Welcome to TechNet Blogs Sign in | Join | Help

Domaenencontroller in virtuellen Maschinen

Virtualisierung ist in aller Munde. Was machen wir aber mit unseren Domänencontrollern? Auch diese lassen sich prinzipiell durchaus virtualisieren. Für die Plattform Virtual Server 2005 existiert ein Whitepaper in dem die wesentlichen der zu beachtenden Kriterien berücksichtig sind „Running Domain Controllers in Virtual Server 2005“.

Für Hyper-V ist ein ähnliches Dokument in Planung.

„Kritisch“ wird das Thema für produktive Umgebungen. Die Lösung für viele der Probleme, die im Whitepaper angesprochen sind ist:

  • Gute Überwachung/ Monitoring etablieren
  • Systemzeit nicht vom Host-System beziehen.
  • Keine „Snapshots“, "Time Shifts" oder ähnliche Technologie verwenden.

Hier ist auch noch einmal eine Zusammenfassung der wesentlichen Punkte: "Considerations when hosting Active Directory domain controller in virtual hosting environments

Natürlich gilt es auch entsprechende Prozesse zu etablieren: Z.B. wie kann ich sicherstellen, dass mir die vhd Datei nicht "entwendet" wird?, was passiert wenn mir meinen Hostsystem physikalisch kaputt geht - und damit alle Domänencontroller, die darauf liefen?

Ich selbst habe in Firmen schon gesehen, dass „mal auf die Schnelle“ ein Domänencontroller virtuell aufgebaut wird, um sich eine „Arbeitskopie“ eines Active Directory zu halten - das „natürlich offline“ verwendet wird. Hm... dass die kleine virtuelle Machine auf einer USB Platte, die da achtlos auf dem Boden liegt, ein echter, vollwertiger Domänencontroller ist, wird dabei mental oft nicht realisiert. (Mal ganz vom „vergessenen“ metadata cleanup zu schweigen) Natürlich kommt der dann irgendwie doch wieder ans Netz… nach der Tombstone Lifetime und mit allen FSMO Rollen, die man sich wegen der Tests „mal schnell“ übernommen hat… Wie war das nochmal mit dem doppelten RID Master im Netz?

Es ist einfach sehr verlockend, sich „so eine vhd Datei mal wegzusichern"…

Den Artikel sollte man - je nach angedachter Virtualisierungsplattform - auch kennen: "Support policy for Microsoft software running in non-Microsoft hardware virtualization software"

Published Thursday, February 21, 2008 4:46 PM by tkarch
Filed under:

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# re: Domänencontroller in virtuellen Maschinen

Wednesday, February 27, 2008 1:43 PM by Susann

Hallo Thomas,

ein schöner Überblick. Als sehr kritischen Punkt der Geschichte finde ich die Sicherheit der vhd-Datei. Hierüber wird ja der physikalische Zugang, der den Angriffspunkt auf einen DC darstellt, schön vereinfacht.

Und wenn sie dann auch noch so locker und lässig auf einer USB-Platte rumliegt ....

PS:

Ja, ich weiss Paranoia lässt grüßen ;-)

Leave a Comment

(required) 
required 
(required) 

  
Enter Code Here: Required
 
Page view tracker