Mobile-Menu

So stellen Sie Hochverfügbarkeit in Windows-Netzwerken sicher Domänencontroller in Hyper-V-Clustern virtualisieren

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Wenn in Netzwerken mit Hyper-V virtualisiert wird, kommen häufig auch Cluster zum Einsatz. In diesem Beitrag geben wir einige Tipps, auf was bei der Virtualisierung von Domänencontrollern auf Clustern geachtet werden muss.

Firma zum Thema

Ein Clusters mit virtuellen Maschinen verspricht hohe Verfügbarkeit. Sollen dort auch virtuelle Domänencontroller zum Einsatz kommen, muss einiges beachtet werden.
Ein Clusters mit virtuellen Maschinen verspricht hohe Verfügbarkeit. Sollen dort auch virtuelle Domänencontroller zum Einsatz kommen, muss einiges beachtet werden.
(Bild: © monsitj - stock.adobe.com)

Beim Aufbau eines Clusters und der Virtualisierung von VMs mit Hyper-V erhoffen sich Verantwortliche im Unternehmen natürlich auch eine umfassende Hochverfügbarkeit. Damit diese auch beim Einsatz von virtuellen Domänencontroller gewährleistet ist, muss jedoch einiges beachtet werden.

Natürlich gelten für Hyper-V-Cluster zunächst die gleichen Empfehlungen, wie beim Betrieb von Hyper-V auf herkömmlichen Hosts. Zusätzlich muss beim Einsatz eines Clusters aber darauf geachtet werden, dass die Clusterknoten und die Clusterkonfiguration optimal für den Einsatz von Active Directory vorbereitet sind.

Bildergalerie
Bildergalerie mit 6 Bildern

Authentifizierung für Cluster sicherstellen

Der offensichtlichste Bereich, der beim Einsatz eines Windows-Clusters beachtet werden muss, ist die Authentifizierung der Serverdienste, Computerkonten und des Betriebssystems, auf dem der Cluster aufbaut. Beim Einsatz von Hyper-V wird hier meistens auf Active Directory gesetzt. Aber auch andere Virtualisierungs-Lösungen nutzen Active Directory. Für alle Lösungen muss sichergestellt sein, dass eine Anmeldung erfolgen kann.

Setzen Unternehmen hier auf Active Directory, dürfen natürlich nicht alle DCs auf dem Cluster virtualisiert werden. Die VMs starten erst nach dem Clusterdienst in Windows und ermöglichen daher nicht die Anmeldung des Host-Betriebssystems. Hier muss darauf geachtet werden, dass für den Cluster DCs zur Verfügung stehen, die eine Anmeldung an Active Directory erlauben.

Beim Starten der VMs muss ebenfalls sichergestellt sein, dass für Server, die Mitglied in Active Directory sind, ebenfalls Anmeldeserver zur Verfügung stehen. Wichtig ist hier die Reihenfolge der VM-Starts und auch die Geschwindigkeit.

Microsoft empfiehlt, dass mindestens zwei Domänencontroller außerhalb des Clusters zur Verfügung stehen, an denen sich die Clusterknoten und Mitgliedsserver anmelden können, unabhängig vom Start der VMs.

Eine Alternativ ist die Verwendung einer Virtualisierungs-Lösung, die nicht mit Active Directory verbunden ist. Ob die daraus resultierenden Nachteile über die Vorteile ausgeglichen werden, hängt von der jeweiligen Umgebung ab.

Domänencontroller auf unterschiedlichen Clusterknoten positionieren

Fällt ein Knoten aus, werden in einem Cluster die Ressourcen auf einen anderen Knoten verschoben. Wenn alle Domänencontroller auf einem Knoten gemeinsam positioniert werden, kann es dabei zu einem Ausfall von Active Directory kommen. Das gilt vor allem dann, wenn außerhalb des Clusters keine weiteren Domänencontroller zum Einsatz kommen.

Um einen Domänencontroller außerhalb des Clusters zu positionieren, empfiehlt Microsoft entweder den Betrieb direkt auf einem physischen Host oder die Installation des Domänencontrollers auf einem eigenständigen Hyper-V-Host, der nicht an Active Directory angebunden ist.

Cluster ohne Active Directory-Anbindung oder Multi-Domänen-Betrieb

Seit Windows Server 2016 besteht auch die Möglichkeit, ein Windows-Cluster ohne Abhängigkeiten von Active Directory aufzubauen. Auch die Abhängigkeiten vom Kerberos-Protokoll sind seit Windows Server 2016 nicht mehr so umfassend, sodass auch Domänencontroller einfacher virtualisiert werden können. Allerdings ist der Betrieb von Hyper-V in einem Cluster ohne Active-Directory-Anbindung nicht empfohlen. Ohne Active Directory ist die Authentifizierung eingeschränkt und Funktionen wie Livemigration lassen sich kaum bis gar nicht umsetzen.

Es ist nicht mehr notwendig, dass ein Clusterknoten Mitglied in einer Active-Directory-Domäne ist. Das bedeutet Unabhängigkeit und macht die Sache wesentlich einfacher. Der komplette Aufbau eines Windows-Clusters ist seit Windows Server 2016 sogar komplett ohne eine Anbindung an Active Directory möglich. Außerdem können Clusterknoten in unterschiedlichen Domänen angebunden werden. Dadurch ergeben sich flexible Möglichkeiten für den Betrieb von Clusterknoten in unterschiedlichen Domänen oder ohne den Betrieb in einem Active Directory.

Management-Active-Directory für Cluster und Co aufbauen

Eine ideale Lösung für ein solches Szenario ist der Betrieb des Clusters in einem anderen Active Directory als die virtuellen Domänencontroller bereitstellen. Dadurch können die Vorteile von Active Directory genutzt und gleichzeitig die Unabhängigkeit der gehosteten Domänencontroller verifiziert werden. Natürlich muss in diesem Fall auch geplant werden, wo die Domänencontroller für den Cluster betrieben werden sollen. Eine Management-Domäne kann für einen solchen Betrieb sicher sinnvoll sein, da hier unter Umständen auch andere Serverdienste ihre Authentifizierung erhalten können.

Generell kann es sinnvoll sein, die Domänencontroller auf den Clusterknoten zu virtualisieren – aber nicht integriert in den Cluster, sondern auf dem jeweiligen lokalen Hyper-V-Knoten. Allerdings muss hier überlegt werden, ob eine solche Konfiguration sinnvoll ist. Die Dateien der VMs sollten in diesem Fall lokal auf den Clusterknoten abgelegt werden. Besser ist jedoch der Betrieb auf einer eigenen Hardware, komplett außerhalb des Clusters.

Namensauflösung sicherstellen

In Active Directory werden häufig auch die Dienste zur Namensauflösung und teilweise auch DHCP-Server auf Domänencontrollern betrieben. Das muss bei der Konfiguration des Clusters Berücksichtigung finden. Die Namensauflösung muss auch dann sicher funktionieren, wenn die virtuellen Domänencontroller nicht gestartet sind. Hier wird entweder mit externen Servern gearbeitet, wie beim Betrieb von Active Directory, oder die Namen der wichtigsten Server werden zumindest in der Host-Datei gepflegt.

Virtuelle Server im Cluster verwalten

Die virtuellen Server, die im Cluster erstellt werden, können in der Failovercluster-Verwaltung gesteuert werden. Durch einen Klick auf einen virtuellen Server stehen im Aktionsbereich die verschiedenen Funktionen zur Verfügung. Diese erscheinen auch über das Kontextmenü des virtuellen Servers. Interessant ist zum Beispiel der Bereich „Startpriorität ändern“. So kann geändert werden, wann bestimmte virtuelle Server starten sollen. Hier sollten virtuelle Domänencontroller rechtzeitig vor anderen Serverdiensten starten.

Active Directory im Fokus
Bildergalerie mit 55 Bildern

(ID:47086074)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist