Założono w 2008 · Wydanie cyfrowe · 19 czerwiec 2026

SMB IT Journal

Źródło wiedzy o technologiach informatycznych dla małych firm

Polski

Wirtualizacja kontrolerów domeny

Można by sądzić, że temat wirtualizacji kontrolerów domeny Active Directory nie wymaga dyskusji, a jednak regularnie pojawia się pytanie, czy kontrolery DC powinny być wirtualizowane. W teorii nie ma potrzeby zadawania tego pytania, ponieważ branża od dawna zaleca wirtualizację wszystkich możliwych obciążeń, a Active Directory z pewnością nie stanowi żadnego szczególnego przypadku uzasadniającego wyjątek od tej ugruntowanej i ogólnej zasady.

Mimo to ludzie regularnie szukają wyjaśnień dotyczących właśnie tego obciążenia, a jeśli szukamy złej rady, na pewno ktoś nam jej udzieli. Mnóstwo osób zaleca fizyczne serwery dla Active Directory, ale rzadko, jeśli w ogóle, podając jakiekolwiek uzasadnienie, dlaczego mieliby rekomendować naruszanie najlepszych praktyk w przypadku tak banalnego i dobrze znowego obciążenia.

Dlaczego osoby wdrażające kontrolery AD DC decydują, że akurat to obciążenie zasługuje na szczególne badania w zakresie wirtualizacji, podczas gdy żadne inne nie wymaga takiego podejścia — tego nie potrafię wyjaśnić. Jednak po wielu latach badań nad tym zjawiskiem mam pewien wgląd w źródło nieodpowiedzialnych porad dotyczących wdrożeń fizycznych.

Pierwszy błąd wynika z ogólnego niezrozumienia tego, czym w ogóle jest wirtualizacja. Niestety jest to niezwykle powszechne — ludzie bardzo często mylą wirtualizację z konsolidacją, co oczywiście jest błędem. Na podstawie tego błędu stosują fałszywą logikę, że konsolidacja oznacza umieszczenie dwóch kontrolerów AD DC na tym samym fizycznym hoście. Wymaga to też założenia, że zawsze będą co najmniej dwa kontrolery AD DC, co również jest powszechnym przekonaniem. Trzy poważne błędy logiczne nakładają się zatem na siebie, generując bardzo złe rady, które po dokładniejszym zbadaniu zwykle daje się prześledzić do ich źródła. Wydaje się to być korzeniem większości złych porad.

Innymi przyczynami jest niekiedy błędne rozumienie rzeczywistych najlepszych praktyk, takich jak stwierdzenie: „Jeśli masz dwa kontrolery AD DC, każdy musi być na osobnym fizycznym hoście.” To zdanie mówi nam, że w tym scenariuszu należy użyć dwóch fizycznie odrębnych maszyn, co jest absolutnie prawdziwe. Nie implikuje jednak, że żaden z nich nie powinien mieć hiperwizora — jedynie że potrzebne są dwa różne hosty. Sformułowanie stosowane w tego rodzaju poradach jest często trudne do zrozumienia, jeśli nie wychodzi się z założenia, że w żadnym wypadku nie można stosować niewirtualizowanego obciążenia. Jeśli czytamy to zalecenie z takim zrozumieniem, jego znaczenie jest jasne i, miejmy nadzieję, oczywiste. Niestety to zalecenie jest często powtarzane bez kontekstu, przez co jego zasadnicze znaczenie łatwo się gubi.

Dawno temu, czyli jakieś dziesięć lat temu, niektóre platformy wirtualizacyjne miały problemy z synchronizacją czasu i zegarami systemowymi, które mogły siać spustoszenie w klastrowanych systemach bazodanowych, takich jak Active Directory. Był to uzasadniony problem z dawnych lat, który dawno temu został rozwiązany — co było konieczne ze względu na wiele różnych obciążeń. Wówczas jednak powstało przekonanie, że AD może wymagać specjalnego traktowania, i wydaje się ono trwać nawet teraz, choć minęły już dwie generacje IT od czasu gdy był to aktualny problem i dawno powinno odejść w niepamięć.

Kolejny mit prowadzący do złych porad wywodzi się z faktu, że kontrolery AD DC, podobnie jak inne klastrowane bazy danych, podczas pracy w trybie klastrowym nie powinny być snapshotowane, gdyż łatwo może to prowadzić do uszkodzenia bazy danych, jeśli tylko jeden węzeł klastra zostanie w ten sposób przywrócony. Jest to jednak ogólny aspekt dotyczący storage i baz danych i nie ma nic wspólnego z wirtualizacją. Ta sama zasada dotyczy w równym stopniu fizycznych kontrolerów AD DC. Przekonanie, że snapshoty są związane z wirtualizacją, to kolejny mit — wirtualizacja nie implikuje żadnego takiego artefaktu storage.

Kolejne mity wynikają z przekonania, że wirtualizacja musi się opierać na samym Active Directory, aby działać, i dlatego AD musi działać bez wirtualizacji. To kompletny mit i absurd. Nie istnieje żaden taki cykliczny wymóg.

Niestety w niektórych obszarach technicznych narosły ogromne mity, często bardzo liczne, które utrudniają dotarcie do prawdy. Wirtualizacja jest na tyle złożona, że wiele osób stara się nauczyć nie tylko tego, jak jej używać, ale też czym jest konceptualnie — przez zapamiętywanie, co rodzi niekiedy szalone nieporozumienia na tyle odbiegające od rzeczywistości, że trudno w ogóle rozpoznać, z czym mamy do czynienia. W takim przypadku jak ten, nieporozumienia wokół wirtualizacji, historii, klastrowanych baz danych, technik wysokiej dostępności, storage i wielu innych aspektów nawarstwiają się, tworząc liczne warstwy nieporozumień i utrudniając zrozumienie, jak tak wiele rzeczy może składać się na jedno pytanie wdrożeniowe.

W ostatecznym rozrachunku niewiele obciążeń nadaje się do wirtualizacji tak idealnie, jak kontrolery domeny Active Directory. Nie ma żadnego przypadku, w którym należałoby rozważać wdrożenie kontrolera domeny na fizycznym, bare-metal systemie operacyjnym — zawsze wirtualizuj.

Reklama

SMB IT Journal — the IT resource for small business