DC Virtuel: Les règles de bases

  • Article

La virtualisation étant de plus en plus répandue et simple à mettre en place, il est important de valider et respecter certains pré-requis pour éviter de mettre en production un DC potentiellement dangereux pour votre environnement.

Le but de cet article est de partager des règles de base à respecter lors de la mise en place d’un DC dans un environnement virtuel.

1- Support de l’environnement de virtualisation

Microsoft met gratuitement en ligne un petit assistant permettant de vérifier la supportabilité des différents environnements virtuels en 3 étapes:

https://www.windowsservercatalog.com/svvp.aspx?svvppage=svvpwizard.htm

Par exemple : Est-ce que mon DC virtuel Windows Server 2000 SP4 est supporté sur Hyper-V ?

Etape 1 : Le choix du produit

Dans la liste des produits disponibles, on ne retrouve pas « active directory » puisque c’est un « rôle » que l’os peut posséder au même titre que les services DNS, DHCP, etc.

Je choisi donc Windows 2000 version SP4.

clip_image002

Etape 2 : Le choix du « Host » et du « guest »

Dans cette étape, nous devons choisir la technologie de virtualisation communément appelé le « host » et la version d’OS du client communément appelé le « guest ».

Pour notre exemple, je choisie donc un « host » de type hyper-V et un « guest » Windows 2000 SP4 x86.

clip_image004

Etape 3 : Le résultat

Dans la partie « Summary Support Statement » vous trouverez le résultat de votre requête :

Pour notre exemple de DC Windows 2000 sous hyper-v, notre configuration est bel et bien supportée.

clip_image006

2- Les recommandations

Les contrôleurs de domaines font parti des serveurs critiques d’un environnement de production. Pour éviter des heures de dépannage inutiles sur des problèmes pouvant allez jusqu’à une corruption d’une forêt entière, il est fortement recommandé de respecter certains points.

Prévoir de garder quelques contrôleurs de domaine physiques

- Il est recommandé, dans la mesure du possible, de garder 1 ou 2 DC physique, pour éviter qu’un souci qui toucherait le logiciel de virtualisation, rendre indisponible un domaine voir une forêt entière.

Attention à la sécurité du host

- Les comptes ayant les droits d’administration locale d'un serveur qui héberge les DCs virtuels, doivent avoir la même politique de sécurité que les comptes administrateur de domaine/forêt.

- Les fichiers VHD sont équivalents aux disques physiques d’un serveur. Il est donc important que seul les gens habilités ait accès aux fichiers.

Service de temps

- Pour tous les DCs virtuels sans exception, il faut désactiver la synchronisation de temps avec le host dans les options d’intégrations. Ce paramètre entre en conflit avec le mécanisme de synchronisation de temps de la forêt : W32Time. Des arrêts de production majeurs ont déjà été répertoriés au support suite à une simple maintenance hardware de la machine host provoquant un retour arrière de plus d’un an de la date du bios et donc de tous les DCs hébergé sur celle-ci…

Sauvegarde

- Les sauvegarde et restauration de domaine contrôleurs virtuels doivent être réalisés à l’identique des serveurs physiques : « système » + « système state ». Les backups/restaures de VHD sont totalement proscrits et non supporté aux même titre que les snapshots, les disques diférentiels ou autre logiciel de type Norton Ghost.

Eléments à BANIR !

- Ne jamais utiliser les outils de snapshots ou de disques différentiels sur un domaine contrôleur virtuel. Un retour arrière sur un DC vous générera au minimum un problème d’USN rollback !

- Ne jamais cloner une machine virtuelle sans avoir effectué au préalable un sysprep. Une duplication sans sysprep n’est d’ailleurs pas supportée ref: https://support.microsoft.com/kb/162001. Il ne faut pas cloner un contrôleur de domaine, seules les machines en workgroup peuvent être clonées.

- Il n’est pas supporté d’utiliser la fonctionnalité Hyper-V « export » pour exporter une machine virtuelle de type domaine contrôleur.

Vous pouvez retrouver les explications détaillées de ces différentes recommandations dans les articles suivants :

Running Domain Controllers in Hyper-V
https://technet.microsoft.com/en-us/library/dd363553(WS.10).aspx

Considerations when hosting Active Directory domain controller in virtual hosting environments
https://support.microsoft.com/kb/888794

Pour terminer, vous pouvez consulter le site TechNet « Virtualization TechCenter » entièrement dédié à la virtualisation :

https://technet.microsoft.com/en-us/virtualization/default.aspx

Marc Bouchard