none
Domain controllers virtuales RRS feed

  • Debate general

  • Buenas tardes.

    Con las nuevas versiones desde w2012 R2 he oido mucho sobre virtualizar domain controller, imagino queo con 2016 ira a mas aun.

    ero es recomendable por ejemplo, ¿tener todos los DC virtualizados?

    Por ejemplo, en 2 clusters uno con VMWARE y otro con HYPER-V en almacenamientos diferentes, tener un DC en cada uno, y ahorrarme el servidor fisico de DC.

    Segun dice Microsoft y vuestras experiencias, ¿que considerais mejor?

    saludos.

    martes, 23 de mayo de 2017 13:38

Todas las respuestas

  • Todo virtualizado como un campeón.

    Esteban


    http://nextadmin.blogspot.com

    martes, 23 de mayo de 2017 19:21
  • Existen varias consideraciones y dilemas sobre esto, pero sigue siendo el diseño la parte fundamental en tu infraestructura. 

    Por ejemplo: tus servidores  hyper-v debieran ser parte de otro dominio, diferente al de los host huespedes.

    acá puedes encontrar un post que merece ser leído (en ingles).

    https://blogs.msdn.microsoft.com/virtual_pc_guy/2008/11/24/the-domain-controller-dilemma/

    martes, 23 de mayo de 2017 19:25
    Moderador
  • Hace años que ni promociono ni veo por ahi DCs físicos

    Yo por lo menos no soy un taliban de las buenas prácticas, me las dicta el dia a dia y la experiencia, y no pasa nada, es más, estás tirando recursos bajo mi punto de vista.

    También depende mucho de si es dominio productivo, entorno dev y demás cosas... volumen de identidades... hay un sinfin de info que se tiene que valorar desde el punto de vista de arquitectura.

    En el caso de una estructura de DCs muy grande quizá si me plantearia dejar algo físico por ejemplo para los DNS superiores en la estructura, o el fsmo... pero sino virtual y palante, que el Hardware es caro.

    Julio

    martes, 23 de mayo de 2017 20:07
  • Hola, Juan Pablo Gonzal:

    Me atrevo a decir que no se trata de la infraestructura física/virtual que establezcas, sino de cumplir 2 premisas que a mi juicio personal, considero se debe cumplir SIEMPRE:

    1. Los servidores han de funcionar con los objetivos por los que se han configurado
    2. Los servidores han de estar disponibles cuando realmente son necesarios

    Personalmente, me baso en éstas 2 sencillas premisas para gestionar no sólo mi arquitectura corporativa, sino tambien para mis recomendaciones. Coincido en parte con el compañero Julian Ros en que debes basarte en las buenas prácticas, pero la experiencia te las dicta el día-a-día.. y precisamente por ello NO recomiendo que los servidores críticos estén virtualizados; esto es: DCs-DNS, CAs, Exchange y S4B (añadiendo, por supuesto la que gestione algún aplicativo crítico para la compañía, como un gestor SAP, CRM, WACs, SharePoint.. etc).

    Sí es interesante tener redundancia virtual de los servidores críticos, para continuidad de negocio.. y ya de paso los recursos "sobrantes" del host pueden albergar el resto de servidores virtuales: servidores de presencia/ticketing, proxy, Airwatch.. etc.

    Que las máquinas físicas son caras? Por supuesto!! Por algo será!!
    Por qué TU director general tiene un chófer que le lleva en un Mercedes último modelo? Seguro que el servicio es baratísimo.. aunque también podría conducir un utilitario de 20 años como el tuyo, no crees? Al fin y al cabo, también es un coche..

    Luego quieren culparnos a los Ingenieros por *tonterías* como el WannaCrypt..

    Desiderio Ondo || Engineer

    miércoles, 24 de mayo de 2017 9:16
  • Existen varias consideraciones y dilemas sobre esto, pero sigue siendo el diseño la parte fundamental en tu infraestructura. 

    Por ejemplo: tus servidores  hyper-v debieran ser parte de otro dominio, diferente al de los host huespedes.

    acá puedes encontrar un post que merece ser leído (en ingles).

    https://blogs.msdn.microsoft.com/virtual_pc_guy/2008/11/24/the-domain-controller-dilemma/

    Esa recomendación es del año 2008!!!!!! Pasaron 8 años, varias versiones de Windows y de virtualizadores! Hoy en día esta soportado tomar y aplicar snapshots, clonar DC, etc etc etc

    Un ejemplo de tener un cluster de Hyper-V en otro dominio era porque antes ese cluster no podía levantar si no podría contactar a uno de los DC, hoy un cluster de Hyper-V levante sin ese requerimiento.


    http://nextadmin.blogspot.com

    miércoles, 24 de mayo de 2017 14:54
  • Hola, Juan Pablo Gonzal:

    Me atrevo a decir que no se trata de la infraestructura física/virtual que establezcas, sino de cumplir 2 premisas que a mi juicio personal, considero se debe cumplir SIEMPRE:

    1. Los servidores han de funcionar con los objetivos por los que se han configurado
    2. Los servidores han de estar disponibles cuando realmente son necesarios

    Personalmente, me baso en éstas 2 sencillas premisas para gestionar no sólo mi arquitectura corporativa, sino tambien para mis recomendaciones. Coincido en parte con el compañero Julian Ros en que debes basarte en las buenas prácticas, pero la experiencia te las dicta el día-a-día.. y precisamente por ello NO recomiendo que los servidores críticos estén virtualizados; esto es: DCs-DNS, CAs, Exchange y S4B (añadiendo, por supuesto la que gestione algún aplicativo crítico para la compañía, como un gestor SAP, CRM, WACs, SharePoint.. etc).

    Sí es interesante tener redundancia virtual de los servidores críticos, para continuidad de negocio.. y ya de paso los recursos "sobrantes" del host pueden albergar el resto de servidores virtuales: servidores de presencia/ticketing, proxy, Airwatch.. etc.

    Que las máquinas físicas son caras? Por supuesto!! Por algo será!!
    Por qué TU director general tiene un chófer que le lleva en un Mercedes último modelo? Seguro que el servicio es baratísimo.. aunque también podría conducir un utilitario de 20 años como el tuyo, no crees? Al fin y al cabo, también es un coche..

    Luego quieren culparnos a los Ingenieros por *tonterías* como el WannaCrypt..

    Desiderio Ondo || Engineer

    Hace años que utilizamos virtualizado Exchange, DC, SAP, etc etc etc
    Un cluster de Hyper-V o de VMWare correctamente configurado te da mejor disponibilidad que un server separado con tu AD.

    Claro, que montar un cluster en HA con Storage en HA, etc etc etc no es simple, claro... por eso uno estudia y se capacita.

    Ojo, tener un Mercedes último modelo no te sirve de nada si el chofer no sabe manejar.


    http://nextadmin.blogspot.com

    miércoles, 24 de mayo de 2017 14:57
  • Bueno, yo te deseo suerte restaurando desde un snapshot con los USN Rollback 

    http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/solutions/virtualizing-active-directory-domain-services-on-vmware-vsphere.pdf


    miércoles, 24 de mayo de 2017 15:08
    Moderador
  • En este tema siempre habrá divergencias, es normal, hay pros y contras...

    Yo tengo claro que los PROs son mayores que malbaratar recursos, al menos con un entorno de identities <1000usr, a partir de ahi y si hay dispersión geográfica puedo valorar un DC físico, pero vamos, he visto entornos de 50K users sin ningún DC virtualizado, y no pasa nada. Los riesgos de los USN rollbacks ya no son los que eran desde WS2012 tampoco...

    A parte, aunque el AD tiene una arquitectura resiliente, la máquina física te ata al estado del HW mientras que un entorno virtual clusterizado te quita esa dependencia a todos los niveles.

    Por lo demás, como decía otro compañero, toda arquitectura depende del entorno que soporta, en AD y con cualquier otra aplicación.

    Y si el entorno es dificil de valorar, siempre te quedará Azure.. :/

    miércoles, 24 de mayo de 2017 21:00
  • Interesante el debate :)

    Sólo agregar dos cosas que veo que han quedado medio flotando

    - Clonado de DCs está soportado desde W2012 si el sistema de virtualización soporta "VM Generation ID"

    - Cluster en Grupo de Trabajo, sin Dominio, se puede hacer perfectamente. Creo que en teoría está desde W2012R2, pero lo he probado con W2016 y funciona

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 24 de mayo de 2017 21:35
    Moderador
  • esto esta muy interesante!!

    Pero al final podriamos por concluir con:

    Si el sistema de Virtualizacion sea hyper-v o vmware o xenserver tiene VM GENERATION ID" y el sistema es a a partir de w2012 Microsoft dice que esta soportado.

    Todo lo que no sea esas condiciones, no soportado.

    ¿podriamos resumirlo asi?

    saludos.

    jueves, 25 de mayo de 2017 14:25
  • Windows Server 2012: Clonar un Controlador de Dominio Virtual | WindowServer:
    https://windowserver.wordpress.com/2012/07/13/windows-server-2012-clonar-un-controlador-de-dominio-virtual/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 25 de mayo de 2017 14:54
    Moderador
  • Reconozco que realmente se pone interesante el debate!!

    Me atrevo a lanzar un órdago al aire: en realidad, todos dependemos del cuidado que tenga el chasis físico. Simplemente decir que aunque podamos clonar los DCs gracias a la utilidad VM GENERATION ID (gracias por compartirlo, compañeros ;-)) la diferencia entre que deje de funcionar un host físico ESXi/Hyper-V server y un DC físico es simple: el número de servicios que dejan de ser operativos!

    Sinceramente, si sobre todo ahora que se aproxima "el caloret" (y todos sabemos que el aire de los CPDs fallarán "casualmente" durante un fin de semana), prefiero tener un cierto.. control sobre las máquinas que puedan estar inoperativas: En el peor de los casos, siempre puedo agarrar uno de mis DC's físicos.. y "enracarlo" como sea en una nevera..

    Vuestras opiniones, por favor?


    Desiderio Ondo || Engineer

    jueves, 25 de mayo de 2017 15:31
  • Nadie puede negar las ventajas de virtualizar y las distintas funcionalidades que nos brindan los hypervisores (que varían según versión y licenciamiento), pero creo que todo parte de la base de un buen diseño de la infraestructura y dejar una real alta disponibilidad los servicios que definamos como críticos. Pero considerando todos los puntos de falla, desde  energía, almacenamiento, comunicaciones, servidores, servicios.  

    Varias veces me he encontrado que todo depende de un solo storage, un switch o un enlace :/.

    jueves, 25 de mayo de 2017 15:44
    Moderador
  • ¿Y que todo dependa de un único admin? :)

    Que por supuesto además no ha documentado nada

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 25 de mayo de 2017 20:21
    Moderador
  • Bueno, yo te deseo suerte restaurando desde un snapshot con los USN Rollback 

    http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/solutions/virtualizing-active-directory-domain-services-on-vmware-vsphere.pdf


    Pero ese documento es del 2014 !!!! Tiene 3 años al día de hoy!!!!

    Según vos vas a postear algo que dice que las PC no puede usar mas de 640k de memoria y va a ser válido.

    Ese documento era verdad hace 3 años, en el 2017 (que es el año que vivimos) ya quedo viejo.

    Hay que actualizarse constantemente en este rubro, no podes continuar tomando como válido algo de hace 3 años, hay que leer y capacitarse constantemente.

    Esteban


    http://nextadmin.blogspot.com

    viernes, 26 de mayo de 2017 12:26
  • Este thread se está forocochizando ...

    Yo en mi caso paso más horas con Azure que en el mundo físico pero una cosa tengo clara, en ninguna arquitectura existe el 100% de disponibilidad, física o virtual. Siempre existé algún punto de fallo único, sea en comunicaciones, almacenamiento, computación, un bug, un exploit, un usuario aburrido que abre un mail y te distribuye un wannacry por toda la red...

    Y como decia Guillermo (bien visto xD), si estuviera todo perfecto, siempre estaría un sysadmin detrás... a veces sólo, a veces con un mal dia, que la puede liar... 

    Esto aplica desde la arquitectura más pequeña a cualquier Cloud como Azure o AWS

    Nadie ofrece un SLA de 100% por eso, porque no es creible 

    sábado, 27 de mayo de 2017 2:34