Domänencontroller besser virtualisieren mit Windows 8 Server

DCs klonen, in Hyper-V betreiben und schneller bereitstellen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Windows 8 Server bringt Licht in die Virtualisierung und das Kloning von Domänencontrollern (Bild: cornelius - Fotolia.com)
Windows 8 Server bringt Licht in die Virtualisierung und das Kloning von Domänencontrollern (Bild: cornelius - Fotolia.com)

In Windows Server 2008 R2 und früher waren Domänencontroller nicht dazu geeignet, optimal virtualisiert zu werden. Auch das Klonen von DCs zur schnellen Bereitstellung ist keine Stärke von 2008 R2. Windows 8 Server macht einen großen Schritt in Richtung Virtualisierung von Domänencontrollern und korrigiert viele Fehler.

Domänencontroller mit Windows 8 Server arbeiten optimal mit Hyper-V 3.0 zusammen und lassen sich klonen, indem Administratoren einfach die virtuelle Festplatte des DCs kopieren. Die Server erkennen den Vorgang und binden sich in das Netzwerk ein. Komplizierte Vorgänge wie noch in Vorgängerversionen sind nicht mehr notwendig. Welche Hintergründe dabei eine Rolle spielen, zeigen wir in den nächsten Abschnitten.

Domänencontroller und Snapshots

Mit Schnappschüssen lassen sich virtuelle Server in Hyper-V zu einem bestimmten Zeitpunkt sichern und wiederherstellen (siehe Abbildung 1). Bei Domänencontrollern sichern Snapshots allerdings auch die Active-Directory-Datenbank. Setzt man auf einem Domänencontroller mit Windows Server 2008 R2 einen Schnappschuss zurück, kann es daher zu Inkonsistenzen der AD-Datenbank kommen, die auch die anderen Domänencontroller beeinflussen.

Das liegt daran, dass in einem Active Directory alle Objekte eine bestimmte Nummer besitzen, die Update Sequence Number (USN). Jeder DC hat eine eigene Liste dieser USNs und befindet sich auch selbst in dieser Liste. Setzt man nun einen Snapshot zurück, ändern sich USNs zahlreicher Objekte, was mit hoher Wahrscheinlichkeit zu Inkonsistenzen führt. In jedem Fall aber trennen die anderen DCs den wiederhergestellten DC vom Netzwerk um Fehler zu beheben.

Snapshots auf Domänencontrollern sollten daher möglichst vermieden werden. Zwar hat Microsoft das Problem in Windows 8 Server mit der GenerationID (siehe nächste Abschnitte) besser im Griff, aber generell wird das Sichern von Servern, die eine Datenbank bereitstellen, über Snapshots nicht empfohlen – zumindest wenn es sich vermeiden lässt. Das gleiche gilt übrigens für alle Server die eine Datenbank nutzen, auch Exchange und SQL. Solche Datenbanken sollten niemals über Snapshots zurückgesetzt werden.

In Hyper-V haben besteht die Möglichkeit, einem Gastsystem eine differenzierende virtuelle Festplatte zuzuweisen. Dazu bauen die Festplatten auf eine übergeordnete Festplatte mit einer Windows-Installation auf und speichern die Daten auf einer eigenen Platte (siehe Abbildung 2). Für Domänencontroller ist das nicht empfohlen, da sich solche Festplatten zu leicht wieder in den Ursprungszustand zurück versetzen lassen. Hier besteht das gleiche Problem wie bei den Snapshots.

GenerationID und Hyper-V 3.0

Mit Windows 8 geht Microsoft einen neuen Weg. Die Uhrzeiten und Zeitstempel, sowie deren Speicherung hat Microsoft in Windows 8 Server erneuert. Installieren Administratoren einen Domänencontroller als virtuellen Server, erkennt das Betriebssystem dies und verarbeitet Anfragen zur Replikation etwas anders, als bei physikalischen Servern.

Domänencontroller nutzen in Hyper-V eine GenerationID genannte ID, die der Hypervisor von Windows 8 Server zuweist. Das heißt, bei der Virtualiserung mit anderen Produkten als Hyper-V müssen Administratoren vorher beim Hersteller nachfragen, ob die GenerationID-Technik auch hier unterstützt wird. Aktuell funktioniert das nur mit Hyper-V in Windows 8 Server.

Hyper-V weist diese GenerationID dem virtuellen Domänencontroller direkt über das virtuelle BIOS zu. Zusätzlich erhält der Domänencontroller einen Treiber mit dem Windows 8 Server auf die GenerationID zugreifen kann.

Domänencontroller einfach klonen

Ändert sich die Hardware eines virtuellen Servers, zum Beispiel durch das Klonen, erkennt Hyper-V das und ändert die GenerationID. So lassen sich virtuelle Domänencontroller einfach dadurch klonen, dass Administratoren deren virtuelle Festplatte kopieren und den Server beim Starten umbenennen.

Windows 8 Server erkennt den Vorgang, fragt die GenerationID ab und bindet sich als neuer DC in das Active Directory ein. Dazu überprüft ein virtueller Domänencontroller bei jedem Start, ob die GenerationID des Servers noch übereinstimmt oder sich geändert hat, weil der Server geklont wurde.

Erkennt der Server eine solche Änderung, starten ein Rollback und der so genannte Safeguard. Dieser fragt die anderen DCs der Domäne nach Daten des Active Directorys und verhindert das Erstellen falscher AD-Daten. Diese Technik funktioniert aber ausschließlich mit Virtualisierungslösungen, die GenerationID unterstützen.

weiter mit: Domänencontroller mit Windows 8 Server installieren und Hyper-V im Cluster

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 33035700 / LAN- und VLAN-Administration)