Attention à la virtualisation d’un contrôleur de domain:

Je vous recommande la lecture de la fiche KB sur le sujet, ci-dessous :

Considerations when hosting Active Directory domain controller in virtual hosting environments

Ainsi que la fiche Technet suivante : Running Domain Controllers in Hyper-V

 

Rapidement, les points importants à prendre en compte sont les suivants :

Recommandations

Les contrôleurs de domaines font partie des serveurs critiques d’un environnement de production. Pour éviter des heures de dépannage inutiles sur des problèmes pouvant allez jusqu’à une corruption d’une forêt entière, il est fortement recommandé de respecter certains points.

 

1. Prévoir de garder quelques contrôleurs de domaine physiques

- Il est recommandé, dans la mesure du possible, de garder 1 ou 2 DC physique, pour éviter qu’un souci qui toucherait le logiciel de virtualisation, rendre indisponible un domaine voir une forêt entière.

 

2. Attention à la sécurité du host

- Les comptes ayant les droits d’administration locale d'un serveur qui héberge les DCs virtuels, doivent avoir la même politique de sécurité que les comptes administrateur de domaine/forêt.

- Les fichiers VHD sont équivalents aux disques physiques d’un serveur. Il est donc important que seul les gens habilités ait accès aux fichiers.

 

3. Service de temps

- Pour tous les DCs virtuels sans exception, il faut désactiver la synchronisation de temps avec le host dans les options d’intégrations. Ce paramètre entre en conflit avec le mécanisme de synchronisation de temps de la forêt : W32Time. Des arrêts de production majeurs ont déjà été répertoriés au support suite à une simple maintenance hardware de la machine host provoquant un retour arrière de plus d’un an de la date du bios et donc de tous les DCs hébergé sur celle-ci…

 

4. Sauvegarde

- Les sauvegarde et restauration de domaine contrôleurs virtuels doivent être réalisés à l’identique des serveurs physiques : « système » + « système state ». Les backups/restaures de VHD sont totalement proscrits et non supporté aux même titre que les snapshots, les disques diférentiels ou autre logiciel de type Norton Ghost.

 

 

Enfin, voici les erreurs à ne pas commettre :

Ne jamais utiliser les outils de snapshots ou de disques différentiels sur un domaine contrôleur virtuel. Un retour arrière sur un DC vous générera au minimum un problème d’USN rollback !

Ne jamais cloner une machine virtuelle sans avoir effectué au préalable un sysprep. Une duplication sans sysprep n’est d’ailleurs pas supportée: https://support.microsoft.com/kb/162001.

Il ne faut pas cloner un contrôleur de domaine, seules les machines en workgroup peuvent être clonées.

Il n’est pas supporté d’utiliser la fonctionnalité Hyper-V « export » pour exporter une machine virtuelle de type domaine contrôleur.

Tous ces points sont répertoriés sur le billet suivant :https://blogs.technet.com/domaineetsecurite/archive/2009/07/17/dc-virtuel-les-r-gles-de-bases.aspx

Comme vous le constatez, les Snapshots Hyper-V ne sont pas supportés, tout comme l’export du contrôleur de domaine, et les backup/restau de VHD. Il vous faudra donc utiliser une solution de sauvegarde classique pour les contrôleurs (system + systemstate)

 

Si vous êtes partenaire Certified ou partenaire Gold : n’hésitez pas à revenir vers l’équipe de l’avant vente technique Microsoft au 0 825 827 829 faire le 0 puis le 1550# afin de faire le point sur cet article.