Server 2012以降でも、物理的なDCを保持する必要がありますか？

Windows Server 2012より前の時代には、仮想DCの横に少なくとも1つの物理ドメインコントローラーを配置することが推奨されるようでした。

これを正当化する理由の1つは、Hyper-Vホストがクラスター化されている場合、起動時にDCが接続可能である必要があるためです。これは私にとって完全に理にかなっています。

ただし、クラスター化されたセットアップがない場合でも、物理DCを保持することは依然として重要であると言われることがよくあります（たとえば、2つのVMを実行する単一のHyper-Vサーバーを使用した単純なセットアップでは、そのうちDCです）。これの正当性は、Hyper-Vホストが最初に起動したときにネットワーク上にDCが存在しないという意味でまだ問題があると思われました（そして、私は決して確信できませんでした）。キャッシュされた資格情報はまだログオンできることを意味しますが、起動中に発生するDCがあれば便利なことはどうですか？これは実際に問題ですか？実際にのみ実行される可能性のある操作はありますか起動時に問題が発生しますか？たとえば、グループポリシーはありますか？私が基本的に求めているのは、クラスタリングが関与している場合にのみ物理的なDC引数が本当に水を保持するのか、それとも（2012年以前）クラスタリングなしの重要な技術的ケースがあったのですか？ Altaroのこの記事（「鶏と卵」の神話を参照）は必要がないことを示唆していますが、私はまだ確信がありません。

次に、私の質問の2番目（およびメイン）の部分に進みます。

Windows Server 2012は、ドメインコントローラーの仮想化に関する問題に対処することを目的とした次の機能をいくつか導入しました。

1. VM生成 ID-これは、スナップショット（または、より具体的には、スナップショットへのロールバック）がサポートされていない/非常に悪いアイデアを意味するUSNロールバックの問題に対処しました
2. クラスターブートストラップ -これは、前述のフェールオーバークラスタリングを取り巻く「鶏と卵」の問題に対処しました。フェールオーバークラスタリングでは、起動時にDCが存在する必要がなくなりました。

したがって、私の2番目の質問は最初の質問と似ていますが、今回は2012+です。vDCとホストの両方が2012+であり、方程式からクラスタリングを除外すると、物理DCを検討する必要があることを意味する上記のような問題はありますか？単一の仮想化DCが存在する単一の非クラスター化2012 / 2012R2 Hyper-Vホストと一緒に物理DCを配置することを引き続き検討する必要がありますか？ADをHyper-Vホストに配置することを提案する人もいますが、さまざまな理由（WBキャッシュが無効になっているため）が気に入らないようです。

補足として、私の質問は、管理性を向上させるためにHyper-Vホストをドメインに参加させることが理にかなっていると暗黙的に想定しています。この主張は精査に耐えますか？

更新：

いくつかの答えを読んだ後、私が質問していることの核心に到達するために、私は物事をわずかに異なるフレーズで表現できることに気付きました。

2012年以降の改善にもかかわらず、物理DCまたは仮想DCが別のホストにない場合でも、利用可能なDCがない場合にホストが起動するという事実は依然として残っています。これは実際に問題ですか？ある意味では、仮想化を写真から完全に排除するのは同じ（または非常に類似した）質問だと思います。DCの前に定期的にメンバーサーバーを起動する場合、それは問題ですか？

私もHyper-VホストをDCにしません。

物理的なDCが必要かどうかについては、Microsoftが仮想化ドメインコントローラー全般と特にDCレスクラスターブートストラップに関して実装した変更により、個人的には必要性が認められず、主張もしません。物理的なDCを持つ。物理的なDCを維持することは、インフラストラクチャを仮想化プラットフォームに移行する性質に反するように思われます。インフラストラクチャ全体を仮想化しますが、使用できるのは単一の物理DCに依存しますか？その点は何ですか？

ドメインコントローラを仮想化しながら、「露出」を制限する方法があります。1つの方法は、クラスター内の異なるホストに複数のDCを展開し、ホスト障害が発生した場合に（クラスター内のホスト数に応じて）アンチアフィニティを使用してそれらを分離することです。

Gregの回答にはMSの推奨事項へのリンクが含まれていますが、それでもその記事は2年前のものであり、Windows Server 2008および2008 R2に対応しています。その記事がWindows Server 2012および2012 R2に関連する現在のベストプラクティスであるとは考えません。公式のMSドキュメントは見つかりませんが、この男はHyper-Vの主要な権威と考えられています-http://www.aidanfinn.com/? p= 13171

ドメインごとに1つの物理DCを保持する理由の1つは、ホストに影響を与えるか、仮想化DCのフレームストレージを破壊する重大なインシデントがある場合、回復を実行し、継続性を維持するために、ローカルストレージを持つ少なくとも1つの物理DCがあることです。マイクロソフトは、Active Directory RAP（リスク評価と計画）中にこのチェックを実行し、この推奨事項を作成し続けます。

https://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28v=ws.10%29.aspx

「各ドメインで物理ドメインコントローラーを維持します。これにより、そのプラットフォームを使用するすべてのホストシステムに影響する仮想化プラットフォームの誤動作のリスクが軽減されます。」

あなたは一行の答えを探しているように感じるので、ここにあります：

仮想環境の障害に耐える能力を信頼していない場合は、物理DCが必要です。

各シナリオの特性と例外について詳しく説明することもできますが、これが問題の根源になっていると思います。

方程式からクラスターを取り出して、私を震えさせる質問の1行に焦点を当てましょう。

単一の仮想化DC が存在する単一の非クラスター化2012 / 2012R2 Hyper-Vホストと一緒に物理DCを配置することを引き続き検討する必要がありますか？

なぜ、なぜ、なぜ、単一のDCが必要なのですか？特定の環境では、特定のインフラストラクチャの単一障害点を回避しようとします。DCは、パンとバターです-Active DirectoryのバックボーンであるDNSを提供します。真剣に、2008R2でWindows 7デスクトップPCを再構築し、宣伝してください。物理DCには常に強力なケースがあります。

AD DSを使用したHyper-V？いいえ、ただ。まず、Microsoftはこれをサポートしていません。第二に、あなたが述べたように、バックアップの処理はディスク構成に依存する痛みになります。言うまでもありません-仮想化の美しさは、物理ホストを構築できる限り迅速に廃止できることであり（環境の規模に応じてdcpromoは大した問題ではないことを認識しています）、AD DSをホストするのは複雑です重要です。また、別のWindows Timeの複雑さも紹介します。

個人的には、スタンドアロンのHyper-Vホストをドメインから除外しますが、実際には、どちらの構成についても本当の議論はありません。

これが実際に問題であるかどうかについての最後の質問に答えるには：RDPが有効になっているHyper-VホストがNLAを必要としていることに気づきました。起動時にDCが起動します。これらのポイントでVMMSにリモートで接続することもときどきありましたが、他の何かが壊れたときだけです。RDPを実行できない、またはリモートでHyper-Vマネージャーに接続できない場合、何が壊れているのかを見つけて修正するのは非常に困難です。物理的なDCを維持することで、いつでもこれが起こるのを防ぎます。