Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Wirtualizacja kontrolerów domeny

VM-Generation ID systemu Windows Server 2012 i nowszych pozwala wykorzystywać migawki i funkcje klonowania w maszynach wirtualnych pełniących funkcję kontrolerów domeny. Mimo to wirtualizacja tzw. trudnych usług może sprawić wiele kłopotów.

Active Directory jest kluczową usługą sieciową środowiska IT opartego na oprogramowaniu Microsoft. Usługa ta odgrywa podstawową rolę w procesie uwierzytelniania użytkownika w dostępie do komputera i zasobów sieciowych. Jednak z uwagi na swój charakter, a więc replikację multi-master, konieczność zapewnienia wysokiej dostępności oraz silną zależność od czasu (wycofywanie transakcji), jeszcze do niedawna usługi Active Directory zaliczano do tzw. usług trudnych, wymagających szczególnej uwagi w trakcie przenoszenia do środowiska wirtualnego. Wprowadzenie na rynek systemu Windows Server 2012 zmieniło ten stan rzeczy, a administratorzy otrzymali do ręki narzędzie VM-Generation ID, które pozwala na używanie funkcji klonowania oraz migawek również dla maszyn wirtualnych pełniących funkcję kontrolerów domeny. W żaden sposób nie zwalnia to jednak z konieczności stosowania dobrych praktyk w obszarze wirtualizacji usług Active Directory, o których szerzej w tym artykule.

Zapewnianie wysokiej dostępności

Wysoka dostępność Active Directory, niezbędna z uwagi na nadrzędną rolę usługi w całym ekosystemie Windows, realizowana jest przez wdrażanie kolejnych kontrolerów w domenie. Zakłada się, że w każdej domenie powinny działać co najmniej dwa kontrolery, choć w wielu organizacjach, choćby ze względu na konieczność zapewnienia wymaganej wydajności, takich kontrolerów stosuje się po prostu więcej. Lokalne kontrolery w oddziałach mogą obsługiwać żądania użytkowników szybciej i sprawniej, bez obciążania sieci.

Active Directory jest usługą bazodanową, która do synchronizacji katalogu między kontrolerami wykorzystuje replikację typu multi-master. Podejście to samo w sobie gwarantuje już niezawodność, a przy tym umożliwia wręcz nieograniczone skalowanie i decentralizację usług katalogowych w danej organizacji. W Active Directory żaden kontroler domeny nie pełni nadrzędnej funkcji (master) wobec innych, choć jeden lub kilka z nich przechowujących role FSMO ma do wykonania pewne zadania specjalne. Dodajmy, że znany z domeny NT4 (Windows 2000) podział na kontrolery podstawowy i zapasowy nie istnieje, choć wśród wielu administratorów nadal wprowadza spore niezrozumienie tematu. W replikacji typu multi-master zmiany w katalogu mogą być wprowadzane na dowolnym kontrolerze, po czym są automatycznie replikowane do pozostałych maszyn z usługą Active Directory. Nie oznacza to jeszcze, że każdy kontroler replikuje się z wszystkimi pozostałymi w domenie. Istnieje wyrafinowany mechanizm, który wyznacza partnerów replikacji, choćby po to, aby uniknąć nadmiernego przeciążenia sieci.

Klaster wirtualizacji

Zakłada się, że kontrolery domeny działają w trybie ciągłym i nie są wyłączane w sytuacjach innych niż awaria lub serwis. Wśród dobrych praktyk znajdziemy wytyczne, które mówią, że kontrolery domeny powinny być uruchamiane w środowisku wirtualizacji o wysokiej dostępności, a więc w klastrze wirtualizacji. W razie awarii pojedynczego hosta obsługiwaną maszynę wirtualną można szybko uruchomić na innym sprawnym węźle, tymczasowo przywracając dostępność kontrolera już na innym urządzeniu.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej