Domänencontroller besser virtualisieren mit Windows 8 Server DCs klonen, in Hyper-V betreiben und schneller bereitstellen

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

In Windows Server 2008 R2 und früher waren Domänencontroller nicht dazu geeignet, optimal virtualisiert zu werden. Auch das Klonen von DCs zur schnellen Bereitstellung ist keine Stärke von 2008 R2. Windows 8 Server macht einen großen Schritt in Richtung Virtualisierung von Domänencontrollern und korrigiert viele Fehler.

Firma zum Thema

Windows 8 Server bringt Licht in die Virtualisierung und das Kloning von Domänencontrollern (Bild: cornelius - Fotolia.com)
Windows 8 Server bringt Licht in die Virtualisierung und das Kloning von Domänencontrollern (Bild: cornelius - Fotolia.com)

Domänencontroller mit Windows 8 Server arbeiten optimal mit Hyper-V 3.0 zusammen und lassen sich klonen, indem Administratoren einfach die virtuelle Festplatte des DCs kopieren. Die Server erkennen den Vorgang und binden sich in das Netzwerk ein. Komplizierte Vorgänge wie noch in Vorgängerversionen sind nicht mehr notwendig. Welche Hintergründe dabei eine Rolle spielen, zeigen wir in den nächsten Abschnitten.

Domänencontroller und Snapshots

Mit Schnappschüssen lassen sich virtuelle Server in Hyper-V zu einem bestimmten Zeitpunkt sichern und wiederherstellen (siehe Abbildung 1). Bei Domänencontrollern sichern Snapshots allerdings auch die Active-Directory-Datenbank. Setzt man auf einem Domänencontroller mit Windows Server 2008 R2 einen Schnappschuss zurück, kann es daher zu Inkonsistenzen der AD-Datenbank kommen, die auch die anderen Domänencontroller beeinflussen.

Bildergalerie
Bildergalerie mit 7 Bildern

Das liegt daran, dass in einem Active Directory alle Objekte eine bestimmte Nummer besitzen, die Update Sequence Number (USN). Jeder DC hat eine eigene Liste dieser USNs und befindet sich auch selbst in dieser Liste. Setzt man nun einen Snapshot zurück, ändern sich USNs zahlreicher Objekte, was mit hoher Wahrscheinlichkeit zu Inkonsistenzen führt. In jedem Fall aber trennen die anderen DCs den wiederhergestellten DC vom Netzwerk um Fehler zu beheben.

Snapshots auf Domänencontrollern sollten daher möglichst vermieden werden. Zwar hat Microsoft das Problem in Windows 8 Server mit der GenerationID (siehe nächste Abschnitte) besser im Griff, aber generell wird das Sichern von Servern, die eine Datenbank bereitstellen, über Snapshots nicht empfohlen – zumindest wenn es sich vermeiden lässt. Das gleiche gilt übrigens für alle Server die eine Datenbank nutzen, auch Exchange und SQL. Solche Datenbanken sollten niemals über Snapshots zurückgesetzt werden.

In Hyper-V haben besteht die Möglichkeit, einem Gastsystem eine differenzierende virtuelle Festplatte zuzuweisen. Dazu bauen die Festplatten auf eine übergeordnete Festplatte mit einer Windows-Installation auf und speichern die Daten auf einer eigenen Platte (siehe Abbildung 2). Für Domänencontroller ist das nicht empfohlen, da sich solche Festplatten zu leicht wieder in den Ursprungszustand zurück versetzen lassen. Hier besteht das gleiche Problem wie bei den Snapshots.

GenerationID und Hyper-V 3.0

Mit Windows 8 geht Microsoft einen neuen Weg. Die Uhrzeiten und Zeitstempel, sowie deren Speicherung hat Microsoft in Windows 8 Server erneuert. Installieren Administratoren einen Domänencontroller als virtuellen Server, erkennt das Betriebssystem dies und verarbeitet Anfragen zur Replikation etwas anders, als bei physikalischen Servern.

Domänencontroller nutzen in Hyper-V eine GenerationID genannte ID, die der Hypervisor von Windows 8 Server zuweist. Das heißt, bei der Virtualiserung mit anderen Produkten als Hyper-V müssen Administratoren vorher beim Hersteller nachfragen, ob die GenerationID-Technik auch hier unterstützt wird. Aktuell funktioniert das nur mit Hyper-V in Windows 8 Server.

Hyper-V weist diese GenerationID dem virtuellen Domänencontroller direkt über das virtuelle BIOS zu. Zusätzlich erhält der Domänencontroller einen Treiber mit dem Windows 8 Server auf die GenerationID zugreifen kann.

Domänencontroller einfach klonen

Ändert sich die Hardware eines virtuellen Servers, zum Beispiel durch das Klonen, erkennt Hyper-V das und ändert die GenerationID. So lassen sich virtuelle Domänencontroller einfach dadurch klonen, dass Administratoren deren virtuelle Festplatte kopieren und den Server beim Starten umbenennen.

Windows 8 Server erkennt den Vorgang, fragt die GenerationID ab und bindet sich als neuer DC in das Active Directory ein. Dazu überprüft ein virtueller Domänencontroller bei jedem Start, ob die GenerationID des Servers noch übereinstimmt oder sich geändert hat, weil der Server geklont wurde.

Erkennt der Server eine solche Änderung, starten ein Rollback und der so genannte Safeguard. Dieser fragt die anderen DCs der Domäne nach Daten des Active Directorys und verhindert das Erstellen falscher AD-Daten. Diese Technik funktioniert aber ausschließlich mit Virtualisierungslösungen, die GenerationID unterstützen.

weiter mit: Domänencontroller mit Windows 8 Server installieren und Hyper-V im Cluster

Domänencontroller mit Windows 8 Server installieren

Domänencontroller lassen sich entweder auf herkömmlichen Servern oder auf Core-Servern betreiben. Soll ein Domänencontroller mit Windows 8 Server Mitglied einer Domäne mit Windows Server 2008 R2 werden, müssen Administratoren zuerst das Schema der Gesamtstruktur erweitern.

Dazu dient der Befehl adprep /forestprep auf dem neuen Server (siehe Abbildung 3). Das Tool findet sich im Verzeichnis support\adprep auf der Windows 8 Server-DVD. Damit das Schema erweitert wird, muss der Start noch mit C bestätigt werden. Nach der Aktualisierung des Schemas sollten Administratoren noch mit adprep /domainprep die einzelnen Domänen aktualisieren in die die Domänencontroller mit Windows 8 Server integriert werden sollen (siehe Abbildung 4).

Neue Domänencontroller lassen sich am besten über die PowerShell installieren. Dcpromo gibt es in Windows 8 Server nicht mehr. Um auf Core-Servern die Powershell zu starten, geben Administratoren „powershell“ in die Befehlszeile ein. Anschließend startet die PowerShell 3.0. Diese ist in Windows 8 Server bereits automatisch installiert.

Für die Verwaltung und Installation von Active Directory ist es notwendig zunächst das Modul mit Import-Module ADDSDeployment zu laden. Dazu sollte vorher aber die Rolle für Active Directory installiert sein – mindesten aber die Verwaltungstools (siehe Abbildung 5). Ohne diese ist das Modul nicht verfügbar. Die Befehle lassen Sie sich mit get-command *adds* anzeigen. Mit dem CMDlet Install-ADDSDomainController installieren Administratoren in einer bestehenden Domäne zum Beispiel einen neuen Domänencontroller. Mit Install-ADDSDomain lassen sich neue Domänen installieren, mit Install-ADDSForest eine neue Gesamtstruktur.

Hyper-V im Cluster - Virtuelle DCs priorisieren

Betreiben Unternehmen Hyper-V in einem Cluster, haben Administratoren die Möglichkeit virtuelle Server mit der Livemigration so zu verschieben, dass diese immer aktiv bleiben. Dazu verschiebt Hyper-V auch den Inhalt des Arbeitsspeichers zwischen den Knoten. Fällt ein Clusterknoten wegen eines Fehlers aus, übernimmt der andere Knoten die virtuellen Server. Aber in diesem Fall gehen die entsprechenden virtuellen Server offline, da der Arbeitsspeicher des Quell-Knotens nicht mehr zur Verfügung steht.

Befinden sich in einem Hyper-V-Cluster mehrere Server einer Domäne, besteht die Gefahr, dass beim Verschieben Domänenmitglieder vor den Domänencontrollern verschoben werden und auf dem anderen Knoten starten. So sind unter Umständen Server online, während der Domänencontroller noch offline ist, da der Cluster ihn noch nicht verschoben hat. Daher sollten Administratoren immer zuerst die Domänencontroller verschieben, niemals zuerst die normalen Mitgliedsserver.

Windows 8 Server kann virtuelle Server im Cluster priorisieren und dafür sorgen, dass Domänencontroller zuerst verschoben werden.

Startaktionen von virtuellen Domänencontrollern steuern

In den Einstellungen von virtuellen Servern können Administratoren in Hyper-V festlegen, wie sich der virtuelle Server beim Herunterfahren oder Starten des Host-Systems verhalten soll. Bei unkontrolliertem Start, booten die einzelnen Computer nicht immer in der richtigen Reihenfolge.

Daher sollten beim Neustarten des Hosts auch die virtuellen Server heruntergefahren werden und beim Starten des Hosts manuell starten. Administratoren können aber den einzelnen Servern auch Startverzögerungen mitgeben und so den Start steuern.

Es ist beim Start eines Hyper-V-Hosts auf jeden Fall wichtig, dass die virtuellen Domänencontroller vor den Mitgliedservern starten. Microsoft empfiehlt als Einstellung für Automatische Stoppaktion die Option Gastbetriebssystem herunterfahren (siehe Abbildung 6). Die Speicherung des Zustandes empfiehlt Microsoft nicht, da dadurch die Synchronisierung der Active-Directory-Datenbank zwischen den Domänencontroller gestört wird.

Das Herunterfahren ist die optimalste Einstellung, wenn der Host neu gestartet werden muss. Beim Herunterfahren schließt ein DC alle noch offenen Synchronisierungsvorgänge ab, sodass beim erneuten Start keine Inkonsistenzen durch veraltete Daten entstehen können. Als automatische Startaktion empfiehlt Microsoft entweder keine Aktion, oder die Einstellung, dass der Server neu starten soll, wenn er beim Herunterfahren gestartet war.

Allerdings sollten Administratoren in diesem Fall darauf achten, dass andere Server nicht auch automatisch starten, wenn sie von den Domänencontrollern abhängig sind.

(ID:33035700)