Active Directory in Hyper-V omgevingen, deel 3 - IT-professional Community Blog
Zoeken binnen blogs.microsoft.nl

IT-professional Community Blog

Active Directory in Hyper-V omgevingen, deel 3

May 25 2009, 02:58 PM

Server virtualisatie levert veel voordelen op, maar bij het inzetten van server virtualisatie dienen bepaalde design keuzes gemaakt te worden. Eén van de belangrijkste keuzes die gemaakt dient te worden is hoe om te gaan met Active Directory domain controllers in virtuele omgevingen. Hyper-V omgevingen vereisen zelfs extra specifieke keuzes ten opzichte van andere server virtualisatie oplossingen.

In de vorige delen van deze serie blog posts (hier en hier) keek ik naar de keuze om Domain Controllers wel of niet te virtualiseren. De conclusie was dat het handig is om minstens één Domain Controller niet te virtualiseren, maar ik keek toen niet naar de mogelijkheid om de virtuele host als Active Directory Domain Controller te hergebruiken. Dit is immers een fysieke machine…

In dit deel ga ik dus proberen om het antwoord te vinden op de vraag:

De virtuele host als Active Directory Domain Controller hergebruiken?

    

Hergebruiken... Hergebruiken is een veel gebruikte en hierdoor beladen term in het IT-wereldje. Het is helaas ook vaak niet begrepen. Veel Microsoft adepten dachten bij de term ‘Doing more with less” (de originele slogan voor Windows Server 2003 en Windows Server 2003 R2, die nu eindelijk met Windows Server 2008 en Windows Server 2008 R2 echt invulling lijkt te krijgen) gelijk aan hergebruik, terwijl dit er niet mee werd bedoeld. Laat ik beginnen met uitleggen wat Microsoft er mee bedoelt in het kader van Server rollen en features.

Over Server Rollen

Microsoft timmert al een tijdje aan de weg met het concept van ‘Server Rollen’ en ‘Server Features’. Server rollen zijn rollen die een beheerder kan toevoegen aan een standaard installatie van Windows Server, zodat deze een bepaalde taak vervult (“een service biedt”) binnen het netwerk. Binnen deze definitie ondersteunen Server features Server rollen bij het uitvoeren van deze taken.

Waar Windows 2000 Server bij de introductie standaard nog de Internet Information Services (IIS) geïnstalleerd had, is in Windows Server 2008 geen enkele rol standaard geactiveerd. Sterker nog: de firewall, die standaard aanstaat, zorgt er voor dat een Windows Server 2008 installatie standaard niet kan worden benaderd vanaf het netwerk. 

Wanneer een beheerder nuttig aan de slag wil met een Windows Server 2008 installatie, dient deze een Server rol of Server feature te installeren. (Standaard is wel een file server aanwezig, maar de File Server Role biedt een berg extra functionaliteit hier bovenop.)

ServerManagerDe geëikte tools hiervoor in een volledige installatie van Windows Server 2008 zijn de (automatisch startende) Server Manager, servermanagercmd.exe en pkgmgr.exe. In een Server Core installatie van Windows Server 2008 kan de combinatie ocsetup.exe / oclist.exe naast pkgmgr.exe worden gebruikt.

 

Ter referentie, binnen de scope van deze serie, kijken we naar twee Server Rollen:

  1. Active Directory Domain Controller
  2. Hyper-V

 

Suboptimale situaties

Er is niets dat je tegenhoudt om deze twee rollen samen op één Windows Server 2008 installatie te installeren en te gebruiken. Het is echter suboptimaal en wel om de volgende redenen:

 

ServerLicenseLicenties

Het is licentietechnisch niet interessant om de Hyper-V host ook Active Directory Domain Controller te maken. In januari 2009 heeft Microsoft de licentie voorwaarden voor Windows Server 2008 aangepast, waarbij werd gesteld dat een Windows Server 2008 installatie, die slechts gebruikt wordt voor server virtualisatie doeleinden, niet hoeft te voldoen aan de eisen rondom Client Access Licenses (CALs).

Dit houdt in dat er geen CALs hoeven worden aangeschaft voor alle werkplekken, medewerkers of verbindingen die gebruik maken van de diensten die vanaf de Windows Server 2008 installatie worden aangeboden. (Uiteraard dienen de diensten vanaf de virtuele machines wel juist dienen te worden licensed, inclusief CALs) Wanneer de Hyper-V rol wordt gecombineerd met de Active Directory Domain Controller rol, dan dienen CALs wel te worden aangeschaft.

In een omgeving waarin alle Windows Server 2003 virtuele machines compleet licensed zijn, kost het combineren van de twee rollen dus al snel een flinke duit aan Windows Server 2008 CALs, omdat hier naast de CALs voor Windows Server 2003 ook CALs voor de Windows Server 2008 Domain Controller dienen te worden aangeschaft. Dit betekent effectief de aanschaf van Windows Server 2008 CALs voor alle gebruikers of werkplekken (afhankelijk van het gekozen type CALs).

De laatste keer dat ik prijzen checkte voor Client Access Licenses hing hier per Client Access License een prijskaartje van € 35 aan…

 

ServerDiskSpeed Prestatieverlies

Een Windows Server, die wordt uitgerust met de Active Directory Domain Controller rol kent een trucje: Voor de fysieke harde schijf waarop de Active Directory database wordt geplaatst, wordt Write-back Caching uitgeschakeld. Write-back Caching zorgt er voor dat gegevens naar de harde schijf worden geschreven, wanneer dit pas noodzakelijk is. Write-back Caching zorgt voor een behoorlijke prestatieverbetering, aangezien in de meeste systemen de harde schijf het traagste onderdeel is. Echter, bij een onderbreking in de stroomvoorziening van de Windows Server kan bij ingeschakelde Write-back Caching gegevensverlies optreden. Dit is voor een Domain Controller absoluut niet wenselijk, waardoor voor bovenstaand beleid is gekozen.

Wanneer de Active Directory Domain Controller rol en de Hyper-V Server rol tegelijkertijd worden toegevoegd aan een Windows Server, dan zorgt bovenstaand beleid er voor dat de prestaties van de Hyper-V Server rol achter blijven.

Dit prestatieverlies kan worden gecompenseerd door een extra set fysieke harde schijven (liefst in een mirror) toe te voegen aan de virtuele host en bij installatie de Active Directory database op deze schijven te plaatsen. Slechts de fysieke schijven waarop de database huist, zullen dan met bovenstaand beleid te maken krijgen, terwijl de schijven van het besturingssysteem hun volledige snelheid behouden.

 

UptimeBeschikbaarheid

Het up-to-date houden van een Windows Server blijkt in de praktijk al lastig genoeg. Voor een Windows Server zonder Server rollen verschijnen per jaar al een twintigtal updates, terwijl de Server rollen zelf vaak ook het nodige pleisterwerk vragen. Een Windows Server waarop meerdere rollen zijn geïnstalleerd, behoeft daarom meer lapmiddelen dan een Windows Server met slechts één rol en is dus lastiger up-to-date te houden, vooral in situaties waarin updates handmatig worden uitgerold.

Een Windows Server met de Active Directory Domain Controller rol en de Hyper-V Server rol zal door het toegenomen pleisterwerk een lagere beschikbaarheid hebben, dan een server met slechts de Hyper-V rol of slechts de Active Directory Domain Controller rol. Immers, op sommige Patch Tuesdays zullen updates uitkomen voor één van de rollen, terwijl de andere rol geen update nodig heeft.

Aangezien zowel een Domain Controller, als de Hyper-V host essentieel zijn binnen de ICT omgeving, kan het niet afzonderlijk kunnen updaten van beide servers een spreekwoordelijke pijn in het achterwerk vormen.

 

Exploitable Kwetsbaarheden

Een Windows Server, die wordt gebruikt als virtualisatie platform, waarop ook de Active Directory Domain Controller rol is geïnstalleerd biedt meer aanvliegroutes voor kwaadwillenden. Downtime van een hele virtuele omgeving met als oorzaak remote code execution of denial of service binnen de Active Directory Domain Controller rol, scoort mijns inziens niet hoog op het wensenlijstje van de gemiddelde beheerder.

Dit argument dient niet licht genomen te worden. In de afgelopen jaren zijn er weinig pleisters uitgebracht voor Active Directory Domain Controllers, maar juist in het afgelopen jaar zijn twee pleisters uitgebracht voor de Active Directory Domain Controller rol binnen Windows Server 2008:

    

Concluderend

Hoewel een beheerder technisch gezien geen strobreed in de weg wordt gelegd om de Active Directory Domain Controller en de Hyper-V Server rol tegelijkertijd de installeren, raad ik niet aan dit te doen. Het resulteert in suboptimale situaties met betrekking tot licenties, prestaties, up-to-date houden, beschikbaarheid en veiligheid.

Tot de volgende keer!


LiveAccountPictureFramed_thumb_3CA51[2]Sander Berkouwer is een IT-professional, werkzaam voor Operator Groep Delft (OGD). Hij is een Microsoft Most Valuable Professional (MVP) voor Directory Services. Andere plekken op het Internet naast het IT Pro Community Blog, waar je Sander kunt volgen zijn Sanders blog op de DirTeam.com/ActiveDir.org Weblogs (Engelstalig) en Microsoft Minded. Daarnaast loop je grote kans Sander tegen het lijf te lopen tijdens Microsoft evenementen. Als gewaardeerd spreker is hij meestal wel op een manier betrokken bij de Microsoft IT Pro evenementen.

Commentaar:

Jeroen Stive zei:

Hallo Sander,

Bedankt voor je interesante blogs

Ik heb een vraag over hyper-V i.c.m. AD.

Ik heb een Hyper-V server (nog geen R2) staan met verschillende virtual server (wel R2) waaronder mijn enige DC.

Is het mogelijk om de Hyper-V host in het domein te hangen dat virtueel op diezelfde omgeving draait?

Alvast Bedankt

Groeten,

Jeroen

# December 10, 2009 2:47 PM

Sander Berkouwer zei:

Hoi Jeroen,

Het is zeker mogelijk om een Hyper-V host lid te maken van de Active Directory infrastructuur die op een virtuele server, draaiend op deze server wordt aangeboden.

Ik betwijfel echter of het handig is.

De Hyper-V host zal keurig kunnen herstarten en de Hyper-V service herstarten, zonder aanwezigheid van een Active Directory Domain Controller, maar in het kader van groepsbeleid, clustering en verdere beheerbaarheid is het verre van een ideale situatie.

Kijk anders ook eens naar mijn eerste blogpost in deze serie. Hierin leg ik uit, waarom het handig is om een fysieke Domain Controller (al is het maar een server van € 149) te plaatsen.

# December 24, 2009 2:22 PM

Jeroen Stive zei:

Hoi Sander,

Ik weet dat het niet aan te raden is, maar ik heb thuis een testomgeving met maar 1 machine (Hyper-v), omdat ik met o.a. SCVMM wil gaan testen wil ik de Hyper-V host graag in het domein hebben omdat dat beter praat met elkaar.

Ik heb ook al Blogs gezien over mensen die de Hyper-V host ook als DC gebruiken, ik denk dat dat handiger is voor een testomgeving.

Ik ga binnenkort over naar 2008 R2 voor mn host dus dan maak ik er maar meteen een DC van.

Bedankt voor je antwoord, dan weet ik iig dat het wel kan.

Mvg,

Jeroen Stive

# January 8, 2010 2:41 PM

Installing Domain Controller on Hyper-V Host Drija zei:

PingBack vanaf  Installing Domain Controller on Hyper-V Host Drija

# May 26, 2011 1:13 AM

Installing Domain Controller on Hyper-V Host - Just just easy answers zei:

PingBack vanaf  Installing Domain Controller on Hyper-V Host - Just just easy answers

# September 6, 2013 5:28 AM
Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 
CaptchaCube Vraag:


Antwoord: