AHV上でのドメインコントローラーを稼働させるポイント

 Nutanix Advent Calendar 2017に参加しています。
 Nutanix Advent Calendar 2017 の1枚目。22日目への投稿です。

Windows Server 2008 以前は仮想環境上でドメインコントローラを稼働させることは非推奨でした。
今も推奨されているわけではありませんが、HyperviserやWindows  Serverの機能が整ってきたこともあり、仮想環境上でドメインコントローラを稼働させることも良くあることになってきています。

一般的に仮想環境上でドメインコントローラを稼働させる時は次のような注意点があります。

1．時刻同期対策
2．ハイパーバイザーのスナップショットからの不用意なリストアを避ける
   
AHVではどこまで対応しているか興味があったので実際に試してみました。
結論としては、使えなくはないが注意点もありますよ、というのが答えです。

では、実際どのような点に注意すべきなのでしょうか。

1．時刻同期対策

仮想化環境で運用するとハードウェアクロック（CPUで生成される時間）は、仮想マシン間でCPUを共有するためずれます。
AHVの場合も同様です。
Windowsはこのハードウェアクロックをみていますので、時刻ずれの問題が発生します。
Active DirectoryはKerberosなど厳密な時間管理が必要な機能を使用していますので、あまり大幅な時刻ズレは避ける必要があります。

ハードウェアクロックを仮想マシンに適用しないようにする機能があります。

・WindowsゲストOSで「RealTimeIsUniversal」レジストリキーを構成する
https://portal.nutanix.com/#page/kbs/details?targetId=kA03200000098c9CAA

この機能と外部のNTPサーバを利用する事で時刻ズレをさけることができます。

2．スナップショット機能連携

Active Directoryのドメインコントローラーは一般的に複数台で運用します。
ドメインコントローラー間ではディレクトリサービスとして認証情報などを共有しています。
複数のドメインコントローラーのディレクトリサービスのデータベースの情報に齟齬が生じないように時系列でデータを管理しています。


そのため、ドメインコントローラのリストアについては手順を踏む必要があります。

ついうっかり古い情報でリストアしてしまった場合は、次のようなエラーが出てドメインコントローラの同期が停止します。

仮想環境では気軽にスナップショットが取れるので、気軽にリストアしてしまいがちです。皆さんも経験ないですか？


このうっかりやっちゃった時の救済策として、Windows Server2012以降、VM-Generation IDという機能により時刻の巻き戻しを検知してディレクトリサービスのデータベースの破損を防ぐ機能が実装されました。

Hyper-V 2.0 (Windows Server 2012)以降やvSphere5.1以降はこの機能に対応しています。

この画面はESXi6.5u1上で稼働するWindows Saver 2016ドメインコントローラーのイベントログです。
ESXiではVM-Generation IDをドメインコントローラーが検知しています。


AHVでも対応しているか確認しました。
次の画面はAHV上に導入したドメインコントローラーのイベントログです。
イベントログを検索しましたが、IDは検知できていません。

現時点のAHVでは対応していないようです。
そのため、不用意にスナップショットをリストアするとリストアしたドメインコントローラーが排除されてしまいます。

皆さんもご存知のとおり、ESXiのスナップショット機能はパッチ適用時の検証用途で使えても、バックアップとしては使えません。AHVやESXiなどハイパーバイザーを問わず、スナップショットは不用意に使わない。ということが仮想環境におけるドメインコントローラ導入のお約束です。

3．AHV環境でのバックアップはどうするの？

ドメインコントローラーはOSのシステム状態やsysvolを保存することでバックアップ可能です。また、正規のリストア手順はディレクトリ復元モードを使用します。

・非Authoritative  Restore （ハード障害時にサーバを復元）
・Authoritative Restore （ソフトウェア障害時にディレクトリサービスのデータを復元）

Windows Backupなどを併用することで確実に復元が可能です。

この辺りは、物理サーバでの運用と同じですよね。

4．まとめ

今回、AHVの使いこなし編として、ドメインコントローラの運用がどうなるのか試してみました。

NutanixにはTimeStream機能など簡単に使える便利な機能があり、殆どの環境ではバックアップに困ることがなくなりました。
ただ、アプリケーションによっては今回のような注意点もあります。

AOS5.5がリリースされ、Calmなどのオートメーションの機能も実装されてきています。
スナップショットやクローニングなどの機能の重要度が増してきます。
システムとして運用に耐えるのか、このような観点でテストしてみることも重要だと思います。

NutanixはCommunity Edtionという評価で使用可能な製品も提供してくれています。
気になるところがあれば、是非インストールして試してみてください。

なお、今回のテストの結果、気になる点が増えました。
・スナップショット連携で確実に戻せる方法は？
・DRしたらどうなるの？
・イメージサービスやXtract for VMで移行した場合は？

この辺りはおいおい試した結果をまとめたいと思います。

----

今回、Nutanix Technology Champion 2018に選出されたshadowhatさんにお誘いいただいてNutanix Advent Calender 2017に参加しました。ブログもつい最近始めたばかりですが、今後さらに盛り上がっていくであろうCommunityに時々でも貢献できればと思っています。

よろしければブックマークしていただいてたまにでも見に来てください。

Advent Calendar 23日目はshadowhatさんです。よろしくお願いします！