Можно ли использовать виртуальную машину Hyper-V, созданную из резервной копии контроллера домена Server 2012 R2, для замены физического контроллера домена в случае его сбоя?

У нас есть Dell PER520 с Server 2012 R2, на котором работает 5 серверов; AD DS, DHCP, DNS и WDS. Мы создали виртуальную машину Hyper-V на другом сервере, используя резервную копию «голого железа», созданную с помощью Windows Server Backup. Сервер виртуальной машины запущен и работает с отключенной сетью. Если физический сервер выйдет из строя, можно ли включить этот сервер с теми же настройками статического IP-адреса и взять на себя 5 служб, которые он поддерживал? В сети есть еще один физический контроллер домена, но он работает только с AD DS.

Точно нет.

Контроллер домена не является сервером без сохранения состояния; совсем наоборот: в нем находится база данных Active Directory, где хранится все, что касается домена, включая аутентификацию пользователей и компьютеров. Кроме того, эта база данных реплицируется между всеми контроллерами домена в домене, они обмениваются обновлениями и используют несколько решений для обеспечения согласованности.

Если бы вы отключили свой физический сервер и заменили его клоном, созданным из его резервной копии некоторое время назад, у него была бы старая копия базы данных AD, которая не синхронизировалась бы с внешним миром; например, если вы создали учетную запись пользователя, изменили пароль или переименовали компьютер, все эти изменения не будут присутствовать в его копии базы данных AD; это создало бы много проблем с... ну, со всем. Также обратите внимание, что даже если вы лично не вносили никаких изменений в домен, всегда происходит несколько действий, выполняемых либо пользователями (например, смена пароля), либо автоматизированными процессами.

Пока все хорошо (нет). Что, если мы добавим еще один контроллер домена? Это сделало бы вещи даже худший.

Как я сказал выше, контроллеры домена используют всевозможные решения для обеспечения согласованности в распределенной базе данных Active Directory; одно из этих решений состоит в том, чтобы убедиться, что если контроллер домена, который должен иметь актуальную копию базы данных AD, внезапно обнаружит старую копию, его в основном выкинут из домена; это ужас откат USN, что определенно нежелательно для вашего домена.

Ты может (и должен) иметь еще один контроллер домена в домене, и вы также можете запустить на нем DNS и DHCP; это, при правильной настройке, обеспечит избыточность для основных служб. Но все контроллеры домена всегда должны быть постоянно подключены к сети, чтобы репликация AD работала.

Что бы вы ни делали, никогда не клонируйте (или возвращайте к более старому состоянию) контроллер домена; это вторая по величине запись в Большом списке вещей, которые администраторы AD не должны делать, сразу после «Никогда не иметь одного контроллера домена».

Редактировать:

Вы говорите, что у вас уже есть другой контроллер домена; вы должны установить и настроить DNS и DHCP на нем.Служба DNS автоматически реплицируется на контроллерах домена (если вы используете зоны, интегрированные в AD), вам нужно будет только настроить этот сервер в качестве вторичного DNS во всех ваших системах; для DHCP вы можете использовать Отказоустойчивость DHCP.

Это не очень хорошая идея. Вам нужно иметь несколько контроллеров домена, но они должны быть подключены к сети и обмениваться данными друг с другом. Это также не план аварийного восстановления.

И нет, это может не сработать по разным причинам.