多年來，VMware和微軟這兩家公司都一直在提供虛擬化服務(wù)。VMware在這個市場至今已摸爬滾打了十多年，而微軟進入服務(wù)器虛擬化領(lǐng)域的時間比較短。

IT環(huán)境通常由許多物理IT部件組成，其中包括托管運行活動目錄（Active Directory）服務(wù)的服務(wù)器。活動目錄域控制器是順暢運行IT操作環(huán)境所需要的關(guān)鍵服務(wù)器。作為虛擬化路線圖的一部分，企業(yè)必須確保每一種物理IT資源都正在被虛擬化，以便降低成本。這也包括對物理域控制器進行虛擬化。

活動目錄域控制器不僅有助于IT操作環(huán)境的順暢運行，它們還是提供驗證和授權(quán)服務(wù)的一個關(guān)鍵組成部分。在如今的生產(chǎn)環(huán)境中，幾乎所有的網(wǎng)絡(luò)應(yīng)用程序都使用活動目錄作為驗證提供方。對這些關(guān)鍵服務(wù)進行虛擬化之前，我們必須考慮許多方面。

這時候，通用的“最佳實踐”指南可以派得上用場，解釋了若干最佳實踐，明確你對VMware或Hyper-V上的活動目錄域控制器進行虛擬化時，應(yīng)該做哪些事、不該做哪些事：

禁用時間同步功能

活動目錄域控制器是在Windows時間服務(wù)的幫助下，處理時間同步的一種內(nèi)置機制。虛擬化平臺還為虛擬機提供了時間服務(wù)，不過建議禁用每一個虛擬域控制器上的時間同步功能，讓活動目錄可以管理虛擬域控制器之間的時間同步。

不要拍取快照

快照功能是為開發(fā)和測試目的而設(shè)計的。拍取快照是為了可以恢復(fù)到之前的配置狀態(tài)，這是快照過程的一部分。快照要求在創(chuàng)建快照文件之前，讓虛擬機處于已保存狀態(tài)。

1. 第一步，作為快照過程的一部分，讓虛擬域控制器處于已保存狀態(tài)，這確保了停機時間最短；如果差異磁盤文件變得太大，這會帶來顯著影響。

2. 其次，我們從來不想恢復(fù)到虛擬域控制器的之前配置。如果你這么做，這可能會導(dǎo)致該域控制器上的活動目錄數(shù)據(jù)庫的副本不一致。

注意：通過在Windows Server 2012中引入一項新的實時快照合并（Live Snapshot Merge）功能，微軟的Hyper-V解決了快照引起的停機問題。

禁用域控制器上的磁盤緩存功能

至于“禁用虛擬域控制器中所有磁盤驅(qū)動器的策略標簽上的磁盤寫緩存功能”這個設(shè)置，建議為使用可擴展引擎存儲（ESE）技術(shù)的所有服務(wù)設(shè)置該選項，以免任何數(shù)據(jù)丟失。

禁用磁盤緩存可以確保數(shù)據(jù)實際上被寫入到磁盤上，而不是將數(shù)據(jù)保存在非易失性內(nèi)存中；而出現(xiàn)電源故障，或者主機服務(wù)器崩潰時，非易失性內(nèi)存中的數(shù)據(jù)可能會丟失。

不要暫停

不建議暫停虛擬域控制器，如果虛擬域控制器暫停時間較長，超過活動目錄的邏輯刪除時間范圍（Tombstone timeframe），就更不要暫停。暫停可能會導(dǎo)致虛擬域控制器不同步，還會給活動目錄環(huán)境帶來延遲對象（lingering object）。

當被刪除對象在為活動目錄的邏輯刪除時間范圍設(shè)置的時間段（一般是80天或160天，具體取決于所使用的操作系統(tǒng)）內(nèi)沒有被復(fù)制到所有活動目錄域控制器時，就會出現(xiàn)延遲對象。

總是為虛擬域控制器配置固定磁盤或直通磁盤

建議配置固定磁盤或直通磁盤類型，以便用于存儲域控制器的數(shù)據(jù)庫（NTDS.DIT）和日志文件，那樣域控制器就能更高效地運行。如果采用其他類型的一種磁盤（比如差異磁盤虛擬硬盤），將降低虛擬域控制器的性能。

注意：直通磁盤這種磁盤是微軟Hyper-V的一項特性，它與VMware虛擬化平臺中的Raw磁盤可以相提并論。

不要克隆域控制器虛擬機

大多數(shù)虛擬化技術(shù)供應(yīng)商都提供了克隆虛擬機這個選項，以便快速部署。不過，我們強烈建議避免克隆安裝的域控制器系統(tǒng)，除非你在使用Windows Server 2012，它提供了自己的克隆功能。不然，如果你非要進行克隆，我們會建議使用SysPrep.exe工具，該工具通過刪除重復(fù)的安全標識符（SID），讓操作系統(tǒng)作好了準備。

千萬不要使用虛擬化產(chǎn)品的導(dǎo)出功能

在導(dǎo)出過程可以導(dǎo)出相關(guān)文件之前，導(dǎo)出功能會讓域控制器處于已保存狀態(tài)。然后恢復(fù)運行虛擬機，以提供服務(wù)。

由于顯而易見的原因，我們強烈建議：除非絕對有必要，否則不要暫停域控制器的服務(wù)。暫停這些服務(wù)可能會導(dǎo)致使用活動目錄作為驗證提供方的網(wǎng)絡(luò)應(yīng)用程序出現(xiàn)停機。

禁用或配置自動開啟操作

虛擬機可以配置成萬一虛擬化主機出現(xiàn)任何故障，虛擬機能自動開啟。微軟Hyper-V和VMware都提供了這個功能。

自動開啟操作功能避免了人工干預(yù)，但它對活動目錄域控制器來說不是一個好的選項/功能。所有虛擬域控制器不得配置成萬一虛擬化主機出現(xiàn)故障，可以自動重啟。

采用這個選項會導(dǎo)致域控制器啟動出現(xiàn)延遲。比如說，子域控制器在根域控制器啟動運行之前根本不應(yīng)該開啟。因此，建議禁用該選項，或者為屬于子域一部分的虛擬機域控制器的初始啟動設(shè)置延遲。

禁用虛擬域控制器的故障恢復(fù)策略

活動目錄是一種多主機復(fù)制技術(shù)。在活動目錄復(fù)制技術(shù)的幫助下，所有域控制器保留著活動目錄數(shù)據(jù)庫的一致副本。默認情況下，活動目錄域控制器自帶容錯和負載平衡機制，提供了驗證和授權(quán)服務(wù)。

所以，如果虛擬域控制器在集群環(huán)境中運行，最佳實踐是，禁用所有的故障恢復(fù)策略，阻止虛擬域控制器自動跨集群移動。

在物理機器上至少讓一個DNS和域控制器運行

認為這是一條最佳實踐的幾個原因如下：

1. 活動目錄與DNS是緊密整合的兩大組件。為生產(chǎn)環(huán)境中運行的網(wǎng)絡(luò)應(yīng)用程序解析域名，勢必需要DNS。DNS可以托管運行在服務(wù)器上，而服務(wù)器上有沒有安裝活動目錄服務(wù)則沒有關(guān)系。如果DNS服務(wù)托管在域控制器上，那么建議讓至少一臺DNS服務(wù)器在物理環(huán)境中運行，避免針對在虛擬化基礎(chǔ)設(shè)施外面運行的網(wǎng)絡(luò)應(yīng)用程序提供的域名解析服務(wù)出現(xiàn)任何中斷。

2. 牢記一點：微軟故障切換集群（Failover Clustering）服務(wù)要求使用集中式活動目錄域控制器，用于驗證目的。如果你對所有域控制器進行虛擬化，故障切換集群可能無法正常工作，或者無法提供故障切換服務(wù)。因此，建議在物理環(huán)境中讓至少一個域控制器運行，那樣故障切換集群可以如期正常工作。

3. 虛擬化主機還要求使用DNS服務(wù)器服務(wù)。建議在虛擬化主機上配置DNS設(shè)置，以便使用外部DNS服務(wù)器，那樣萬一所有虛擬域控制器都停止運行，域名解析仍能正常進行。

在多個主機上托管虛擬域控制器

明白這一點很重要：虛擬化主機（虛擬域控制器在虛擬化主機上面運行）也可能出現(xiàn)軟硬件故障。虛擬化主機停止運行后，應(yīng)該不會導(dǎo)致所有虛擬活動目錄域控制器停止運行。

一條最佳實踐就是，如果可能的話，將安裝的虛擬域控制器分散在多個虛擬化主機上，以避免服務(wù)出現(xiàn)任何中斷。

結(jié)論

我們在本文中了解了在虛擬化平臺上運行的活動目錄域控制器方面的若干通用的最佳實踐。我們還明白了虛擬域控制器方面應(yīng)該做什么事、不該做什么事。