Active Directory ドメインコントローラ (AD) の仮想化は NG?
(1) Active Directory ドメインコントローラ (AD) の仮想化は NG?
(2) なぜゲストの時刻はずれるのか?
(3) AD 仮想化に正式対応する Windows Server “8”
(4) Windows Server 2012 AD 仮想化対応のまとめ
仮想化の設計・構築経験のある人なら一度は思いつくと思いますし、調べたこともあるかもしれません
現行サーバーから見れば、Active Directory なんて軽すぎるサービスです。AD のためだけに最新サーバーを与えるなんてオーバースペックすぎてもったいない、仮想化したくなると思います。
マイクロソフトはドメインコントローラの仮想化をサポートしています。しかし、同時にかなり色々と制約・注意事項を掲げています。
仮想ホスト環境の Active Directory ドメインコントローラーをホストする場合を考慮する事項
- Microsoft Article ID: 888794
http://support.microsoft.com/kb/888794/ja
Hyper-V でのドメイン コントローラーの実行 - Microsoft TechNet
http://technet.microsoft.com/ja-jp/library/dd363553(WS.10).aspx
この2つの資料は煙に巻いた感じで、核心が良く分からないかもしれません。
マイクロソフトの見解としては、
MSKK の Windows Server プリセールスチームのブログにもう少し明確に書かれています。
設計/構築時の考慮
運用時の考慮
http://blogs.technet.com/b/windowsserverjp/archive/2010/03/12/3318428.aspx
- ドメインコントローラを長い期間、保存・停止状態にしない
- スナップショット機能は使わない
- バックアップ/リストアは物理環境と同じ
最低 1 台は仮想化せずにベアメタルでドメインコントローラを構成する
なぜ "最低 1 台" かというと、下記の役割を持つサーバーは、仮想化しない方が良いからです。
- グローバルカタログ
- FSMO の一部
- DNS
理由はいくつかありますが、
分かりやすいのが 「仮想化するとどうしても時間が遅れてしまうため」 です。これはタイムスライスのアーキテクチャ上、どうしようもありません。(数分単位で NTP 同期しない限り...)
これに対して、上記 3 つの役割は AD の中核技術であり、"時間のズレ" は 認証機構 をはじめ AD の様々な場所でトラブルを引き起こします。
特に VDI のような、ユーザー認証を多用するシステムではご注意ください。
「認証周りがおかしい」「ログインできない」などの現象は、VDI 製品が原因ではなく、検証環境だからといって AD を仮想化して立てていたことが原因だったケースを結構耳にします。
続編 (2011.12.12 追記)
本記事が好評ということで、
- 二台目以降の DC の仮想化で注意すべきポイント
- そもそも、どうして仮想化すると時刻がずれてしまうのか??
について記事を加筆しました。下記をご覧ください。
なぜゲストの時刻はずれるのか? - Active Directory 仮想化 (2)
http://d.hatena.ne.jp/ogawad/20111212/1323643435