Использование узлов кластера Windows Server в качестве контроллеров домена

В этой статье описывается использование узлов кластера Windows Server в качестве контроллеров домена.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 281662

Аннотация

Сведения в этой статье посвящены ситуации, которая обычно не встречается в большинстве архитектур информационных технологий.

Ссылки на все статьи, на которые ссылается эта статья, находятся в разделе «Ссылки».

Существуют случаи, когда можно развернуть узлы кластера в среде, где нет существующей службы Active Directory. Для этого сценария необходимо настроить по крайней мере один из узлов кластера в качестве контроллера домена. Рекомендуется настроить более 2 узлов в качестве контроллеров домена, чтобы иметь по крайней мере один резервный контроллер домена. Согласование конфигурации узлов в кластере является общей практикой, и может потребоваться включить все узлы в качестве контроллеров домена. Так как Active Directory зависит от службы доменных имен (DNS), каждый контроллер домена должен быть DNS-сервером, если нет другого доступного DNS-сервера, который поддерживает динамические обновления или записи SRV. (Корпорация Майкрософт рекомендует использовать зоны, интегрированные с Active Directory). Дополнительные сведения см. в статье 255913.

Дополнительные сведения

В зависимости от рабочей нагрузки, развернутой в кластере от сбойной работы, существуют различные политики и рекомендации в отношении поддержки:

• Microsoft Exchange Server — не поддерживается в кластерной конфигурации, где узлы кластера являются контроллерами домена. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: контроллеры домена Active Directory 898634 не поддерживаются как узлы Exchange Server кластера.
• Microsoft SQL Server — не поддерживается в кластерной конфигурации, где узлы кластера являются контроллерами домена. Для получения дополнительных сведений щелкните следующую ссылку, чтобы просмотреть дополнительные сведения: SQL Server на контроллере домена
• Windows Server Hyper-V — не рекомендуется запускать другие рабочие нагрузки (включая роль контроллера домена) в родительском разделе гипервизора.

При развертывании кластера, в котором нет связи с доменом, перед настройкой кластера необходимо настроить узлы кластера в качестве контроллеров домена. Если соединение между узлами кластера и контроллерами домена таково, что связь медленная или ненадежная, рассмотрите возможность совместной работы контроллера домена на одном сайте или в расположении кластера.

При развертывании узлов windows Server 2003, Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 в качестве контроллеров домена учитывайте следующие важные моменты:

Не рекомендуется комбинировать роль доменных служб Active Directory и функцию failover Cluster в Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2

Он не поддерживается для узла Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 в кластере оточередимой передачи в качестве контроллера домена Read-Only (RODC)

Он не поддерживается для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 с Microsoft Exchange Server или Microsoft SQL Server в качестве контроллера домена.

Объединение роли доменных служб Active Directory и функции «Отбойный кластер» в Windows Server 2012 не поддерживается

Рекомендуется настроить как минимум два узла в качестве контроллеров домена и, возможно, все узлы для обеспечения согласованности, если узлы кластера настроены как контроллеры домена.

Существует накладные расходы, связанные с запуском контроллера домена. Простаивающий контроллер домена может использовать от 130 до 140 мегабайт (МБ) оперативной памяти, в том числе от 130 до 140 мегабайт (МБ), в том числе для работы failover Clustering. Трафик репликации также существует, если эти контроллеры домена необходимо реплицировать с другими контроллерами домена в домене и между доменами. Большинство корпоративных развертывание кластеров включает узлы с гигабайтами (ГБ) памяти, поэтому это обычно не является проблемой.

Если узлы кластера Windows Server 2003 являются единственными контроллерами домена, они также должны быть DNS-серверами, и они должны указать на себя для основного разрешения DNS и друг на друга для дополнительного разрешения DNS. Необходимо решить проблему, связанную с возможностью не регистрировать частный интерфейс в DNS, особенно если он подключен через перекрестный кабель (только с двумя узлами). Для получения дополнительных сведений о настройке интерфейса пульса щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт: 258750 Рекомендуемая частная конфигурация «пульса» на сервере кластера

Однако перед выполнением шага 12 в статье 258750 необходимо сначала изменить другие параметры конфигурации, описанные в следующей статье базы знаний Майкрософт: 275554 Запись «A» хоста регистрируется в DNS после того, как вы решите не регистрировать адрес подключения

Если узлы кластера являются единственными контроллерами домена, они должны быть серверами глобального каталога или необходимо реализовать доменныелеты.

Первый контроллер домена в лесу принимает все гибкие роли единого хозяина (FISMO), см. статью 197132. Эти роли можно перераспределить для каждого узла. Однако в случае сбой узла гибкие роли одной операции главных ролей, принятые узлом, перестают быть доступны. С помощью Ntdsutil можно принудительно отнять роли и назначить их узлу, который еще работает (см. статью 223787). Сведения о размещении гибких ролей одной операции в домене можно просмотреть в статье 223346.

Кластеризация других программ, таких как SQL или Exchange, в сценарии, где узлы также являются контроллерами домена, может не привести к оптимальной производительности из-за ограничений ресурсов

Невозможно кластерить контроллеры домена для сбоя. Вы можете сделать компьютеры контроллерами домена, а затем установить службу кластеров на этих компьютерах, но нет метода для хранения Active Directory на одном из управляемых дисков кластера. В Active Directory не существует отбойной передачи. Наличие нескольких контроллеров домена по сути обеспечивает высокую доступность служб каталогов.

Узлы в windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 failover Cluster должны иметь доступ к контроллеру Read-Write домена

Поддерживается развертывание кластера windows Server 2012 Failover Cluster в среде, которая имеет доступ только к контроллеру домена Read-Only (RODC)

При развертывании контроллеров домена в виртуальных машинах с Windows Server 2008 и windows Server 2008 и Windows Server 2008 R2

Ссылки

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
255913. Интеграция DNS с Windows 2000 в существующее пространство имен DNS на основе BIND или Windows NT 4.0

275554 Запись «A» хоста регистрируется в DNS после того, как вы решили не регистрировать адрес подключения

223787 Гибкий процесс переноса и припадка одной операции с одним хозяином

Роли FSMO в Windows 2000 в Windows 2000 197132

Размещение и оптимизация FSMO 223346 на контроллерах домена Windows 2000

234790 Поиск серверов с гибкими ролями одной операции

Миграция домена отказоустойчивого кластера Failover Cluster domain migration

Применяется к: Windows Server 2019, Windows Server 2016 Applies to: Windows Server 2019, Windows Server 2016

В этом разделе приводятся общие сведения о перемещении отказоустойчивых кластеров Windows Server из одного домена в другой. This topic provides an overview for moving Windows Server failover clusters from one domain to another.

Зачем выполнять миграцию между доменами Why migrate between domains

Существует несколько сценариев, в которых требуется перенести кластер с одного доамин на другой. There are several scenarios where migrating a cluster from one doamin to another is necessary.

• Компания a объединяется с компаниб и должна перемещать все кластеры в домен Company. CompanyA merges with CompanyB and must move all clusters into CompanyA domain
• Кластеры создаются в основном центре обработки данных и отправляются в удаленные расположения. Clusters are built in the main datacenter and shipped out to remote locations
• Кластер был создан как кластер Рабочей группы и теперь должен быть частью домена Cluster was built as a workgroup cluster and now needs to be part of a domain
• Кластер был создан как кластер домена и теперь должен входить в рабочую группу Cluster was built as a domain cluster and now needs to be part of a workgroup
• Кластер перемещается в одну область компании в другую и является другим поддоменом Cluster is being moved to one area of the company to another and is a different subdomain

Корпорация Майкрософт не предоставляет поддержку администраторам, пытающимся переместить ресурсы из одного домена в другой, если базовая операция приложения не поддерживается. Microsoft doesn’t provide support to administrators who try to move resources from one domain to another if the underlying application operation is unsupported. Например, корпорация Майкрософт не предоставляет поддержку администраторам, пытающимся переместить сервер Microsoft Exchange Server из одного домена в другой. For example, Microsoft doesn’t provide support to administrators who try to move a Microsoft Exchange server from one domain to another.

Перед перемещением кластера рекомендуется выполнить полное резервное копирование всего общего хранилища в кластере. We recommend that you perform a full backup of all shared storage in the cluster before you move the cluster.

Windows Server 2016 и более ранние версии Windows Server 2016 and earlier

В Windows Server 2016 и более ранних версиях служба кластеров не было возможности переходить от одного домена к другому. In Windows Server 2016 and earlier, the Cluster service didn’t have the capability of moving from one domain to another. Это было вызвано повышенной зависимостью от домен Active Directory служб и созданных виртуальных имен. This was due to the increased dependence on Active Directory Domain Services and the virtual names created.

Параметры Options

Для такого перемещения существует два варианта. In order to do such a move, there are two options.

Первый вариант включает уничтожение кластера и его перестроение в новом домене. The first option involves destroying the cluster and rebuilding it in the new domain.

Как видно в анимации, этот параметр разрушается с помощью следующих шагов: As the animation shows, this option is destructive with the steps being:

1. Уничтожение кластера. Destroy the Cluster.
2. Измените членство узлов в домене на новый домен. Change the domain membership of the nodes into the new domain.
3. Создайте кластер заново как новый в обновленном домене. Recreate the Cluster as new in the updated domain. Это влечет за собой необходимость повторного создания всех ресурсов. This would entail having to recreate all the resources.

Второй вариант является менее разрушительным, но требует, чтобы в новом домене было создано дополнительное оборудование, как новый кластер. The second option is less destructive but requires additional hardware as a new cluster would need to be built in the new domain. Когда кластер будет находиться в новом домене, запустите мастер миграции кластера, чтобы перенести ресурсы. Once the cluster is in the new domain, run the Cluster Migration Wizard to migrate the resources. Обратите внимание, что это не приводит к переносу данных. для переноса данных необходимо использовать другое средство, например службу миграции хранилища(после добавления поддержки кластера). Note that this doesn’t migrate data — you’ll need to use another tool to migrate data, such as Storage Migration Service(once cluster support is added).

Как видно в анимации, этот параметр не разрушается, но требует либо другого оборудования, либо узла из существующего кластера, чем он был удален. As the animation shows, this option is not destructive but does require either different hardware or a node from the existing cluster than has been removed.

1. Создайте новый кластер в новом домене, сохраняя доступ к старому кластеру. Create a new clusterin the new domain while still having the old cluster available.
2. Используйте Мастер миграции кластера для переноса всех ресурсов в новый кластер. Use the Cluster Migration Wizard to migrate all the resources to the new cluster. Напоминание, это не приводит к копированию данных, поэтому необходимо выполнить отдельно. Reminder, this does not copy data, so will need to be done separately.
3. Списание или уничтожение старого кластера. Decommission or destroy the old cluster.

В обоих вариантах в новом кластере должны быть установлены все приложения, поддерживающие кластер , все драйверы и, возможно, тестирование, чтобы убедиться, что все будет работать правильно. In both options, the new cluster would need to have all cluster-aware applications installed, drivers all up-to-date, and possibly testing to ensure all will run properly. Этот процесс занимает много времени, если необходимо также переместить данные. This is a time consuming process if data also needs to be moved.

Windows Server 2019 Windows Server 2019

В Windows Server 2019 мы предоставили возможности межкластерного переноса доменов. In Windows Server 2019, we introduced cross cluster domain migration capabilities. Итак, приведенные выше сценарии можно легко выполнить, и необходимость в перестроении больше не требуется. So now, the scenarios listed above can easily be done and the need of rebuilding is no longer needed.

Перемещение кластера из одного домена выполняется прямо вперед. Moving a cluster from one domain is a straight-forward process. Для этого существует два новых командлетыов PowerShell. To accomplish this, there are two new PowerShell commandlets.

New-клустернамеаккаунт — создает учетную запись имени кластера в Active Directory Remove-Клустернамеаккаунт — удаляет учетные записи имени кластера из Active Directory New-ClusterNameAccount – creates a Cluster Name Account in Active Directory Remove-ClusterNameAccount – removes the Cluster Name Accounts from Active Directory

Этот процесс заключается в том, чтобы изменить кластер из одного домена на рабочую группу и обратно в новый домен. The process to accomplish this is to change the cluster from one domain to a workgroup and back to the new domain. Необходимость уничтожения кластера, перестроения кластера, установки приложений и т. д. не обязательно. The need to destroy a cluster, rebuild a cluster, install applications, etc is not a requirement. Например, он будет выглядеть следующим образом: For example, it would look like this:

Миграция кластера в новый домен Migrating a cluster to a new domain

На следующих шагах выполняется перемещение кластера из домена Contoso.com в новый домен Fabrikam.com. In the following steps, a cluster is being moved from the Contoso.com domain to the new Fabrikam.com domain. Имя кластера — клусклус и роль файлового сервера под названием FS-клусклус. The cluster name is CLUSCLUS and with a file server role called FS-CLUSCLUS.

Создайте учетную запись локального администратора с тем же именем и паролем на всех серверах в кластере. Create a local Administrator account with the same name and password on all servers in the cluster. Это может потребоваться для входа в систему, пока серверы перемещаются между доменами. This may be needed to log in while the servers are moving between domains.

Войдите на первый сервер с учетной записью пользователя домена или администратора, имеющего Active Directory разрешений на объект имени кластера (CNO), объекты виртуальных компьютеров (VCO), имеет доступ к кластеру и откройте PowerShell. Sign in to the first server with a domain user or administrator account that has Active Directory permissions to the Cluster Name Object (CNO), Virtual Computer Objects (VCO), has access to the Cluster, and open PowerShell.

Убедитесь, что все ресурсы сетевых имен кластера находятся в автономном состоянии, и выполните приведенную ниже команду. Ensure all Cluster Network Name resources are in an Offline state and run the below command. Эта команда удаляет Active Directory объекты, которые могут быть у кластера. This command will remove the Active Directory objects that the cluster may have.

Используйте Active Directory пользователи и компьютеры, чтобы убедиться, что объекты компьютеров CNO и VCO, связанные со всеми кластеризованными именами, удалены. Use Active Directory Users and Computers to ensure the CNO and VCO computer objects associated with all clustered names have been removed.

Рекомендуется отключить служба кластеров на всех серверах в кластере и задать для параметра Тип запуска службы значение вручную, чтобы служба кластеров не запускался при перезапуске серверов во время смены доменов. It’s a good idea to stop the Cluster service on all servers in the cluster and set the service startup type to Manual so that the Cluster service doesn’t start when the servers are restarting while changing domains.

Измените принадлежность домена серверов к Рабочей группе, перезапустите серверы, присоедините серверы к новому домену и перезапустите. Change the servers’ domain membership to a workgroup, restart the servers, join the servers to the new domain, and restart again.

Когда серверы будут находиться в новом домене, войдите на сервер с учетной записью пользователя домена или администратора, имеющего Active Directory разрешения на создание объектов, доступ к кластеру и откройте PowerShell. Once the servers are in the new domain, sign in to a server with a domain user or administrator account that has Active Directory permissions to create objects, has access to the Cluster, and open PowerShell. Запустите службу кластеров и снова установите для нее значение автоматически. Start the Cluster Service, and set it back to Automatic.

Подключите имя кластера и все остальные ресурсы сетевого имени кластера к подключенному состоянию. Bring the Cluster Name and all other cluster Network Name resources to an Online state.

Измените кластер, чтобы он был частью нового домена со связанными объектами Active Directory. Change the cluster to be a part of the new domain with associated active directory objects. Для этого выполните команду ниже, и ресурсы сетевого имени должны находиться в оперативном состоянии. To do this, the command is below and the network name resources must be in an online state. Эта команда будет воссоздавать объекты Name в Active Directory. What this command will do is recreate the name objects in Active Directory.

Примечание. Если у вас нет дополнительных групп с сетевыми именами (т. е. кластера Hyper-V с виртуальными машинами), параметр-Упградевкос не требуется. NOTE: If you do not have any additional groups with network names (i.e. a Hyper-V Cluster with only virtual machines), the -UpgradeVCOs parameter switch is not needed.

Используйте Active Directory пользователи и компьютеры, чтобы проверить новый домен и убедиться, что связанные объекты компьютера созданы. Use Active Directory Users and Computers to check the new domain and ensure the associated computer objects were created. Если они есть, перенесите остальные ресурсы в группы в оперативном режиме. If they have, then bring the remaining resources in the groups online.

Известные проблемы Known issues

Если вы используете новый компонент-свидетель USB, вы не сможете добавить кластер в новый домен. If you are using the new USB witness feature, you will be unable to add the cluster to the new domain. Причина заключается в том, что тип следящего сервера файлового ресурса должен использовать Kerberos для проверки подлинности. The reasoning is that the file share witness type must utilize Kerberos for authentication. Перед добавлением кластера в домен измените следящий сервер на None. Change the witness to none before adding the cluster to the domain. По завершении повторно создайте сервер-свидетель USB. Once it is completed, recreate the USB witness. Отобразится следующее сообщение об ошибке: The error you will see is: