In ons bedrijf word het zo langzamerhand tijd onze fysieke domain controllers te vervangen. Hierbij is de keuze gemaakt door alle domain controllers op termijn te vervangen door virtuele machines behalve de domain controller welke de PDC emulator FSMO rol heeft.

Over het wel of niet virtuele draaien van domain controllers is al veel geschreven echter is veel informatie oud en niet meer up 2 date.

Ik ben bezig met een ontwerpje voor de eerste virtuele DC en wil dit graag even aan jullie voorleggen. Wat zijn jullie ervaringen en hoe hebben jullie bv het vraagstuk met betrekking tot time synchronisatie opgelost?

Algemene zaken:
- Geen snapshots maken (dacht ik op te lossen door de schijven als independant + persistant te definieren)
- De vm niet pauzeren (jammer genoeg niet heel simpel voor 1 vm uit te zetten volgens mij)
- System state backup ipv snapshot based backups (zie het eerste punt)

Aanpassen time sync configuratie om deze naar de PDC emulator te verwijzen. De PDC emulator kijkt naar de bekende pool.ntp.org als tijdsbron.

Type time synchronisatie: NTP
Tijdbron: fysieke PDC emulator

Registery aanpassingen time synchronisatie

HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\
Services\W32Time\
TimeProviders\NtpClient\
SpecialPollInterval Value: 900
Type: REG_DWORD
Description: This parameter controls how often w32time will poll the time server to check whether time on the client needs to be corrected. The parameter is specified as number of seconds to wait between polling. The recommended value of 900 specifies that the time server should be polled once every 15 minutes.

HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\
Services\W32Time\Parameters\
NtpServer Value:
fqdn_pdc_emulaor,0x1
Type: REG_SZ

Description: This parameter specifies the time servers to use. It is specified as a string of space separated servers. Specifying ",0x1" after the server name indicates that the server should be contacted at the frequency specified by the SpecialPollInterval setting.

Note: Modify the recommended value to point to the ntp servers available in your environment.
w32tm Command:
w32tm /config "/manualpeerlist:
fqdn_pdc_emulator,0x1“

Note: Modify the command to use the ntp servers available in your environment.
HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\
Services\W32Time\Parameters\
Type Value: NTP
Type: REG_SZ
Description: This parameter specifies the mode that w32time should use. A value of NT5DS indicates that w32time should use the Windows domain hierarchy as its time servers rather than the NTP servers specified in the NtpServer key.
w32tm Command:
w32tm /config /syncfromflags:
MANUAL

Bron: Timekeeping best practices for Windows, including NTP

Uitzetten time sync met de host via vmware tools (properties van de VM, vmware tools settings)

Is het hierna raadzaam om ook de andere momenten waarop VMware time sync zal gaan uitvoeren uit te zetten zoals in onderstaand KB artikel?
http://kb.vmware.com/selfservice/documentLink.do?externalID=1189&micrositeID=null

Voeren jullie verder nog aanpassingen door aan bv de time sync instellingen of andere zaken?

Loop je nu tegen een issue aan dan ? Een externe NTP of zoals je zelf al aangeeft syncen met een andere DC is normaal gesproken een prima oplossing mocht er ooit een afwijking zijn.

Ik heb op dit moment geen probleem met time sync. Dat komt ook omdat dit nog maar onderdeel is van een klein ontwerpje. Natuurlijk wil ik er zo zeker mogelijk van zijn dat ik ook geen problemen op dit vlak ga krijgen in de toekomst, vandaar de vraag.

Deze ga ik even volgen

Ik heb momenteel een probleem met een share vanaf een windows bak naar een linux bak die af en toe niet bereikbaar is. Dit lijkt op een issue met tijd synchronisatie.

De linux vm haalt de tijd op bij de interne ntp server, net als de fysieke domeincontroller, de virtuele domein controller en de esx hosts. Alle vm's hebben tijdsynchronisatie via vmware tools uit staan en de windows vm's syncen dus met de DC.

Bovenstaande inrichting is de best practise naar mijn weten. Ben benieuwd of er inmiddels nieuwe inzichten zijn.