適用於: Windows Server 2008, Windows Server 2008 R2, Windows Virtualization
在開始進行將網域控制站轉變成虛擬機器的處理程序之前,您應該考慮下列幾件事。首先,您應該了解將網域控制站轉變成虛擬機器的優點與缺點。您還應該了解設定 Hyper-V 伺服器的硬體需求。我們將在此主題的下列各節討論這兩個議題。
如果您決定建立虛擬網域控制站,請參閱此主題稍後各節,以取得為 Hyper-V 伺服器與虛擬機器選取適當設定類型的相關資訊。同時您也將取得決定安全性與效能的討論。
考慮網域控制站虛擬化
在將網域控制站轉變成虛擬機器之前,請仔細考慮如此做的優點與缺點。利用 Hyper-V,可以縮減實體機器與虛擬機器之間的差異。然而,還有一些重要的因素可協助您決定網域控制站是否應該虛擬化。
.gif) |
|---|
網域控制站虛擬化的優點
虛擬網域控制站具有下列優點:
- 合併。您可以利用 Hyper-V 將多個網域控制站與其他應用程式伺服器合併成較少的伺服器。在為一或多個其他站台出現之小型網域提供服務的中樞站台中,如果有多個網域控制站,就不必部署多個實體網域控制站來提供 Bridgehead 伺服器與支援備援。
- 測試。因為測試環境很少需要高效能的網域控制站,所以您可以使用比有虛擬技術之前更少的硬體來設定代表生產環境的測試設定。您可以在具有與生產網域控制台相同 Active Directory 設定 (包括網域與站台) 的一些實體電腦上,代表許多網域控制站。在生產環境進行變更之前,可以先測試複雜的變更,例如結構描述變更或大幅度的 Active Directory 站台或複寫變更。
- 部署。在虛擬機器的存留時間中,Hyper-V 所模擬的硬體環境維持不變,無論要傳輸虛擬機器所用的原生硬體目的地為何。因此,即使預定的生產伺服器可能有很大的差異,您也可以在預先生產環境中改變伺服器硬體來建置和測試這些映像。
- 效能。如果您遵循本指南各主題中所有的效能建議,則可以預期在重負載的虛擬機器中執行的單一網域控制站,其效能只比在相同規格的原生硬體上執行的單一網域控制站降低百分之 2 至 12。
網域控制站虛擬化的缺點
本指南包含在生產環境中執行網域控制站虛擬機器之風險的相關重要資訊。虛擬硬碟 (VHD) 檔案很容易使用,但也可能很容易被誤用,這就是為何在生產環境中部署這些檔案時要特別小心管理它們的原因。在考慮是否在虛擬機器中執行網域控制站時,請記得處理 VHD 映像檔案不當時可能導致整個樹系的毀損。不當處理 VHD 檔案,可能與像啟動舊版 VHD 檔案、複製 VHD 檔案至網路其他位置以及同時執行多個複本一樣簡單。
虛擬網域控制站具有下列缺點:
- 管理。在生產環境中,有意或不小心誤用 VHD 檔案會毀損整個樹系的資料。在多數情況下,作業系統可偵測到不當的還原狀況並停止複寫。然而,這無法保證可以在所有狀況下保護資料。若要保護樹系免於受到在虛擬機器中執行之網域控制器不當還原的影響,請確定組織中所有的系統管理員都已經檢閱附錄 A:虛擬網域控制站以及複寫問題中的資訊。
- 安全性與映像檔案的處理。處理 VHD 檔案或具有 VHD 檔案其他存取權的任何人,都必須是組織中受到高度信任的人,而且是樹系中受信任安全性群組的成員。有能力複製 VHD 檔案的任何人都能有效地擁有樹系及其資料。攻擊者或未獲授權的系統管理員可以使用複製的虛擬機器檔案來洩漏密碼或毀損樹系。而且,不同於偷竊實體電腦,偷竊 VHD 檔案更難以偵測。因此,您應該使用保護實體網域控制站的相同實體限制與軟體限制,來保護主機作業系統與客體作業系統的 VHD 檔案。這些限制包括控制檔案的存取權以及稽核檔案存取權,如本主題稍後討論的<安全性考量>所述。
Hyper-V 需求
若要安裝和使用 Hyper-V 角色,您必須具有下列各項:
- x64 處理器。Hyper-V 可在 x64 版本的 Windows Server 2008 中使用,特別是 x64 版本的 Windows Server 2008 標準版、Windows Server 2008 企業版以及 Windows Server 2008 Datacenter。
- 硬體協助虛擬化。此功能可在包含虛擬選項的處理器中使用,特別是 Intel Virtualization Technology (Intel VT) 或 AMD 虛擬化 (AMD-V)。
- 硬體資料執行保護 (DEP)。必須擁有並啟動硬體 DEP。尤其是,您必須啟用 Intel XD 位元 (執行停用位元) 或 AMD NX 位元 (無執行位元)。
計劃保留部分實體網域控制站
您應該在 Active Directory 基礎結構的每個網域中保留一或二個實體網域控制站。虛擬軟體或執行該軟體之硬體的特有問題,可能會中斷網域 (或者甚至樹系) 中每個網域控制站的服務。可能的話,讓您用來管理網域控制站的硬體多樣化,使得單一硬體問題不致於中斷 Active Directory 服務。
安全性考量
您必須將執行虛擬網域控制站的主機電腦當作可寫入網域控制站一樣小心管理,即使該電腦只是加入網域或工作群組電腦也一樣。這是很重要的安全性考量。管理不善的主機很容易受到提高權限攻擊,這類攻擊會在惡意使用者取得未獲授權或合法指派的存取權與系統權限時發生。惡意使用者可以使用這類攻擊來危害此電腦所管理的所有虛擬機器、網域以及樹系。
計劃虛擬網域控制站時,請切記下列安全性考量:
- 管理虛擬、可寫入網域控制站之電腦的本機系統管理員,他的認證應該被視為相當於所有網域以及那些網域控制站所屬樹系之預設網域系統管理員的認證。
- 避免安全性與效能問題的建議設定,是使用執行 Windows Server 2008 之 Server Core 安裝的主機,其中沒有 Hyper-V 以外的其他應用程式。此設定會限制可在伺服器上安裝的應用程式與服務的數目以提升效能,且會有較少的應用程式與服務被惡意利用來攻擊電腦或網路。這種設定類型的作用稱為降低攻擊面。在分公司或無法受到滿意安全保護的其他位置,建議使用唯讀網域控制站 (RODC)。如果存在個別管理的網路,建議您只將主機連線到管理網路。
如需 RODC 的相關資訊,請參閱<唯讀網域控制站規劃和部署指南>(http://go.microsoft.com/fwlink/?LinkID=135993 (可能為英文網頁))。
如需保護網域控制站安全的相關資訊,請參閱<保護 Active Directory 安裝安全的最佳作法指南>(http://go.microsoft.com/fwlink/?LinkId=28521 (可能為英文網頁))。
安全性範圍
使用虛擬機器可讓網域控制站有許多不同的設定。您必須仔細考量虛擬機器影響 Active Directory 拓撲範圍與信任的方式。Active Directory 網域控制站與主機 (Hyper-V 伺服器) 及其客體電腦 (在 Hyper-V 伺服器上執行的虛擬機器) 的可能設定,在下表有詳細說明。
| 機器 | 設定 1 | 設定 2 | 設定 3 |
|---|---|---|---|
主機 | 工作群組或成員電腦 | 網域控制站 | 網域控制站 |
客體 | 網域控制站 | 工作群組或成員電腦 | 網域控制站 |
.gif)
設定 1 是您使用 Hyper-V 時建議採用的網域控制站設定。在此設定中,必須考慮下列項目:
- 主機電腦的系統管理員與可寫入網域控制站客體上的網域系統管理員擁有相同的存取權,而且必須視為如此。在 RODC 客體的情況下,主機電腦的系統管理員與客體 RODC 上的本機系統管理員擁有相同的存取權。
- 如果主機加入相同的網域,則虛擬機器中的網域控制站擁有該主機的系統管理權限。如果惡意使用者先取得虛擬機器 1 的存取權,則惡意使用者有機會可以危害所有虛擬機器。這也稱為攻擊向量。如果網域控制站用於多個網域或樹系,則應該集中管理這些網域,其中單一網域的系統管理員要受到所有網域的信任。
- 即使將虛擬機器 1 安裝為 RODC,仍然有機會從虛擬機器 1 進行攻擊。雖然 RODC 的系統管理員並非明確擁有網域系統管理員權限,但仍可使用 RODC 傳送原則給主機電腦。這些原則可能包含啟動指令碼。如果成功完成此操作,可能會危害主機電腦,然後再用它來危害主機電腦上的其他虛擬機器。
在設定 2 中,主機電腦是啟用 Hyper-V 角色的網域控制站。然而,如果設定 Active Directory 網域服務 (AD DS) 使用限制委派,則不會自動為虛擬機器 (也就是非網域控制站虛擬機器) 建立服務主要名稱 (SPN)。因此,必須手動建立這些 SPN。若要新增限制委派的 SPN,請完成下列程序。
在執行 Hyper-V 並要設定限制委派的網域控制站上,請執行下列程序。
手動建立 SPN開啟具有提升之權限的 [命令提示字元] 視窗。若要開啟具有提升之權限的 [命令提示字元] 視窗,請按一下 [開始]。在 [開始搜尋] 中,輸入命令提示字元。在 [開始] 功能表中,在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。
在命令提示字元中輸入下列命令,然後按 ENTER 鍵:
SETSPN -A Microsoft Virtual Console Service/<NetBIOS name> <NetBIOS name>SETSPN -A Microsoft Virtual Console Service/<FQDN> <NetBIOS name>在這些
SETSPN命令中,對於<NetBIOS name>.,請輸入網域控制站的 NetBIOS 電腦名稱 (例如 SERVER1)。對於<FQDN>,請輸入網域控制站的完整網域名稱 (FQDN) (例如 server1.corp.contoso.com)。
| 備註 |
|---|
| 以 Setspn.exe 處理資訊方式的結果,您必須在指示的位置輸入兩次 NetBIOS 名稱,其間以空格分開。 |
如需限制委派功能的相關資訊,請參閱<Kerberos 通訊協定轉換與限制委派>(http://go.microsoft.com/fwlink/?LinkId=137041 (可能為英文網頁))。
在設定 3 中,主機與客體都是網域控制站。只要所有網域控制站都來自相同樹系,此設定不會引起任何安全性問題。在此情況下,登入 Hyper-V 伺服器 (主機) 的使用者應該被視為擁有虛擬網域控制站 (客體) 之網域的預設網域系統管理員權限。
VHD 檔案的安全性
虛擬網域控制站的 VHD 檔案相當於實體網域控制站的實體硬碟機。因此,應該像保護實體網域控制站硬碟機安全一樣來保護它的安全。請確定只允許可靠又受信任的系統管理員存取網域控制站的 VHD 檔案。
RODC
RODC 的一個優點是可以將它們放在無法保證實體安全性的位置 (例如分公司)。在此情況下,必須花費更多精神來減少攻擊的影響。您可以使用 Windows(R) BitLocker(TM) 磁碟機加密來保護主機上 VHD 檔案免受實體硬碟失竊的危害。 如需 Hyper-V 中 BitLocker 的相關資訊,請參閱<Windows Server 2008 Hyper-V 與 BitLocker 磁碟機加密>(http://go.microsoft.com/fwlink/?LinkID=123534 (可能為英文網頁))。
效能
新的 Microkernel 64 位元架構大幅增加舊版虛擬化平台的 Hyper-V 效能。若要達到最佳主機效能,主機應該是 Windows Server 2008 的 Server Core 安裝,而且不能安裝 Hyper-V 以外的其他伺服器角色。
虛擬機器的效能依工作量而定。若要保證滿意的 Active Directory 效能,請測試特定的拓撲。使用類似可靠性和效能監視器 (Perfmon.msc) 或 Microsoft Assessment and Planning (MAP) Toolkit 的工具來評估一段時間的現行工作量 (http://go.microsoft.com/fwlink/?LinkId=137077 (可能為英文網頁))。若您要取得目前存在網路中的所有伺服器與伺服器角色的詳細目錄,MAP 工具也很有用。
若要取得虛擬網域控制站的一般效能概念,請使用 Active Directory 效能測試工具 (ADTest.exe) 來執行下列效能測試 (http://go.microsoft.com/fwlink/?LinkId=137088 (可能為英文網頁))。
您可在實體網域控制站使用 ADTest.exe 執行輕量型目錄存取通訊協定 (LDAP) 測試,然後在與實體網域控制站相同的伺服器所裝載的虛擬機器上執行。實體電腦只能使用一個邏輯處理器,而虛擬機器只使用一個虛擬處理器即可輕易達到百分之百的 CPU 利用。在下表中,每個測試之後括弧中的字母與數字指出 ADTest.exe 的特定測試。如此資料所示,虛擬網域控制站效能為實體網域控制站效能的百分之 88 至 98。
| 度量單位 | 測試 | 實體 | 虛擬 | 差異 |
|---|---|---|---|---|
Searches/sec | 搜尋基準範圍中的通用名稱 (L1) | 11508 | 10276 | 89.29% |
Searches/sec | 搜尋基準範圍中的一組屬性 (L2) | 10123 | 9005 | 88.96% |
Searches/sec | 搜尋基準範圍中所有屬性 (L3) | 1284 | 1242 | 96.73% |
Searches/sec | 搜尋樹狀子目錄範圍中的通用名稱 (L6) | 8613 | 7904 | 91.77% |
Successful binds/sec | 執行快速繫結 (B1) | 1438 | 1374 | 95.55% |
Successful binds/sec | 執行簡單繫結 (B2) | 611 | 550 | 90.02% |
Successful binds/sec | 使用 NTLM 執行繫結 (B5) | 1068 | 1056 | 98.88% |
Writes/sec | 寫入多個屬性 (W2) | 6467 | 5885 | 91.00% |
若要確保滿意的效能,請安裝整合元件 (IC) 讓客體作業系統使用「強化套件」或 Hypervisor 感知綜合驅動程式。在安裝處理程序中,可能需要使用模擬的 Integrated Drive Electronics (IDE) 或網路介面卡 (NIC) 驅動程式。在生產環境中,您應該以綜合驅動程式取代這些模擬驅動程式以提升效能。
當您使用可靠性和效能管理員 (Perfmon.msc) 監視虛擬機器的效能時,虛擬機器的 CPU 資訊不會完全正確,這是在實體處理器排程虛擬 CPU 時所使用的方法造成的結果。當您想要取得在 Hyper-V 伺服器上執行的虛擬機器 CPU 資訊時,請使用主機磁碟分割中的 Hyper-V Hypervisor 邏輯處理器計數器。
如需 AD DS 與 Hyper-V 效能調整的相關資訊,請參閱<Windows Server 2008 效能調整指導方針>(http://go.microsoft.com/fwlink/?LinkId=137276 (可能為英文網頁))。
再者,請勿計劃在設定為網域控制站的虛擬機器上使用差異磁碟 VHD,因為差異磁碟 VHD 會降低效能。若要深入了解 Hyper-V 磁碟類型,包括差異磁碟,請參閱<新增虛擬硬碟精靈>(http://go.microsoft.com/fwlink/?LinkID=137279 (可能為英文網頁))。
操作主機角色
裝載大多數操作主機 (也稱為彈性單一主機操作或 FSMO) 角色的網域控制站,不會明顯比其他網域控制站有更多的工作量。因此,它們在虛擬化時不需要特別考量。Bridgehead 伺服器則不需要特別考量其效能。
網域主控站 (PDC) 模擬器操作主機角色是個例外,它的處理器工作量通常比其他操作主機角色更大。因此,您可以決定使用實體電腦來裝載 PDC 模擬器角色以改善效能。
通用類別目錄伺服器與 Exchange
設定為通用類別目錄伺服器的網域控制站,一般會為執行 Microsoft Exchange Server 的伺服器提供目錄服務,它的效能工作量可能大於網路中其他網域控制站。例如,當 Exchange Server 展開通訊群組清單時,會為提供通用類別目錄服務的網域控制站帶來大量的工作量。基於效能考量,請考慮使用實體伺服器來取代虛擬機器做為提供 Exchange Server 目錄服務的通用類別目錄伺服器。
留言列表
wwtech (0)
