delxu原創,**請註明出處 或
域控制器(domain controller)的虛擬化早已經不是什麼新鮮事了。這是因為域控制器(後面簡稱dc)本身對資源的要求不是很高,從伺服器資源角度來考慮很適合虛擬化。但是,傳統dc的虛擬化是存在一定的風險的,這主要來自於一些虛擬化的功能例如虛擬機器轉殖(clone)或者快照(snapshot)。如果你曾經對dc虛擬機器拍過快照,而又不小心進行了快照回滾(snapshot rollback),那恭喜你了,很可能你將不得不把這台dc降級為普通伺服器,再重新dcpromo來恢復其功能。
為啥dc不能進行快照回滾呢?
因為快照回滾會導致叫做usn rollback的問題。usn就是update sequence number,是ad用來標註ad變更的乙個號,每次ad有資訊變更時,這個號都會變大。dc之間進行同步的時候,就靠比較這個usn來發現是否有變更,是否需要同步,誰同步給誰。
dc還維護乙個rid pool。rid(relative id)在domain裡面必須是唯一的。rid pool保證了不管新的物件是在哪個dc上建立的,rid都是唯一的。
當發生usn回滾之後,就有可能出現rid重複使用。而且新的物件建立的時候,因為usn回滾過,這個usn可能比較小,其他dc會認為這個建立動作已經被複製過了而拒絕複製,導致dc之間的ad資料庫不一致和複製失敗。解決的方法不是沒有,但是包括很多手動操作,而且基本上是要demote掉這台dc重新promo才行。
新的windows server 2012解決了這個問題。它是第乙個「虛擬化感知」的windows server版本。微軟在windows server 2012中引入了乙個新的標誌符(identifier)——vm-generationid,這個標誌符僅用於虛擬機器dc,但是需要hypervisor支援。
獲得支援的hypervisor包括hyper-v 2012,vsphere 5.0 u2,vsphere 5.1或更新版本。
vm-generationid的值作為計算機物件的一部分儲存在ad中,同時也儲存在虛擬機器配置檔案中。
當出現dc快照回滾或者dc轉殖的時候,這台dc開機時會對比虛擬機器配置檔案中的vm-generartionid和ad中的值,如果不一樣,就認定此dc是由轉殖或者快照回滾產生的,這時候,就會發起一系列的任務,包括重置invocationid、清空rid pool來防止usn rollback錯誤的出現。並且在清空後發起一次ad資料庫的同步,將乙個ad資料庫的權威版本從其他dc複製回來。
delxu原創,**請註明出處
或vm-generationid是由乙個叫做microsoft hyper-v generation counter的驅動程式來管理和跟蹤的。雖然這個驅動程式名字裡面含有hyper-v,它並非只能用於hyper-v,受支援的vsphere版本也是用這個驅動程式的。如果你的系統裡面查不到這個驅動程式,那麼很有可能就是因為你的hypervisor不支援。
要檢視microsoft hyper-v generation counter,請開啟device manager,從選單中選擇view,然後選擇show hidden devices,然後就可以在右窗格中看見了。(如圖所示)
關於ad域控制器的虛擬化的注意事項還有很多,且聽下回分解。
delxu原創,**請註明出處
或
AD域控制器時間同步
域控制器時間同步 現象 域控制器和域內的計算機時間與internet上的時間不同步,老慢幾分鐘。解決辦法 設定ntp伺服器,和外網時間同步。下面是最近操作的時間同步方法 修改主域控制器上同步internet時間伺服器 主域控制器修改 執行gpedit.msc 開啟本地策略組,路徑為 計算機配置 管理...
域控制器DC
windows server 2012 r2 上 注意事項 一般來說,dc和dns是放在一起的 首選dns伺服器為dc的ip if dns is in dc 但不是127.0.0.1 dns和dc分離安裝的兩種方法 伺服器管理器 工具 ad使用者和計算機 右鍵網域名稱 新建組織單位 ou 右鍵相應的...
域控制器 AD簡單理論及配置步驟
1.域 domain 是計算機網路的一種形式,其中所有使用者賬戶,計算機,印表機和其他安全主體都在位於稱為域控制器的乙個或多個 計算機集群上的 資料庫中註冊。windows域的概念與工作組的概念形成對比,在該工作組中,每台計算機都維護自己的安全主體資料庫。2.內網環境 1 工作組 預設模式,人人平等...