weiteren Dienste ausfhren sollte

faq-o-matic.net IIR Admin Tech Talk 2010: Folien und Skripts meiner AD-Sessions

Gruß, Nils

Punkt 1 stört mich nicht gross, da die VHD auf dem SAN liegen sollen.

Die Virtualisierungsumgebung wird vom Hyper-V-Host zur Verfügung gestellt, nicht vom SAN. Insofern ist auch dieser Punkt ein K.O.-Kriterium.

Ich lese das so, das nur Volumes mit AD Daten von dem geändertem Caching-Verhalten beeinflusst werden.

Da die VHD aber auf dem SAN liegen, während die AD Daten auf lokalen Platten liegen würden, währe das geänderte Caching hier weniger ausschlaggebend.

Ich denke, ich werde tatsächlich ein Blade aus dem Hyper-V Cluster rauslassen und das zum DC und SCVMM Server machen.

Zwar schade, aber wenn es nicht anders geht...

Schönen Sonntag noch.

Moin,

Zwar schade, aber wenn es nicht anders geht...

warum auch immer du zu dieser Einsicht gelangst ... aber viel Erfolg.

Gruß, Nils

Hallo Community,

ich habe leider aus Unwissenheit das hier bechriebene NO-GO durchgeführt und auf meinem HYPER-V Host das AD und den DNS und DHCP laufen.

Natürlich kam es auch gleich zu "dubiosen" DNS und Netzwerkproblemen.

OK, soweit so gut, nun muss ich in den sauren Apfel beissen, und einen DC in einer neuen VM aufsetzen (kein Problem, da ich noch eine Lizenz frei habe!)

Nun aber vorher noch zwei Fragen:

1. Was muss ich Besonderes beachten, wenn ich den DC in einer VM laufen lasse?

2. Ist es möglich, die Benutzer und Grupen aus dem bestehenden DC in den neuen "umzuziehen", ohne dass ich die alle nochmal neu anlegen muss?

Damit ich nicht nochmal so auf die Schn... falle, bin ich für jede Hilfe dankbar.

Gruß magriebe

Moin,

zu dem "Do and Don't" bei virtuellen DCs siehe meine oben verlinkten Folien.

Den VM-DC könntest du der bestehenden Domäne hinzufügen, ihn replizieren lassen und dann auf dem Host die DC-Funktion per dcpromo entfernen.

Allerdings ohne Gewähr, weil ich sowas auf einem Hyper-V-Host glücklicherweise noch nie machen musste. Mach vorher ein Backup all deiner VMs. Und idealerweise fährst du die VMs herunter, bevor du auf dem Host das dcpromo machst.

Gruß, Nils

Das Failover-Clustering von Domänencontrollern ist nicht supported (aus einleuchenden Gründen -> Replikation, verteilte Datenbank). Du kannst somit kein Failover-Clustering von Hyper-V-Hosts machen, die gleichzeitig Domänencontroller sind.

Windows 2000, Windows Server 2003, and Windows Server 2008 cluster nodes as domain controllers

Hi

Wie Nils mehrfach erwähnt hatte, ein Hyper-V Host bleibt ein Hyper-V Host. Da kommt nichts anderes dazu...

Es gibt allerdings Situationen (oftmals in Aussenstellen), wo auch weitere Applikation z.B. Backup Software in die Partent Partition installiert wird. Daher, gehen tut es...

Bezüglich dem Domain Controller auf einem Failover Cluster Node (WS2008 / 2008 R2). Dies würde gehen und ist support - Bei TechNet wird dies beschrieben:

all clustered servers should have the same domain role (either member server or domain controller). The recommended role is member server.

Aber nochmals DIES IST NICHT EMPFOHLEN! Wenn es dir schon um Verfügbarkeit geht (sonst würdest du ja keinen Hyper-V Cluster einsetzen), dann mach es richtig und nimm einen dedizierten, physikalischen DC!

Gruss

Michel

Bezüglich dem Domain Controller auf einem Failover Cluster Node (WS2008 / 2008 R2). Dies würde gehen und ist support - Bei TechNet wird dies beschrieben.

"Eine fehlertolerante Clusterung von Domänencontrollern ist nicht möglich. Sie können Computer zwar zu Domänencontrollern heraufstufen und dann den Clusterdienst auf diesen Computern installieren, es gibt jedoch keine Möglichkeit, Active Directory auf einem der verwalteten Laufwerke des Clusters zu speichern. Es gibt kein "Failover" für Active Directory."

Aus dem von mir genannten Papier zwecks Präzisierung. Meine von TheDonMiguel zitierte urprüngliche Formulierung "Du kannst somit kein Failover-Clustering von Hyper-V-Hosts machen, die gleichzeitig Domänencontroller sind" ist missverständlich. Korrekt muss sie lauten: "Du kannst kein Failover-Clustering von Active Directory auf Hyper-V-Hosts machen, die Teil eines Hyper-V-Clusters und gleichzeitig Domänencontroller sind."

Einleitend steht in dem von mir genannten Papier: "Die Informationen in diesem Artikel beziehen sich auf eine Situation, der Sie sich bei den meisten IT-Architekturen nur sehr selten stellen müssen." Auch dies sollte als Hinweis verstanden werden, dass man zwar technisch Domänencontroller zu Knoten einer Cluster-Umgebung machen kann, aber das bitte, bitte nicht wirklich tun soll. Die eine zusätzliche Pizza-Box sollte in einer Umgebung, die sich das Clustern von Hyper-V leisten kann, auch noch möglich sein.

N´abend,

was ich nun auch sagen kann: Wenn man eine neue VM mit einem weiteren DC erstellt und dann zur bestehenden Domain beitreten möchte, bricht der Assistent ab mit der MEldung, das er keinen DC im Netz fenden kann.

Also, muss ich wohl einmal alles neu machen :confused: Es ist halt wie immer: Wer lesen kann, ist klar im Vorteil. Diesmal eben auch ich.

N´abend,

 

was ich nun auch sagen kann: Wenn man eine neue VM mit einem weiteren DC erstellt und dann zur bestehenden Domain beitreten möchte, bricht der Assistent ab mit der MEldung, das er keinen DC im Netz fenden kann.

 

Also, muss ich wohl einmal alles neu machen :confused: Es ist halt wie immer: Wer lesen kann, ist klar im Vorteil. Diesmal eben auch ich.

Hi,

sicher? Das >sollte< gehen. Wie bist du genau vorgegangen? Du solltest folgende Schritte druchführen:

1. neue VM erstellen

2. neue VM der Domain beitreten lassen (richtiger DNS Server einstellen, sonst kommt die Fehlermeldung von oben)

3. dcpromo ausführen und das neue System damit zum DC machen

4. etwas Zeit vergehen lassen, damit alles repliziert wird

5. Wichtig, ALLE FSMO Rollen vom alten DC auf den neuen DC übertragen (wenn du nicht weißt wie das geht - such hier im Board, das Problem hatten schon viele)

6. Wieder etwas Zeit vergehen lassen

7. DNS auf dem neuen Server aktivieren (wenn AD integrated, dann ist das einfach...)

8. DHCP Server so anpassen, dass er auf den neuen DC als DNS Server zeigt.

9. Am besten einen Tag darüber schlafen

10. BACKUP ALLER VM's erstellen

11. dcpromo auf dem Hyper-V Host ausführen und im die DC Rolle nehmen.

12. Rebooten

13. Hier Posten ob alles funktioniert hat

... wenn du zu einem Punkt hier fragen hast, dann frag besser vorher - das könnte sonst üble Auswirkungen haben.

LG

Hi,

 

sicher? Das >sollte< gehen. Wie bist du genau vorgegangen? Du solltest folgende Schritte druchführen:

 

1. neue VM erstellen

[...]

13. Hier Posten ob alles funktioniert hat

 

... wenn du zu einem Punkt hier fragen hast, dann frag besser vorher - das könnte sonst üble Auswirkungen haben.

 

LG

Ob es wohl üble Auswirkungen hatte?

Lebst Du noch?

Erfahrungen? :D