Welcome to TechNet Blogs Sign in | Join | Help

ZenIT Blog

Virtualizzazione, Sicurezza, GreenIT (e altro) visti da Giorgio

News

  • "You have to sit by the side of a river a very long time before a roast duck will fly into your mouth"

    Guy Kawasaki

    Il contenuto di questo blog e di ciascun post viene fornito “così come é”, senza garanzie, e non conferisce alcun diritto. Questo blog riporta il mio personale pensiero che non riflette necessariamente il pensiero di Microsoft.
    Bookmark su TechNet
Eseguire un Domain Controller in una macchina virtuale

Eccoci qui! Ferie finite :(

Dovrei dire che sono bello carico per affrontare il prossimo anno (da qui alle prossime ferie), ma in realtà mi viene solo un po di tristezza nel pensare a dov’ero fino a venerdì.

Spero che le vostre ferie siano state buone quanto le mie e ben tornati a tutti quanti!

Mentre ero in ferie ho ricevuto un po’ di mail. In una di queste mi si poneva la domanda se esistone delle best practices per l’esecuzione di Domain Controller (DC) di Active Directory in una macchina virtuale.

La risposta è: certamente si!

Vediamo cosa si deve tenere presente per eseguire dei DC di Active Directory in macchina virtuale senza incorrere in problemi.

La prima cosa di cui si deve tenere presente è che i DC non sopportano in alcun modo un “time shift” e quindi NON si deve MAI mettere un Domain Controller in Save State.

Il meno che possa accadere nel caso si lasci un DC in save state per un periodo di tempo abbastanza lungo è avere problemi di replica.

Sicuramente sapete che Hyper-V consente di eseguire degli snapshot delle macchine virtuali ossia delle fotografie dello stato della machina in un certo istante. Eseguendo uno snapshot di si esegue un salvataggio dello stato corrente della VM (memoria, configurazione e disco) e si crea un disco differenziale che viene usato al posto di quello originale per le scritture.

E’ una bella funzionalità, ma NON deve essere in alcun modo usata se la VM è un DC. Se si ripristina un vecchio snapshot di un DC fatto si riporta on-line una vecchia versione del database di Active Directory e si possono generare molti problemi di replica e ghost object.

Questi sono i due comportamenti chiave che devono essere assolutamente evitati!

Per il resto non ci sono particolari controindicazioni nell’eseguire un DC in macchina virtuale.

Esistono due whitepaper scritti dal team di sviluppo di Active Directory sull’argomento, riferiti a Virtual Server 2005, ma validi in gran parte anche per Hyper-V (i due wp sono in fase di aggiornamento):

Spero di aver risposto in questo modo alle richieste arrivate via mail.

Per oggi ci fermiamo (iniziamo con calma).

Buona serata a tutti.

Giorgio

Posted: Monday, August 25, 2008 2:49 PM by g_malusardi

Comments

Alexxx said:

Se posso vorrei aggiungere una cosa... la problematica snapshot/saved state riguarda in parte anche i computer membri del dominio. Di default è attiva la policy che impone il cambio password dei machine account ogni 30gg, più di una volta però mi è successo di tornare indietro con uno snapshot e di avere il pc/server che non mi autenticava sul dominio, probabilmente perchè era stata cambiata la pass del machine account e tornando indietro avevo ripristinato la precendente mentre sul DC c'era quella nuova.

E' ipotizzabile l'abilitazione della policy "Domain member: Disable machine account password changes" in "Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\" anche se credo non sia il massimo in termini di sicurezza.

Ciao!

# August 26, 2008 4:51 AM

g_malusardi said:

Ciao Alexxx

Quello che dici è corretto ed è sicuramente uno dei problemi che si può presentare usando tenendo in save state per lungo tempo le macchine in produzione.

Quella da te indicata è una possibile soluzione, ma io non la consiglierei.

Gli snapshot sono pensati per essere usati in ambienti di sviluppo/test e io non li userei in ambienti di produzione se non per fare test di breve durata.

Giorgio

# August 26, 2008 5:15 AM
Anonymous comments are disabled
Page view tracker