Domain Controller Cloning im Fokus

So virtualisieren Sie Domänencontroller

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit Windows Server 2012 und Windows 10 ist das Virtualisieren von Domänencontrollern einfach möglich.
Mit Windows Server 2012 und Windows 10 ist das Virtualisieren von Domänencontrollern einfach möglich. (Bild: Joos)

Bei der Virtualisierung von Domänencontrollern muss vor allem in puncto Active-Directory-Datenbank einiges beachtet werden. Dabei spielt das Erstellen und Klonen von Snapshots eine wichtige Rollen.

Erst mit Windows Server 2012 sind das Virtualisieren von Domänencontrollern und die Möglichkeit, Domänencontroller zu klonen, gut gelöst. Windows 10 Server verbessert die Möglichkeiten weiter, da bei der neuen Version Snapshots virtueller Server zusammen mit dem Volumenschattenkopiedienst der VM erstellt werden.

DCs klonen, in Hyper-V betreiben und schneller bereitstellen

Domänencontroller besser virtualisieren mit Windows 8 Server

DCs klonen, in Hyper-V betreiben und schneller bereitstellen

13.04.12 - In Windows Server 2008 R2 und früher waren Domänencontroller nicht dazu geeignet, optimal virtualisiert zu werden. Auch das Klonen von DCs zur schnellen Bereitstellung ist keine Stärke von 2008 R2. Windows 8 Server macht einen großen Schritt in Richtung Virtualisierung von Domänencontrollern und korrigiert viele Fehler. lesen

Das heißt, der virtuelle Server wird bei der Erstellung eines Snapshots mit einbezogen, was bei Datenbank-Servern wie Active-Directory-Domänencontrollern, Exchange und SQL unerlässlich ist. Allerdings lässt die neue Betriebssystem-Version wohl noch bis 2016 auf sich warten, sodass man aktuell noch auf Windows Server 2012 R2 setzen muss.

Grundsätzlich lässt sich ein virtueller Domänencontroller (DC) genauso erstellen, wie jeder andere virtuelle Server. Auch das Heraufstufen ist identisch. In den Einstellungen der Hyper-V-Integrationsdienste oder der VMware-Tools sollte aber die Zeitsynchronisierung mit dem Host deaktiviert werden. Denn in Active Directory synchronisieren sich die Server ohnehin mit dem PDC-Master der Domäne und jeder PDC-Master einer Domäne synchronisierte sich seinerseits wiederum mit dem PDC-Master der obersten Domäne (siehe Abbildung 1).

Sind mehrere virtuelle DCs notwendig sind, lassen sich diese auf Basis von Windows Server 2012/2012 R2 über das Klonen eines bestehenden Controllers erzeugen. Das geht schneller und funktioniert mit geringerer Fehleranfälligkeit als das Neuerstellen.

Voraussetzungen für das Virtualisieren oder Klonen von Domänencontroller

Um Domänencontroller in eine VM zu klonen, muss sich der PDC-Master der Domäne auf einem Server mit Windows Server 2012/2012 R2 finden. Dieser Server kann virtualisiert, darf aber nicht geklont werden. Das heißt, die Domäne muss über mindestens zwei Domänencontroller verfügen. Den zweiten Domänencontroller können Administratoren dann klonen.

Am besten lassen sich Domänencontroller mit Hyper-V virtualisieren, da hier die neue Technik VM-Generation-ID unterstützt wird. Auch VMware unterstützt diese Technologie, allerdings muss dazu mindestens VMware vSphere 5.0 Update 2 oder VMware vSphere 5.1 eingesetzt werden. Ältere Versionen unterstützen diese Technologie nicht.

Ob die eingesetzte Virtualisierungslösung die VM-Generation ID unterstützt, erkennen Administratoren im Geräte-Manager eines virtualisierten Servers mit Windows Server 2012 R2. Bei den Systemgeräten muss der Treiber "Microsoft Hyper-V-Generierungszähler" (Microsoft Hyper-V Generation Counter) mit der Treiberdatei "vmgencounter.sys" existieren (siehe Abbildung 2).

In vielen Unternehmen ist die Umstellung physischer Domänencontroller zu virtuellen Servern im Zuge der P2V-Migration angedacht. Auch das ist möglich, muss aber gut geplant werden.

Bereitstellung virtueller Domänencontroller vorbereiten – XML-Dateien erstellen

Um einen virtuellen Domänencontroller zu klonen erstellen Administratoren eine Datei namens "DCCloneConfig.xml" in der PowerShell. Bevor ein virtueller Domänencontroller geklont wird, müssen Administratoren auf dem Server das Cmdlet "Get-ADDCCloningExcludedApplicationList" ausführen. Das Cmdlet überprüft, ob es auf dem virtuellen Server Anwendungen gibt, die das Klonen nicht unterstützen (siehe Abbildung 3).

Entdeckt das Cmdlet nicht-kompatible Dienste erscheint eine Information. Eine Liste der Anwendungen und Dienste, die das Klonen unterstützen, finden Administratoren in der Datei "c:\windows\system32\DefaultDCCloneAllowList.XML". Die Konfiguration für das Klonen nehmen Administratoren in der Datei "DCCloneConfig.xml" vor. Die Beispieldatei "SampleDCCloneConfig.xml" ist im Ordner "C:\Windows\System32" zu finden (siehe Abbildung 4).

Nachdem die Datei "DCCloneConfig.xml" erstellt ist, wird diese in den Ordner "C:\Windows\NTDS" kopiert.

Quelldomänencontroller vor dem Klonen überprüfen und vorbereiten

Nur Computerkonten die Mitglied der Gruppe "Klonbare Domänencontroller" in Active Directory sind, lassen sich klonen. Der zu klonende Domänencontroller muss heruntergefahren sein, damit er geklont werden kann. Ist die Klondatei vorbereitet, kann der virtuelle DC exportiert und neu importiert werden.

Bevor der neue Domänencontroller in Active Directory aufgenommen werden kann, muss die durch den Klonvorgang angepasste Datei "DCCloneConfig.xml" vom Quellcomputer in den Ordner "C:\Windows\NTDS" auf den Zielcomputer kopiert werden. Windows passt dabei den Namen der Datei an; er muss wieder zu "DCCloneConfig.xml" geändert werden. Der Quell-DC muss bei diesen Vorgängen weiterhin ausgeschaltet bleiben. Der Ziel-DC muss aber Kontakt zum PDC-Emulator der Domäne aufbauen können.

Wird der geklonte Domänencontroller gestartet, liest er die Datei "DCCloneConfig.xml" ein und bereitet das Klonen vor. Während des Windows-Starts erscheint ebenfalls eine entsprechende Meldung (siehe Abbildung 5).

Ist der Vorgang abgeschlossen, ist der neue DC bereit. Der Domänencontroller muss in der "OU Domain Controllers" in Active Directory eingetragen sein. Als Name verwendet der Klonvorgang den Namen, der in der Datei "DCCloneConfig.xml" eingetragen wurde.

Weder der Quell- noch der Ziel-DC darf über aktive Snapshots verfügen. Alle Snapshots sollten deshalb gelöscht werden. Nach dem Klonvorgang lassen sich jederzeit neue Snapshots erstellen, wobei das Arbeiten mit Snapshots erst ab Windows 10 Server vernünftig möglich ist.

In der Ereignisanzeige sind die Einträge der IDs 29218 und 29248 bis 29266 zu finden. Auch auf die Ereignis-Quellen "Microsoft-Windows-DirectoryServices-DSROLE-Server" und "Microsoft-Windows-ActiveDirectory_DomainService" muss geachtet werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43289444 / LAN- und VLAN-Administration)