Probleme bei VMWare ESX 3.5 Update 2 - was ist für Microsoft Gast-Systeme zu beachten?

  • Article

Hallo, Fabian hier. Gestern wurde ein Problem mit dem Starten von virtuellen Maschinen nach einem Update des VMWare ESX Servers bekannt, welches in einigen unserer Kundenumgebungen durchaus relevant sein kann:

https://communities.vmware.com/thread/162377?tstart=0
https://www.heise.de/newsticker/Vorsicht-Zeitbombe-in-VMware-ESX-3-5--/meldung/114126

Zwar ist der Support für Installationen unserer Software innerhalb von Virtualisierungslösungen von Drittherstellern eingeschränkt, das heißt jedoch nicht, daß es von unseren Kunden nicht trotzdem eingesetzt wird. Daher der folgende Hinweis:

Der von VMWare empfohlene Workaround, die Zeitsynchronisierung des Host-Systems mittels NTP (gegen einen externen Zeitserver) abzuschalten und danach die Systemzeit bzw. das Systemdatum des Host-Systems zurückzusetzen, kann größere Probleme nach sich ziehen, wenn für die Gast-Systeme die Zeitsynchronisierung mit dem Host-System aktiviert wurde. In Domänenumgebungen kann dies bei Domänenmitgliedern als auch auf den Domänencontrollern zu Kerberos- und damit verbunden Authentifizierungs- und Replikationsproblemen führen (siehe https://technet.microsoft.com/en-us/library/bb742516.aspx).

Weiterhin ist auf Domänencontrollern oder FRS Systemen zu beachten, daß ein Zeitsprung FRS beeinträchtigen und einen inkonsistenten FRS Replikationsstatus nach sich ziehen kann, siehe https://support.microsoft.com/default.aspx?scid=kb;EN-US;289668.

Da der Zeitrücklauf zum jetzigen Zeitpunkt nur wenige Tage beträgt, sollten keine weiteren Probleme in Bezug auf Stichworte wie „Tombstone Lifetime“ und / oder „Lingering Objects“ auftreten. Trotzdem hier noch ein Link zu generellen Erwägungen beim Einsatz von Domänencontrollern als virtuelle Maschine: https://support.microsoft.com/default.aspx?scid=kb;EN-US;888794 und https://www.microsoft.com/downloads/details.aspx?FamilyID=64db845d-f7a3-4209-8ed2-e261a117fc6b&displaylang=en.

Es ist aus den genannten Gründen und auch grundsätzlich in jedem Fall zu empfehlen, die Zeitsynchronisierung zwischen Host- und Gast-System zumindest in Domänenumgebungen auf den Gästen zu deaktivieren und zu prüfen, ob danach die Uhr des Gast-Systems noch korrekt läuft. Es findet zwar ein Abgleich der Zeit innerhalb der AD statt, jedoch kann die Zeit trotzdem stark auseinander laufen, sollte die emulierte Hardware Uhr des Gast-Systems nicht ganz sauber laufen (was wir oft in virtuellen Umgebungen gesehen haben).

Grundsätzlich sei an dieser Stelle auch noch einmal der Hinweis auf unsere Support Policy in Bezug auf virtuelle Domänenumgebungen gegeben: https://support.microsoft.com/kb/897615/en-US.

Viele Grüße, Fabian.