Domänen-Controller virtualisieren mit VMware vSphere

    Active Directory ReplikationObwohl die Workload-Charakteristik von DCs günstig für die Virtualisierung ist, sprachen lange einige Risiken dagegen. Die meisten wurden mit Windows Server 2012 und neuen Hypervisor-Versionen entschärft, so dass der Ablösung dedizierter physikalischer Server nichts mehr im Wege stünde. Allerdings muss dabei weiterhin auf einige AD-Eigenheiten Rücksicht genommen werden. Ein aktuelles Whitepaper von VMware (PDF) beschreibt, worauf man unter vSphere achten soll.

    Ein wesentlicher Beweggrund für die Server-Virtualisierung war von Anfang an, die geringe Auslastung der Hardware zu erhöhen, indem man Workloads auf weniger Maschinen konsolidiert. Unter diesem Gesichtspunkt ist die Migration von Domänen-Controller in VMs besonders interessant, weil selbst stark beanspruchte DCs nur eine moderate Last erzeugen. Der Grund dafür ist, dass die überwiegende Zahl der Zugriffe nur lesend erfolgt und die AD-Datenbank größtenteils im RAM vorgehalten wird.

    Mehr kleinere DCs durch Virtualisierung

    Die Virtualisierung von DCs kann daher die AD-Infrastruktur stärker horizontal skalieren, indem eine größere Zahl von DCs in relativ klein dimensionierten VMs ausgeführt wird. In der physikalischen Welt dagegen dominiert aus Kostengründen eher eine kleinere Zahl überdimensionierter Server für das AD.

    Neben solchen AD-spezifischen Argumenten arbeitet der generelle Trend zur Virtualisierung von Anwendungen dafür, auch DCs in VMs zu verlagern. Wenn die meisten Applikationen inklusive jener, die kritisch für das Unternehmen sind, bereits auf einer virtuellen Infrastruktur laufen, dann möchte man nicht auf Dauer parallel dazu eine Reihe dedizierter Systeme nur für das Active Directory abstellen.

    Funktionsüberschneidungen zwischen AD und vSphere

    Auf der anderen Seite profitiert das AD weniger von den Vorteilen der Virtualisierung als "normale" Anwendungen, weil es für viele Aufgaben eigene Mechanismen mitbringt. So erleichtert vSphere die Einrichtung von Hochverfügbarkeit durch Clustering oder das Disaster Recovery sowie Load Balancing.

    Das AD ist durch seine Multi-Master-Replikation weitgehend robust gegen Ausfälle einzelner DCs und kommt daher auch ohne HA- und DR-Funktionen von vSphere aus. Selbst der Defekt des FSMO-Inhabers beeinträchtigt die Verfügbarkeit des Dienstes nur begrenzt. Die Synchronisierung zwischen DCs ist auch offsite möglich, so dass man sich damit gegen Katastrophen wappnen kann.

    Gefahr durch Snapshots

    Die entscheidenden Einwände gegen die Virtualisierung der Domänen-Controller bestehen darin, dass das AD als kritischer Netzwerkdienst beeinträchtigt werden kann, wenn ein DC von außen durch Snapshots auf einen alten Stand zurückgesetzt oder wenn er geklont wird. Dann droht der gefürchtete USN-Rollback, der zu einer inkonsistenten AD-Datenbank führt und dafür sorgt, dass neue Objekte nicht zuverlässig repliziert werden.

    Bei der Rückkehr zu einem Snapshot lässt sich mit Windows Server 2012 und vSphere 5.0 Update 2 ein USN-Rolback vermeiden.

    Windows Server 2012 entschärft diese Gefahr dadurch, dass die Domain Services dort die VM-GenerationID auslesen können, die der Hypervisor bei bestimmten Aktionen aktualisiert, beispielsweise bei der Rückkehr der VM auf einen Snapshot, beim Cloning oder beim Replizieren (siehe dazu: Domänen-Controller unter Windows Server 2012 virtualisieren).

    Voraussetzung dafür ist natürlich, dass der Hypervisor diesen Mechanismus unterstützt, was bei VMware ab vSphere 5.0 Update 2 der Fall ist. Zusätzlich muss die VM für Windows Server 2012 als Gast konfiguriert werden.

    Zeitsynchronisierung

    Neben diesen allseits bekannten Fallstricken spricht das Whitepaper von VMware auch Hürden auf dem Weg zum virtuellen AD an, die nicht so auf angesprochen werden. Dazu zählt die Synchronisierung der Systemzeit, die für eine reibungslose Replikation wichtig ist.

    Die Systemzeit von ESXi und DCs sollte von der gleichen externen Quelle bezogen werden.

    Zwar kann die VM über die VMware Tools mit dem Host laufend abgeglichen werden, aber der Hersteller rät von diesem Vorgehen ab. Aber selbst wenn man auf dieses Feature verzichtet, dann setzen die VMware Tools die Uhrzeit beim Start des Systems auf jene des Hosts. Daher empfiehlt VMware, sowohl die Systemzeit von ESXi als auch des DC unter Windows Server 2012 über die gleiche externe Quelle zu aktualisieren.

    Konfiguration von DRS und HA

    Weitere Punkte, die das Whitepaper anspricht, betreffen die Konfiguration von DRS für Domänen-Controller (etwa den Einsatz von Anti-Affinity-Regeln und VM Groups) sowie die Nutzung von vSphere HA zur Gewährleistung einer höheren Verfügbarkeit von DCs. Darüber hinaus erläutert es den Schutz des Inhabers der FSMO-Rollen durch DR sowie das Cloning von DCs.

    Keine Kommentare