Les contrôleurs de domaines en environnement virtuel

Voici un billet qui recense les bonnes pratiques à propos des contrôleurs de domaines virtualisés mais également ce qu’il faut faire/penser pour procéder à une opération de P2V. Les conseils abordés ici doivent absolument être suivis à la lettre sous peine d’obtenir des USN Rollback, des corruptions majeures de la base Active Directory, … Ces conseils sont valables pour Hyper-V mais pour tous les autres hyperviseurs du marché également.

Recommandations sur les DC virtualisés

Les contrôleurs de domaine ne doivent jamais être mis en pause ou dans un état enregistré, sous peine de faire planter la réplication (toujours cette histoire d’USN). Les disques virtuels VHD ne doivent jamais être copiés, clonés et aucun snapshot (instantané) ne doit être réalisé/utilisé ! Si vous devez cloner un serveur, n’utilisez plus NewSID (voir le pourquoi ici => http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx) mais utilisez SysPREP, seule méthode officiellement supporté par Microsoft. Afin de privilégier les performances, les taille de VHD fixe sont préférables voire même les disques Pass-Trough mais jamais utiliser des disques de différenciation. Evidemment, n’utilisez pas la fonction d’exportation de Hyper-V.

Concernant les sauvegardes et les restaurations, utilisez obligatoirement les outils intégrés à Windows Server, à savoir Windows Server Backup et plus particulièrement l’Etat Système.

Opération de P2V d’un DC

La communauté a vu beaucoup d’encre à coulé à propos de l’aspiration d’un DC, certains vont vous dire que ce n’est pas possible, d’autre oui sous certaines conditions que je vais aborder ici.

Premier point, les bonnes pratiques veulent que vous disposiez de 2 DC par domaine, et ce pour plusieurs raisons: sécurité, redondance, et facilité de migration également: le fait de mettre Offline un DC impactera beaucoup moins la production si un deuxième DC est présent !

Les différences de performance entre un DC virtuel et physique, selon les opérations, sont de l’ordre de 3 à 10 % environ. L’utilitaire ADTest.exe disponible à cette adresse http://go.microsoft.com/fwlink/?LinkId=137088 permet de mener des benchmarks à ce sujet.

Donc, si vous disposez de deux DC dans votre domaine, il conviendra de s’assurer en premier lieu:

  • de s’assurer que les DC sont repliqués avec un USN unique à l’aide de la commande repadmin /showutdvec mondc dc=domaine,dc=local
  • d’avoir réalisé une sauvegarde du System State
  • transférer les rôles FSMO du futur DC virtualisé vers le DC physique

Bien entendu, la méthode la plus simple reste le fait de disposer d’un DC physique et d’installer depuis zéro un DC virtuel à l’aide de DCPROMO, ce qui d’ailleurs est préconisé par Microsoft.

Un autre conseil, qui je pense parait logique, mais auquel on ne penserait pas forcément dans un premier temps. Si possible, vos serveurs Hyper-V doivent être dans un groupe de travail (WORKGROUP) car si votre serveur Hyper-V est dans un domaine et que les DC sont virtuels, au démarrage, il pourrait y avoir des problèmes…. (DNS, ADS, ….) Certes, l’installation et la supervision/management de Hyper-V reste peu accessible lorsqu’il n’est pas dans un domaine, néanmoins j’avais déjà rédigé un billet à ce sujet, et ainsi, vous administrerez par le biais de RSAT votre/vos serveur(s) Hyper-V sans être dans un domaine.

Afin d’éviter les USN Rollbacks, lors d’une opération de P2V, les serveurs physiques et virtuels ne doivent pas être sur le même réseau s’ils doivent être en ligne. Pour cela, utilisez la carte interne Hyper-V ou désactivez la carte réseau ou installez encore l’adaptateur Loopback réseau. Les services de temps dans un environnement Active Directory sont très importants et ne doivent pas être négligés ! Il convient de désactivez la synchronisation de l’heure entre le serveur hôte de le DC virtuel au niveau des services d’intégration Hyper-V.

SCVMM reste la meilleures solution pour procéder à un P2V d’un DC si vous les faites de façon Offline. Si vous faites un P2V avec SCVMM ou Disk2VHD, vous obtiendrez à coup sûr l’erreur 13249 avec une corruption de la base voir un delta USN. Pour mettre Offline votre DC, arrêtez le service NTDS ou redémarrez votre DC en mode Restauration AD (DSRM). Pour obtenir de bonnes performances, privilégiez le stockage de la base, journaux, SYSVOL sur un disque virtuel différent du système d’exploitation. Privilégiez les contrôleurs SCSI et désactivez le cache en écriture sur les lecteurs IDE et/ou hébergeant les journaux, basen …. et ne procédez pas au redimensionnement des disques sous peine de perdre la signature des disques.

A l’issue de l’opération de P2V, il est impératif de démarrer automatiquement les DC lors du démarrage du serveur Hyper-V et également paramétrer l’arrêt propre du DC en cas de reboot ou d’arrêt de l’hôte Hyper-V.

Si vous désirez transformer des DC existants:

  • Windows 2000: Service Pack 4 + KB885875
  • Windows 2003: Service Pack 2 mini + KB875495