Richtig virtualisieren und Ausfälle vermeiden Best Practices zur Virtualisierung von Domänencontrollern

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Seit Windows Server 2012 können Domänencontroller problemlos auch virtualisiert werden. In Windows Server 2016/2019 hat Microsoft dazu weitere Verbesserungen integriert, die sicherstellen, dass auch virtuelle DCs so funktionieren, wie physisch installierte. Der Beitrag zeigt, auf was geachtet werden muss.

Firma zum Thema

Wer Domänencontroller in seiner Active-Directory-Umgebung virtualisieren will, sollte ein paar grundlegende Dinge unbedingt beachten!
Wer Domänencontroller in seiner Active-Directory-Umgebung virtualisieren will, sollte ein paar grundlegende Dinge unbedingt beachten!
(Bild: © dizain - stock.adobe.com)

In immer mehr Unternehmen werden nahezu alle Serverdienste virtualisiert. Das gilt auch für Domänencontroller. Wir zeigen im folgenden Beitrag, auf was Administratoren achten sollten, um Ausfälle zu verhindern. Die meisten Sicherheitshinweise für virtuelle Domänencontroller gelten auch für andere Server, die möglichst sicher betrieben werden.

Bei erfolgreichen Angriffen auf Domänencontrollern besteht die Gefahr, dass die Angreifer auch Zugriff auf Anmeldedaten und Benutzerkonten erhalten. Damit können dann auch andere Serverdienste im Netzwerk übernommen werden. Wir haben im Beitrag „5 Schritte zur sicheren Active Directory-Umgebung“ bereits einige Tipps gegeben, wie Domänencontroller abgesichert werden können. Diese Tipps gelten auch für virtuelle Domänencontroller.

Bildergalerie
Bildergalerie mit 7 Bildern

Ausfallsicherheit beachten

In den meisten Fällen werden in Netzwerken mindestens zwei Domänencontroller betrieben, damit sicher ist, dass sich Anwender und Serverdienste auch dann an Active Directory anmelden können, wenn ein DC heruntergefahren wird oder ausfällt. Das gilt auch bei der Virtualisierung. Hier sollte allerdings zusätzlich darauf geachtet werden, dass die virtuellen Domänencontroller nicht auf einem einzelnen Hyper-V-Host betrieben werden.

Denn, fällt dieser aus, sind natürlich auch alle Domänencontroller betroffen. Daher sollten hier mindestens zwei Hyper-V-Hosts zum Einsatz kommen. Das gilt auch dann, wenn auf VMware ESXi oder eine andere Virtualisierungslösung, wie Proxmox gesetzt wird.

Microsoft empfiehlt für größere Netzwerke, dass nicht alle Domänencontroller virtualisiert werden, sondern in verschiedenen Regionen immer auch einige physische Domänencontroller im Einsatz sind. Das stellt sicher, dass der Totalausfall einer virtuellen Plattform nicht zum Ausfall von Active Directory führt.

Sicherheit beachten

Der Virtualisierungs-Host muss genauso sicher konfiguriert sein wie ein vollwertiger Domänencontroller. Erhalten Angreifer Zugriff auf den Host, besteht auch die Gefahr, dass diese Zugriff auf Domänencontroller erhalten. Daher sollten Host und DC immer als Einheit betrachtet und gemeinsam abgesichert werden.

Die Sicherheits-Vorschriften und der Schutz der Anmeldedaten von lokalen Administratoren auf Virtualisierungs-Hosts sollte mindestens so angepasst sein, wie die Anmeldedaten der Active Directory-Administratoren. Ein Domänencontroller, der in einer virtuellen Maschine installiert ist, hat administrative Rechte auf dem Host, wenn der Host mit derselben Domäne verbunden ist. Das gilt auch für die Administratorkonten. Das sollte bei der Planung von Berechtigungen beachtet werden.

Möglichst Core-Server verwenden

Virtualisieren Unternehmen mit Hyper-V empfiehlt Microsoft generell, dass die Installation auf Core-Servern erfolgen soll, um die Angriffsfläche zu verringern. Auf den Servern sollte darüber hinaus kein anderer Dienst als Hyper-V installiert werden. Dadurch wird sichergestellt, dass Hyper-V und Active Directory nicht durch Umwege über andere Dienste kompromittiert werden.

Diese Empfehlung dient aber nicht nur der Sicherheit, sondern stellt auch sicher, dass die Leistung von DCs verbessert wird. Bei Core-Servern stehen den Serverdiensten mehr Ressourcen zur Verfügung, und die Einschränkung der installierten Serverdienste auf Hyper-V stellt sicher, dass die Leistung vollumfänglich der Virtualisierung zur Verfügung gestellt werden kann.

Bitlocker und Shielded-VMs nutzen

Generell ist es sinnvoll auf virtuellen Domänencontrollern Bitlocker zu aktivieren, um die Festplatten zu schützen. Eine VHD(x)-Datei eines virtuellen Domänencontrollers entspricht der physischen Festplatte eines physischen Domänencontrollers. Daher sollte sie mit der gleichen Sorgfalt geschützt werden, wie die Festplatte eines physischen Domänencontrollers. Auch die virtuellen Festplatten von virtuellen DCs sollten daher möglichst sicher konfiguriert werden.

Parallel dazu sollten Shielded-VMs genutzt werden. Mit einer Guarded Fabric können Domänencontroller und Hosts zuverlässig geschützt werden. Auch Domänencontroller sollten über diesen Weg abgesichert werden.

An Standorten, bei denen die Sicherheit der Domänencontroller nicht umfassend sichergestellt werden kann, sollte beim Einsatz von virtuellen Domänencontrollern auch die Installation von schreibgeschützten Domänencontrollern (Read-Only Domain Controller, RODC) eingeplant werden. Allerdings sollten auch RODCs abgesichert werden. Es besteht die Möglichkeit, dass Administratoren von RODCs aus Skripte an schreibbare Domänencontroller senden, die dann von dort ausgeführt werden. Daher müssen auch die Administrator-Konten auf RODCs so sicher wie möglich betrieben werden.

Generation 2-VMs verwenden

Generell ist es empfehlenswert, dass virtuelle Domänencontroller nicht als Generation 1-VMs bereitgestellt werden, sondern hier auf Generation 2-VMs gesetzt wird. Denn nur dann startet das Betriebssystem nicht mit virtuellen, emulierten IDE-Controllern, sondern mit paravirtualisierten SCSI-Controllern. Auf Generation 1-VMs besteht die Möglichkeit, einen virtuellen SCSI-Controller hinzuzufügen und eine neue virtuelle Festplatte an diesem Controller zu erstellen. Wichtige Dateien aus Active Directory lassen sich dann auf diese Festplatte verschieben. Müssen also Generation 1-VMs zum Einsatz kommen, sollten die Active-Directory-Datenbank (NTDS.DIT), Protokolle und SYSVOL auf keinen Fall auf virtuellen IDE-Festplatten sondern wie gezeigt über virtuelle SCSI-Platten bereitgestellt werden.

Das sollte beim Virtualisieren von Domänencontrollern vermieden werden

Generell sollten Domänencontroller in Hyper-V oder einer anderen Virtualisierungslösung nicht einfach exportiert und auf anderen Servern importiert werden, um mehrere Server bereitzustellen. Bei der Migration von Domänencontrollern zu anderen Hosts muss beachtet werden, dass nicht nur ein Kopiervorgang stattfindet, sondern der Domänencontroller auf empfohlenen Wegen übernommen oder geklont wird.

Microsoft beschreibt den Vorgang auf der Seite „Virtualized Domain Controller Cloning Test Guidance for Application Vendors”. Domänencontroller, die geklont werden sollen, dürfen nicht Inhalt der FSMO-Rollen PDC- und RID-Master sein. Das Klonen wird nur unterstützt, wenn diese FSMO-Rollen auf anderen Servern positioniert sind.

Als virtuelle Festplatten sollten auf Domänencontrollern möglichst auf vollwertige Festplatten gesetzt werden. Aufgeteilte virtuelle Festplatten, wie differenzierende virtuelle Festplatten, sollten aus Leistungsgründen nicht bei virtuellen Domänencontrollern zum Einsatz kommen.

Neue Active-Directory-Domänen und -Forests sollten nicht auf einer Kopie eines Windows Server-Betriebssystems bereitgestellt werden, das nicht zuerst mit dem Systemvorbereitungstool (Sysprep) vorbereitet wurde. Sysprep kann nicht auf Domänencontrollern ausgeführt werden.

Die Hyper-V-Replikation kann generell auch für Domänencontroller genutzt werden. Allerdings muss vor dem Starten des replizierten Images darauf geachtet werden, dass eine ordnungsgemäße Bereinigung durchgeführt wurde.

Bei der Migration von physischen Domänencontrollern zu einer VM (P2V) muss darauf geachtet werden, dass nicht beide Domänencontroller gleichzeitig gestartet sind. Während der P2V-Konvertierung sollte die virtuelle Maschine nicht mit dem Netzwerk verbunden sein. Der Netzwerkadapter der virtuellen Maschine sollte erst dann aktiviert werden, wenn der P2V-Konvertierungsprozess abgeschlossen ist. Ab diesem Moment sollte der physische Server ausgeschaltet sein und nicht mehr mit dem Netzwerk verbunden werden.

Betrieb von virtualisierten Domänencontrollern

Beim täglichen Betrieb und der Verwaltung von virtuellen Domänencontrollern sollte einiges beachtet werden. VMs, auf denen Domänencontroller installiert sind, sollten nicht zu lange gespeichert, gestoppt oder pausiert werden. Objekte lassen sich innerhalb von Tombstone-Lifetime wiederherstellen. Dieser beträgt bei Windows Server 2019 180 Tage. Längeres Pausieren eines Domänencontrollers beeinträchtigt die Replikation.

Weitere hochinteressante Beiträge rund um das Themenfeld Active-Directory haben wir hier in Form einer Galerie mit auf die einzelnen Beiträge verlinkten Bildern für Sie zusammengestellt:

Active Directory im Fokus
Bildergalerie mit 43 Bildern

(ID:47048000)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist