有一篇Microsoft知识库文章讨论了在VM上运行DC的最佳实践.其中一个注释是“不要在运行域控制器的虚拟机上使用导出功能”.要导出VM,需要关闭VM.如果关闭DC VM,将其导出,将其导入另一台服务器,然后重新启动VM,只要原始(导出)VM从未重新打开电源,就不会有任何风险.有人可以向我解释为什么不支持这个?在Google上进行了一些搜索之后,我发现这些网站只是从知识库文章中回流这一行,但没有提供任何解释,说明为什么不支持这一点.
解决方法
问题的核心在于每个域控制器由域唯一标识的方式,以及域信息如何通过系统复制.
至关重要的是:
A)每个域控制器始终保持其自己的唯一ID,不变.克隆DC或更改其SID的操作将破坏此操作.
B)新的DC仅通过DCPROMO过程添加到域中.域依赖于此进程添加到域中的信息,以识别网络上的DC.任何使机器在线看起来是有效的DC但在域中没有得到唯一推广的操作,都会引起各种令人头疼的问题.
C)DC永远不会向后恢复到某一点.因此没有快照等.这是因为域依赖于增加的票号类型系统来识别域的更改.恢复到先前状态的DC将具有较低的票证ID,而域具有较高的票证ID.这将引导您进入Grizly描述的USN回滚场景.
总结:运行虚拟DC是可能的,但您必须格外小心,不要执行会违反DC操作要求的VM操作.
