Hoy vamos a hablar acerca de la opción de virtualizar un Domain Controller, en un pasado no tan lejano esto era una locura, y a nadie lo pensaba firmemente y quienes hacían pruebas tenían muchos inconvenientes, que generalmente eran una catástrofe, ya que no podíamos recuperar discos virtuales que estaban corruptos. Bueno, esto ha cambiado y ya se puede hacer sin inconvenientes, incluso es una practica recomendada tener DCs virtuales.

Como todos ya sabemos, Hyper-V es una característica principal en Windows Server, cualquiera que fuera la versión 2008; 2008R2, 2012 o 2012R2; que podemos usar para consolidar diferentes roles de servidor en un solo equipo físico. En el caso de virtualizar un DC, recomiendo ampliamente hacerlo sobre la versión Windows Server 2012 R2.

Para aquellos que están aprendiendo, les comento que Hyper-V es una tecnología de servidor basada en hipervisor y optimizada para realizar la virtualización de sistemas operativos. Hyper-V admite una gran variedad de sistemas operativos que pueden ejecutarse a la vez en un solo servidor físico. Hyper-V aprovecha una arquitectura de 64 bits en el sistema operativo del servidor para proporcionar una seguridad y rendimiento mejorados. El sistema operativo “invitado” (guest) puede tener arquitecturas tanto de 32 bits como de 64 bits; aunque hoy en día ya casi todo esta en 64bits solamente.

Con Hyper-V, puede instalar un controlador de dominio de Windows Server como una máquina virtual junto con otros servidores de aplicaciones en un solo servidor físico (preferentemente Windows Server 2012 R2). Esto puede reducir drásticamente el número de equipos físicos en un centro de datos, lo que, a su vez, puede reducir los costos de administración y energía.

El hipervisor es el componente de nivel inferior responsable de la interacción con el hardware principal en un entorno de virtualización basado en hipervisor. El hipervisor es responsable de crear, administrar y eliminar particiones. Controla directamente el acceso a los recursos del procesador. También aplica directivas sobre el acceso a la memoria y a los dispositivos.

Con Hyper-V, es posible instalar varios controladores de dominio en un solo servidor host. Podemos hostear de manera eficaz varios dominios, varios controladores de dominio para el mismo dominio o incluso varios bosques en un servidor físico. Esto puede resultarle de gran utilidad al probar una implementación a gran escala de Active Directory.

En estas notas veremos varias consideraciones importantes que son específicas de la implementación de un controlador de dominio virtual; veremos algunas  recomendaciones y sugerencias que nos ayudarán a implementar y administrar controladores de dominio en Hyper-V.

No veremos de lleno algunos de los problemas de Hyper-V, como el almacenamiento y la copia de seguridad, que no son específicos de los controladores de dominio sino mas bien al planning de virtualización. Tampoco veremos puntualmente como es el proceso de convertir un servidor virtual en un controlador de dominio ya que no difiere mucho del proceso de convertir un servidor físico en un controlador de dominio, este proceso (la promoción a controlador de dominio) ya lo hemos visto varias veces a lo largo del blog y si quieren recordar como es el procedimiento les recomiendo realizar una búsqueda interna en el blog.

Antes de comenzar el proceso de conversión de nuestros controladores de dominio en máquinas virtuales, existen varios factores que debemos considerar. En primer lugar, debemos ser concientes de las ventajas y desventajas de la conversión de los controladores de dominio en máquinas virtuales. También debemos conocer los requisitos de hardware para la configuración de un servidor Hyper-V, ya que estas consideraciones tienen impacto sobre la performance de nuestro ambiente.

Al momento de considerar la virtualización de un controlador de dominio debemos pensar en las ventajas y desventajas de hacerlo. si bien con Hyper-V, la diferencia entre las máquinas físicas y las virtuales es mínima, hay algunos factores importantes que pueden ayudarle a determinar si se debe virtualizar un controlador de dominio.

Algunas de las ventajas de esta virtualización podrían ser:

• Consolidación: Tal como hemos comentado con Hyper-V, es posible consolidar varios controladores de dominio con otros servidores de aplicaciones en un número comparativamente menor de servidores físicos. Si disponemos de varios controladores de dominio en un sitio que sirve a un dominio pequeño presente en uno o más sitios distintos, no es necesario implementar varios controladores de dominio físicos para proporcionar servidores bridgehead y redundancia.

• Test: dado que los entornos de prueba raramente necesitan controladores de dominio de alto rendimiento, se puede definir una configuración de prueba que represente el entorno de producción que use mucho menos hardware que el que se necesitaba antes de que la tecnología de virtualización estuviera disponible. Podemos representar decenas de controladores de dominio en pocos equipos físicos con la misma configuración de Active Directory (incluidos dominios y sitios) como controladores de dominio de producción. Podemos probar cambios complejos, como cambios de esquema o cambios en sitios de Active Directory a gran escala o de replicación antes de realizar estos cambios en nuestro entorno de producción.

• Implementación: El entorno de hardware que emula Hyper-V permanece sin modificarse durante la vida de la máquina virtual, independientemente del hardware nativo subyacente al que debería transferirse la máquina virtual. Por lo tanto, en un entorno de preproducción se puede cambiar de hardware de servidor para crear y probar las imágenes aunque el servidor de producción de destino sea muy diferente.

• Rendimiento. Si seguimos todas las recomendaciones de rendimiento podemos esperar una disminución del rendimiento de un 2 a un 12% solamente en un controlador de dominio único que se ejecute en una máquina virtual sobrecargada en comparación con un controlador de dominio que se ejecute en hardware nativo con las mismas especificaciones.

Algunos temas a tener en cuenta que no se si se podrian llamas desventajas podrian ser:

• Administracion de VHD: Los archivos de disco duro virtual (VHD) se pueden utilizar y, posiblemente, utiliza de forma incorrecta con gran facilidad, motivo por el cual es importante administrarlos cuidadosamente al implementarlos en un entorno de producción. Recordemos que el tratamiento/administración incorrecto de los archivos de imagen VHD puede producir daños en todo el bosque. Una mala administración de un archivo VHD podría resultar tan sencillo como abrir una copia vieja de un archivo VHD o copiar un archivo VHD en otra ubicación de la red y ejecutar varias copias al mismo tiempo.
• Administración: En un entorno de producción, los daños en datos que afectan a todo el bosque pueden producirse a partir de un uso incorrecto deliberado o inadvertido de archivos VHD. En la mayoría de los casos, el sistema operativo detecta condiciones de restauración inadecuadas y se detiene la replicación. No obstante, esto no garantiza la protección de datos en todas las circunstancias.
• Seguridad y tratamiento de archivos de imagen. Cualquier persona que administre archivos VHD o que tenga otro tipo de acceso a archivos VHD deben debe contar con la plena confianza de la organización y pertenecer a los grupos de seguridad de confianza en el bosque. Cualquier usuario que pueda copiar un archivo VHD es propietario efectivo del bosque y de sus datos. Un atacante o un administrador no autorizado podría usar una copia de un archivo de máquina virtual para poner en peligro contraseñas o dañar el bosque. Asimismo, es más probable que, a diferencia del robo de un equipo físico, el robo de un archivo VHD no se detecte. Por lo tanto, debe proteger los archivos VHD del sistema operativo host y el sistema operativo guest con las mismas restricciones físicas y de software que se usan para proteger un controlador de dominio físico.

Espero que les sea de interés, y seguiremos hablando de este tema. Saludos. Roberto Di Lello.