仮想ホスティング環境で Active Directory ドメイン コントローラーをホストする場合に考慮すべき点

この記事では、仮想ホスティング環境でゲスト OS としてWindowsサーバー ベースのドメイン コントローラー (DC) に影響する問題について説明します。 また、仮想ホスティング環境で DC を実行する場合に考慮すべき点について説明します。

適用対象:  WindowsServer 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号:   888794

概要

仮想ホスティング環境を使用すると、1 つのホスト コンピューター上で複数のゲスト オペレーティング システムを同時に実行できます。 ホスト ソフトウェアは、次のリソースを仮想化します。

  • CPU
  • メモリ
  • ディスク
  • ネットワーク
  • ローカル デバイス

これらのリソースを物理コンピューター上で仮想化することにより、ホスト ソフトウェアを使用して、テストと開発、および運用の役割にオペレーティング システムを展開するコンピューターを少なくできます。 仮想ホスティング環境で実行される Active Directory DC には、特定の制限が適用されます。 これらの制限は、物理コンピューター上で実行される DC には適用されません。

この記事では、サーバー ベースの DC が仮想Windowsで実行される場合に考慮すべき点について説明します。 仮想ホスティング環境には、次のものが含まれます。

  • WindowsHyper-V を使用したサーバー仮想化。
  • 仮想化製品の VMware ファミリ。
  • 仮想化製品の Novell ファミリ。
  • 仮想化製品の Citrix ファミリ。
  • Server Virtualization Validation Program (SVVP) のハイパーバイザー リスト上のすべての製品。

仮想化された PC のシステムの堅牢性とセキュリティの現在の状態の詳細については、次の記事を参照してください。

Hyper-V を使用したドメイン コントローラーの仮想化

「仮想化ドメイン コントローラー」の記事では、すべての構成に適用される一般的な推奨事項を提供します。 この記事で説明する考慮事項の多くは、サードパーティの仮想化ホストにも適用されます。 次のような、使用しているハイパーバイザーに固有の推奨事項と設定が含まれる場合があります。

  • DCs の時刻同期を構成する方法。
  • データ整合性のためにディスク ボリュームを管理する方法。
  • 復元または移行のシナリオでジェネレーション ID のサポートを活用する方法。
  • 仮想マシン ホスト上の RAM コアとプロセッサ コアの割り当てとパフォーマンスを管理する方法。

注意

サードパーティの仮想化ホストを使用している場合は、仮想化ホストのドキュメントを参照して、特定のガイダンスと推奨事項を確認してください。

この記事では、「仮想化ドメイン コントローラー」の記事の範囲に含めなかったヒントと考慮事項を提供することで、仮想化ドメイン コントローラーの記事を補足します。

仮想ホスティング環境で DC ロールをホストする際に考慮すべき点

物理コンピューターに Active Directory DC を展開する場合、DC のライフサイクル全体で特定の要件を満たす必要があります。 仮想ホスティング環境での DC の展開には、次を含む特定の要件と考慮事項が追加されます。

  • Active Directory サービスは、停電などの障害が発生した場合に、Active Directory データベースの整合性を維持するのに役立ちます。 これを行うには、サービスはバッファされていない書き込みを実行し、Active Directory データベースとログ ファイルをホストするボリュームのディスク書き込みキャッシュを無効にしようとします。 Active Directory は、仮想ホスティング環境にインストールされている場合にも、この方法で動作します。

    仮想ホスティング環境ソフトウェアが、強制的なユニット アクセス (FUA) をサポートする SCSI エミュレーション モードを正しくサポートしている場合、この環境で Active Directory によって実行されるバッファーのない書き込みはホスト OS に渡されます。 FUA がサポートされていない場合は、ホストするゲスト OS のすべてのボリュームで書き込みキャッシュを手動で無効にする必要があります。

    • Active Directory データベース
    • ログ
    • チェックポイント ファイル

    注意

    • 拡張可能エンジン (ESE) をデータベース形式として使用するStorage書き込みキャッシュを無効にする必要があります。 これらのコンポーネントには、Active Directory、File Replication Service (FRS)、Windows インターネット ネーム サービス (WINS)、および動的ホスト構成プロトコル (DHCP) が含まれます。
    • ベスト プラクティスとして、仮想マシン ホストに無停電電源装置をインストールすることを検討してください。
  • Active Directory DC は、インストール後すぐに Active Directory モードを継続的に実行することを目的とします。 仮想マシンを長い時間停止または一時停止しない。 DC が起動すると、Active Directory のレプリケーションが行われる必要があります。 すべての PC が、サイト リンクおよび接続オブジェクトで定義されているスケジュールに従って、すべてのローカルに保持されている Active Directory パーティションで受信レプリケーションを実行します。 特に、tombstone lifetime 属性で指定された日数に当てはまる。

    レプリケーションが発生しない場合は、フォレスト内の PC 上の Active Directory データベースのコンテンツが矛盾している可能性があります。 不整合が発生する理由は、廃棄の有効期間によって定義された日数の間、削除に関する知識が保持されます。 この日数内に Active Directory の変更の受信レプリケーションが一過性に完了しない場合、オブジェクトは Active Directory に残る。 残っているオブジェクトのクリーンアップは、特に多くのDCを含むマルチドメイン フォレストでは、時間がかかる場合があります。

  • さまざまな問題から回復するには、Active Directory DC にシステム状態の定期的なバックアップが必要です。 システム状態バックアップの既定の有効期間は 60 日または 180 日です。 インストール中に有効な OS のバージョンとサービス パックのリビジョンによって異なります。 この有効期間は、Active Directory の tombstone 有効期間属性によって制御されます。 フォレスト内のすべてのドメインの少なくとも 1 つの DC は、廃棄の有効期間で指定された日数ごとに、定期的なサイクルでバックアップする必要があります。

    実稼働環境では、2 つの異なる PC から毎日システム状態バックアップを作成する必要があります。

    注意

    仮想マシン ホストが仮想マシンのスナップショットを取得しても、ゲスト OS はバックアップとしてこのスナップショットを検出しない。 ホストが Hyper-V ジェネレーション ID をサポートしている場合、イメージがスナップショットまたはレプリカから開始すると、この ID が変更されます。 既定では、DC はそれ自体をバックアップから復元すると見なします。

クラスター化されたホストで DC 役割をホストする場合、または仮想ホスティング環境で Active Directory をバックエンドとして使用する場合に考慮すべき点

  • クラスター化されたホスト サーバーで PC を実行すると、フォールト トレラントである必要があります。 Microsoft からではない仮想サーバー展開にも同じ期待が適用されます。 ただし、この前提には 1 つの問題があります。クラスター化されたホスト コンピューター上のノード、ディスク、その他のリソースを自動起動するには、コンピューターからの認証要求をコンピューターのドメインの DC で処理する必要があります。 または、クラスター化されたホストの構成の一部を Active Directory に格納する必要があります。

    クラスター システムの起動時にこのような PC にアクセスするには、このクラスター展開の外部にある独立したホスティング ソリューションに、コンピューターのドメインに少なくとも 2 つの PC を展開します。 Active Directory 依存関係を持つ物理ハードウェアまたは別の仮想ホスティング ソリューションを使用できます。 このシナリオの詳細については、「単一障害点の 作成を避ける」を参照してください

  • 別個のプラットフォーム上のこれらの PC はオンラインに保ち、クラスター化されたホストに対してネットワークアクセス可能 (DNS および必要なすべてのポートとプロトコル) である必要があります。 場合によっては、クラスターの起動時に認証要求にサービスを提供できる唯一の PC は、再起動中のクラスター化されたホスト コンピューター上にあります。 この状況では、認証要求は失敗し、クラスターを手動で回復する必要があります。

    注意

    この状況が Hyper-V にのみ適用される場合は想定してください。 サードパーティの仮想化ソリューションでは、VM の起動または構成の変更の特定の手順で、Active Directory を構成ストアとして、または認証に使用できます。

仮想ホスティング環境での Active Directory PC のサポート

詳細については、「Microsoft 以外のハードウェア仮想化ソフトウェアで実行される Microsoft ソフトウェアのサポート ポリシー 」を参照してください