IT & Business blog Enlogit
Člen skupiny:

Doménové řadiče ve virtuálním prostředí. Chytře a spolehlivě!

Vložil/a Jakub Drábek, 1 Červen, 2013 - 18:32

Spousta našich zákazníků virtualizuje svou infrastrukturu na VMware nebo RHEV hypervizorech. Databazové, aplikační nebo třeba terminálové servery. Ne všichni si však uvědomují rizika spojená s virtualizací doménových řadičů. Rád bych se zde rozepsal o pravidlech, která je potřeba v této problematice dodržovat.

Doménový řadič (dále DC) a jeho služby jsou ve společnostech často podceňovaným prvkem, ať už z pohledu návrhu, udržování či zálohovaní. “Vždyť to je jen doména”. DC se od jiných IT úloh liší v mnoha aspektech, například replikací doménových informací na ostatní DC. V organizacích obyčejně DC operuje v párech. V případě geografických rozmístění organizace i ve větším počtu. Jeho služby vyžadují transakční databázi, kterou nelze zálohovat tak jednoduše jako obyčejné soubory a složky. Nejpodstatnější je však přímá závislost IT služeb na této “základně”.

Vysoká dostupnost virtuálních systémů obsluhujících DC

  • Doménové řadiče by měly být hostované ve vysoce dostupném virtuálním prostředí.

Nikdy nepozastavujte, neklonujte, nevytvářejte snapshoty

  • Vrácení doménového řadiče zpět do předchozího snapshotu virtuálního systému vrátí daný server v čase. Vrátí zpět také databázi DC, k takovým operacím nebyla replikace AD nikdy určena. Důsledky tohoto činu mohou být například poškozená databáze, vrácení hodnoty USN zpět a problémy s replikací. Stejné problémy mohou vzniknout při pozastavení DC na příliš dlouhou dobu.
  • Klonování disků DC může způsobit rozpojení vztahu mezi ostatními DC. Ve struktuře by tedy operovalo více DC, který by o sobě navzájem neveděli. V průběhu času vytváří tato situace odchylku mezi obsahem izolovaného DC a obsahem ostatních DC => někteří klienti se hlásí na izolovaný DC a vzniká nekonzistence AD struktury.

Zálohovací software

  • Prostudujte všechny možnosti zálohovaní dostupné pro DC. Zálohování musí splňovat tyto požadavky: rychlost vytvoření zálohy, využívání bitové kopie a zálohování na úrovni bloků.
  • Zálohovací software by měl umět obnovu odstraněných objektů v AD v co nejkratším čase.

Posouvaní času

  • Jeden zdroj času pro všechny DC. V žádném případě nesmí dojít k posunu času. Takový posun času může způsobit, ze DC přestanou zpracovávat požadavky klientů na služby.

Funkční zálohy

  • Zálohovací software by měl kontrolovat, že každá záloha není porušená, a že se tedy dá použít pro obnovu.

Zabezpečení ovládání virtuální infrastruktury

  • Oddělte síťový provoz klientů od datových přenosů využívaných k aktivitám virtuálního prostředí.

Fyzický hardware

  • V případě, že virtuální infrastruktura využívá ověřování AD si zachovejte alespoň jeden DC v podobě fyzického serveru. To vám zajistí udržení služby AD i případě nejhorších výpadků virtuálního prostředí.

Disaster recovery plán

  • Vytvořte si krizový plán pro obnovení po havárii. Integrace nástrojů pro zálohování dat služby AD je jen jednou součástí plánu. To co pomůže realizovat vaše řešení, je pravidelná kontrola funkčnosti zálohovacího softwaru a jejich schopnost obnovit servery a data.

Závěrem ...
Virtualizace doménových řadičů může být velkým benefitem pro provoz celé infrastruktury v případě, že budou dodržována tato pravidla. Přestože vám může virtualizace DC usnadnit život, neuděláte-li ji správně, dočkáte se opaku. Naše firma Enlogit se specializuje na tuto problematiku. Zavolejte nám, rádi vám pomůžeme.

Jakub Drábek

Jakub Drábek, Technical Account Manager / ICT Consultant, Microsoft Technologies & VMware Technologies
m: +420 777 103 948, e: jakub.drabek@enlogit.com, twitter: @jakub.drabek, in: linkedin.com/jakub.drabek

Více než 7 let se pohybuji na poli informačních technologií. Za tuto dobu jsem získal znalosti v oblasti navrhování, implementace a architektury systémů. Specializuji se na aplikace společnosti Microsoft, správu systémů a virtualizační technologie VMware. Pracuji ve skvělém týmu pro společnosti Enlogit. Baví mne přinášet zákazníkovi radost z fungování jeho IT.

Jakub Drábek's blogPřidat komentář

Komentáře

od Windows Server 2012 to neni zcela pravda

Autor příspěvku zjevně netuší o VM-Generation ID. Náhodou jsem zavítal na vaše stranky a blog, tímto však u mně ztrácíte odborný kredit. Martin Langer

odpovědět

RE: od Windows Server 2012 to neni zcela pravda

Martine, spousta lidí valí DCčka na 2003kách nebo 2k8 a vesele dělají snapshoty, takže problém to rozhodně je a článek není psaný tak do hloubky aby řešil od které verze je to "lepší". Navíc autor naprosto jistě ví o VM-Generation ID, to Vám mohu potvrdit :)
Jan Bílek

odpovědět

Není DC jako DC

Cožpak u "obyčejného" DC, to se dá celkem dobře přežít. Horší je to s DC s rolí PDC, resp. u DC s rolí FSMO. "Obyčejný" DC lze poměrně rychle "naklikat" na novou VM z templejty.
Tenhle týpek se s podobnou věcí zřejmě zabýval.

odpovědět

Posun času

Správně, v ideálním případě máme čas ca. 5 minut (protože Kerberos). Pak se začnou s tiketama dít nepěkné věci :-)
(ten samý anonym, co u předchozí odpovědi - Kamil Brzák)

odpovědět

Kontaktujte nás

IT & Business blog Enlogit
© Enlogit s.r.o. 2012
Víme, že je to otrava, ale musíme Vás informovat, že tento web používá k poskytování služeb soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace