仮想化でプリセールスしてるSEの一日

VMware から Azure まで、インフラや仮想化の最新情報をベンダー色をできるだけ抑えて綴っていきます

Active Directory ドメインコントローラ (AD) の仮想化は NG?

f:id:ogawad:20190203195637p:plain:right

(1) Active Directory ドメインコントローラ (AD) の仮想化は NG?
(2) なぜゲストの時刻はずれるのか?
(3) AD 仮想化に正式対応する Windows Server “8”
(4) Windows Server 2012 AD 仮想化対応のまとめ


仮想化の設計・構築経験のある人なら一度は思いつくと思いますし、調べたこともあるかもしれません

現行サーバーから見れば、Active Directory なんて軽すぎるサービスです。AD のためだけに最新サーバーを与えるなんてオーバースペックすぎてもったいない、仮想化したくなると思います。


マイクロソフトドメインコントローラの仮想化をサポートしています。しかし、同時にかなり色々と制約・注意事項を掲げています。

仮想ホスト環境の Active Directory ドメインコントローラーをホストする場合を考慮する事項
- Microsoft Article ID: 888794
http://support.microsoft.com/kb/888794/ja

Hyper-V でのドメイン コントローラーの実行 - Microsoft TechNet
http://technet.microsoft.com/ja-jp/library/dd363553(WS.10).aspx


この2つの資料は煙に巻いた感じで、核心が良く分からないかもしれません。
マイクロソフトの見解としては、
MSKK の Windows Server プリセールスチームのブログにもう少し明確に書かれています。

設計/構築時の考慮

  • 最低1台の物理ドメインコントローラを確保する
  • Hyper-V 統合サービスの時刻同期機能をオフにする
  • 仮想ディスクには、差分ディスクは利用しない

運用時の考慮

  • ドメインコントローラを長い期間、保存・停止状態にしない
  • スナップショット機能は使わない
  • バックアップ/リストアは物理環境と同じ
http://blogs.technet.com/b/windowsserverjp/archive/2010/03/12/3318428.aspx


最低 1 台は仮想化せずにベアメタルでドメインコントローラを構成する

なぜ "最低 1 台" かというと、下記の役割を持つサーバーは、仮想化しない方が良いからです。

  • グローバルカタログ
  • FSMO の一部
  • DNS

理由はいくつかありますが、
分かりやすいのが 「仮想化するとどうしても時間が遅れてしまうため」 です。これはタイムスライスのアーキテクチャ上、どうしようもありません。(数分単位で NTP 同期しない限り...)
これに対して、上記 3 つの役割は AD の中核技術であり、"時間のズレ" は 認証機構 をはじめ AD の様々な場所でトラブルを引き起こします。


特に VDI のような、ユーザー認証を多用するシステムではご注意ください。
「認証周りがおかしい」「ログインできない」などの現象は、VDI 製品が原因ではなく、検証環境だからといって AD を仮想化して立てていたことが原因だったケースを結構耳にします。


続編 (2011.12.12 追記)

本記事が好評ということで、

  • 二台目以降の DC の仮想化で注意すべきポイント
  • そもそも、どうして仮想化すると時刻がずれてしまうのか??

について記事を加筆しました。下記をご覧ください。

なぜゲストの時刻はずれるのか? - Active Directory 仮想化 (2)
http://d.hatena.ne.jp/ogawad/20111212/1323643435