Можно ли вводить в домен физ хост, на котором ВМ c контролером домена?

Question

[Олег Шевченко]

Имеется 2 сервера на борту с win server 2016 std, на них поднят Hyper-v, на каждом хосте ВМ с DC , все службы реплицируются (dc, dns,dhcp). Вопрос в том можно ли ввести в домен физические хосты? Какие могут быть проблемы? (ввод в домен хочется в основном для аутентификации). Спасибо за ранее за рекомендации!

Comments

[hint000]

Какие могут быть проблемы?

Сразу - никаких. Но рано или поздно будет нештатная ситуация, и вот тогда это решение может привести к тому, что вместо двух часов на восстановление вы потратите четыре (к примеру). Два физических сервера вам помогут в некоторых ситуациях, а в некоторых других не помогут (случаются такие совпадения, что нарочно не придумаешь). Так что я бы не стал так делать. Разве только в качестве мины замедленного действия для нелюбимой компании перед увольнением (шутка).

[Олег Шевченко]

hint000, а если добавить RODC на другой физ машине?

[Евгений Намчук]

Однажды вошедшие под своим доменным именем пользователи, кэшируются и могут войти ещё около 50 раз без рабочего контроллера домена. При внештатной ситуации можно войти локально. Поэтому, не вижу проблемы в размещении хоста виртуализации в доменной сети на виртуализации на этом же хосте.

[hint000]

Олег Шевченко, смысл моей рекомендации в том, чтобы на всякий непредвиденный случай оставить возможность доступа к консоли DC (т.е. не по сети с точки зрения DC). Это может быть: (а) хотя бы один DC на физ.машине, или (б) хотя бы один DC на ВМ на хосте, который не в домене. Насколько я понимаю, свойство ReadOnly тут особой роли не играет, это для других ситуаций, так что можно RO, можно не-RO.

Примеры нештатных ситуаций, когда это упростит диагностику и исправление:
- малварь в локальной сети производит брутфорс пароля администратора домена, соответственно блокировка учётки админа;
- сетевые проблемы в локалке в целом или на Hyper-V.

[Алексей]

hint000, я вас удивлю, но УЗ администратора не блокируются, рекомендую почитать "Миромото".

Answer 1

[Дмитрий]

Пользуюсь таким сетапом несколько лет. Проблем не было. Единственное что - у меня два контроллера и их виртуалку прибиты гвоздями к гиппервизорам (запускаются/выключаются вместе с ним)

Comments

[Олег Шевченко]

ну у меня так же. при чем на остальных гостях выставлены задержки на старт, а вот как у вас происходит загрузка с нуля, то есть когда все выключено и физ машины стартуют одновременно?

[Дмитрий]

Олег Шевченко, виртуалки с контроллерами стартуют первыми (вместе с хостами), остальные с задержкой 240 секунд.

[Алексей]

С 2014 года на 2008R2 все прекрасно крутиться по такой схеме.