Mobile-Menu

So geht die schnelle Bereitstellung von Windows-Servern Domänencontroller in Active Directory klonen

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Durch das Klonen von Domänencontrollern können in kurzer Zeit sehr schnell mehrere Domänencontroller installiert werden. Die Technik gibt es seit Windows Server 2012. Wir zeigen, wie‘s geht.

Firma zum Thema

Mittels Cloning lassen sich Domänencontroller schnell und zielsicher vervielfältigen.
Mittels Cloning lassen sich Domänencontroller schnell und zielsicher vervielfältigen.
(Bild: © montreux13 (© Tina Trumpp) - stock.adobe.com)

Seit Windows Server 2012 und daher auch in Windows Server 2016/2019 ist es problemlos möglich, Snapshots von virtuellen Domänencontrollern zu erstellen und Domänencontroller auch zu klonen. Allerdings muss dabei einiges beachtet werden.

Es ist nicht möglich, einfach die Festplatte eines DCs zu klonen, den Namen des Servers zu ändern und diesen anschließend im AD zu nutzen. Das Klonen ist eine heikle Aufgabe, die viel Gründlichkeit erfordert.

Bildergalerie
Bildergalerie mit 8 Bildern

Voraussetzungen zum Klonen von Domänencontrollern

Damit ein Domänencontroller geklont werden kann, müssen folgende Voraussetzungen erfüllt sein. Zunächst muss der PDC-Emulator im Netzwerk auf einem Server mit mindestens Windows Server 2012 betrieben werden. Der PDC-Emulator selbst kann prinzipiell ebenfalls geklont werden, allerdings sind hier zahlreiche Neustarts und Einstellungen notwendig.

Welcher DC im Netzwerk der PDC-Emulator ist, kann auf einem Domänencontroller in der Befehlszeile mit „dsquery server -hasfsmo pdc“ abgefragt werden. Mehr zu den Betriebsmastern und wie man diese verwaltet ist im Beitrag „Verwalten der Betriebsmasterrollen von Domänencontrollern“ zu finden.

Der PDC-Emulator kann zwar prinzipiell geklont werden, allerdings ist hier ein Klonen nicht so ohne weiteres möglich. Aus diesem Grund sollte es in der Domäne mindestens zwei Domänencontroller geben, damit hier der zweite DC geklont werden kann. Soll auch der PDC-Emulator geklont werden, arbeitet Windows mit einer temporären ID und muss ein bis zwei Mal die Server neu starten. Dies kann zu Problemen führen. Einfacher ist es, wenn der Domänencontroller kein PDC-Emulator ist. Ist kein anderer Weg möglich, kann aber auch der PDC-Emulator geklont werden.

Handelt es sich bei dem geklonten Domänencontroller um einen globalen Katalog, dann ist der Klon danach ebenfalls als globaler Katalog verfügbar.

Beim Klonen von Domänencontroller wird normalerweise auf eine Virtualisierungslösung wie Hyper-V oder vSphere gesetzt. Damit Domänencontroller geklont werden können, muss auch die Virtualisierungslösung das Klonen unterstützen. Mit Hyper-V und aktuellen vSphere-Versionen ist das aber kein Problem.

Ob ein Domänencontroller geklont werden kann, lässt sich im Gerätemanager des DCs überprüfen. Der Gerätemanager kann mit „devmgmt.msc“ aufgerufen werden. Bei „Systemgeräten“ muss es das Gerät „Microsoft Hyper-V Generierungszähler“ oder eine ähnliche Bezeichnung bei anderen Virtualisierungslösungen geben. Hier wird der Treiber „vmgencounter.sys“ verwendet.

Klonen vorbereiten

Vor dem Klonen eines Domänencontrollers muss in der PowerShell mit „Get-ADDCCloningExcludedApplicationList -generatexml“ überprüft werden, ob es auf dem Server Anwendungen gibt, die nicht ohne Weiteres geklont werden dürfen. Liegen solche Anwendungen vor, besteht der beste Weg darin, diese zu deinstallieren. Die Anwendungen sind im Verzeichnis „C:\Windows\ntds“ zu finden.

In diesem Verzeichnis ist auch die AD-Datenbank gespeichert. Das Verzeichnis spielt beim Klonen eines Domänencontrollers eine zentrale Rolle. Hier liegt auch die Steuerungsdatei für das Klonen. Diese wird ebenfalls in der PowerShell mit „New-ADDCCloneConfigFile“ erstellt. Im Rahmen der Erstellung können auch verschiedene Werte für den DC angegeben werden. Dazu wird zum Beispiel der folgende Befehl verwendet:

New-ADDCCloneConfigFile -Offline -CloneComputerName dc03 -SiteName Heilbronn -IPv4Address "192.168.1.232" -IPv4DNSResolver "192.168.1.230" -IPv4SubnetMask "255.255.255.0" -IPv4DefaultGateway "192.168.1.1" -Static -Path C:\Windows\NTDS

Damit ein Domänencontroller geklont werden kann, muss er Mitglied der Gruppe „Klonbare Domänencontroller“ sein. Erscheint später beim Klonen ein Fehler, kann die Gruppe in „Cloneable Domain Controllers“ umbenannt werden. Danach sollte das Klonen funktionieren. Vor dem Fortfahren sollte der Inhalt der Konfigurationsdatei überprüft werden.

Klonen des Domänencontrollers durchführen

Wenn ein Domänencontroller für das Klonen vorbereitet wurde, kann er geklont werden. In virtuellen Umgebungen kann dazu zum Beispiel die Funktion zum Exportieren von VMs verwendet werden. Vor dem Klonen sollten alle Snapshots gelöscht und der Server heruntergefahren werden. Ist der Export- oder Kopiervorgang abgeschlossen, kann der Quell-DC wieder gestartet werden.

Der nächste Schritt ist das Importieren des zuvor exportierten Servers, zum Beispiel in Hyper-V. Beim Beispiel von Hyper-V wird die Option „Virtuellen Computer kopieren (neue eindeutige ID erstellen)“ verwendet. Sobald der Vorgang durchgeführt wurde, kann auch der geklonte DC gestartet werden. Beim Starten erkennt Windows die erstellten Konfigurationsdateien und führt den Klonvorgang durch. Der Status wird im Fenster angezeigt.

Nacharbeiten beim Klonen eines Domänencontrollers

Sobald ein Domänencontroller geklont wurde, sollte natürlich überprüft werden, ob er funktioniert. Der Name und die IP-Adresse des Servers sollten getestet werden. Auch die Kommunikation über Ping mit den anderen Servern und die Namensauflösung sind hier wichtig. Mit „dcdiag“ kann die Integration in Active Directory überprüft werden, und auch die Replikation der Domänencontroller sowie die AD-Standortkonfiguration kann an dieser Stelle getestet werden.

Darüber hinaus sollte getestet werden, ob die einzelnen FSMO-Rollen den richtigen Domänencontrollern zugewiesen wurden und diese auch funktionieren. Im Grunde genommen entsprechen die zu erledigenden Prüfungen den Kontrollen, die ohnehin nach der Installation eines neuen Domänencontrollers durchgeführt werden sollten.

(ID:47319628)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist