Suchen

Domain Controller Cloning im Fokus So virtualisieren Sie Domänencontroller

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Bei der Virtualisierung von Domänencontrollern muss vor allem in puncto Active-Directory-Datenbank einiges beachtet werden. Dabei spielt das Erstellen und Klonen von Snapshots eine wichtige Rollen.

Firmen zum Thema

Mit Windows Server 2012 und Windows 10 ist das Virtualisieren von Domänencontrollern einfach möglich.
Mit Windows Server 2012 und Windows 10 ist das Virtualisieren von Domänencontrollern einfach möglich.
(Bild: Joos )

Erst mit Windows Server 2012 sind das Virtualisieren von Domänencontrollern und die Möglichkeit, Domänencontroller zu klonen, gut gelöst. Windows 10 Server verbessert die Möglichkeiten weiter, da bei der neuen Version Snapshots virtueller Server zusammen mit dem Volumenschattenkopiedienst der VM erstellt werden.

Das heißt, der virtuelle Server wird bei der Erstellung eines Snapshots mit einbezogen, was bei Datenbank-Servern wie Active-Directory-Domänencontrollern, Exchange und SQL unerlässlich ist. Allerdings lässt die neue Betriebssystem-Version wohl noch bis 2016 auf sich warten, sodass man aktuell noch auf Windows Server 2012 R2 setzen muss.

Bildergalerie

Bildergalerie mit 5 Bildern

Grundsätzlich lässt sich ein virtueller Domänencontroller (DC) genauso erstellen, wie jeder andere virtuelle Server. Auch das Heraufstufen ist identisch. In den Einstellungen der Hyper-V-Integrationsdienste oder der VMware-Tools sollte aber die Zeitsynchronisierung mit dem Host deaktiviert werden. Denn in Active Directory synchronisieren sich die Server ohnehin mit dem PDC-Master der Domäne und jeder PDC-Master einer Domäne synchronisierte sich seinerseits wiederum mit dem PDC-Master der obersten Domäne (siehe Abbildung 1).

Sind mehrere virtuelle DCs notwendig sind, lassen sich diese auf Basis von Windows Server 2012/2012 R2 über das Klonen eines bestehenden Controllers erzeugen. Das geht schneller und funktioniert mit geringerer Fehleranfälligkeit als das Neuerstellen.

Voraussetzungen für das Virtualisieren oder Klonen von Domänencontroller

Um Domänencontroller in eine VM zu klonen, muss sich der PDC-Master der Domäne auf einem Server mit Windows Server 2012/2012 R2 finden. Dieser Server kann virtualisiert, darf aber nicht geklont werden. Das heißt, die Domäne muss über mindestens zwei Domänencontroller verfügen. Den zweiten Domänencontroller können Administratoren dann klonen.

Am besten lassen sich Domänencontroller mit Hyper-V virtualisieren, da hier die neue Technik VM-Generation-ID unterstützt wird. Auch VMware unterstützt diese Technologie, allerdings muss dazu mindestens VMware vSphere 5.0 Update 2 oder VMware vSphere 5.1 eingesetzt werden. Ältere Versionen unterstützen diese Technologie nicht.

Ob die eingesetzte Virtualisierungslösung die VM-Generation ID unterstützt, erkennen Administratoren im Geräte-Manager eines virtualisierten Servers mit Windows Server 2012 R2. Bei den Systemgeräten muss der Treiber "Microsoft Hyper-V-Generierungszähler" (Microsoft Hyper-V Generation Counter) mit der Treiberdatei "vmgencounter.sys" existieren (siehe Abbildung 2).

In vielen Unternehmen ist die Umstellung physischer Domänencontroller zu virtuellen Servern im Zuge der P2V-Migration angedacht. Auch das ist möglich, muss aber gut geplant werden.

Bereitstellung virtueller Domänencontroller vorbereiten – XML-Dateien erstellen

Um einen virtuellen Domänencontroller zu klonen erstellen Administratoren eine Datei namens "DCCloneConfig.xml" in der PowerShell. Bevor ein virtueller Domänencontroller geklont wird, müssen Administratoren auf dem Server das Cmdlet "Get-ADDCCloningExcludedApplicationList" ausführen. Das Cmdlet überprüft, ob es auf dem virtuellen Server Anwendungen gibt, die das Klonen nicht unterstützen (siehe Abbildung 3).

Entdeckt das Cmdlet nicht-kompatible Dienste erscheint eine Information. Eine Liste der Anwendungen und Dienste, die das Klonen unterstützen, finden Administratoren in der Datei "c:\windows\system32\DefaultDCCloneAllowList.XML". Die Konfiguration für das Klonen nehmen Administratoren in der Datei "DCCloneConfig.xml" vor. Die Beispieldatei "SampleDCCloneConfig.xml" ist im Ordner "C:\Windows\System32" zu finden (siehe Abbildung 4).

Nachdem die Datei "DCCloneConfig.xml" erstellt ist, wird diese in den Ordner "C:\Windows\NTDS" kopiert.

Quelldomänencontroller vor dem Klonen überprüfen und vorbereiten

Nur Computerkonten die Mitglied der Gruppe "Klonbare Domänencontroller" in Active Directory sind, lassen sich klonen. Der zu klonende Domänencontroller muss heruntergefahren sein, damit er geklont werden kann. Ist die Klondatei vorbereitet, kann der virtuelle DC exportiert und neu importiert werden.

Bildergalerie

Bildergalerie mit 5 Bildern

Bevor der neue Domänencontroller in Active Directory aufgenommen werden kann, muss die durch den Klonvorgang angepasste Datei "DCCloneConfig.xml" vom Quellcomputer in den Ordner "C:\Windows\NTDS" auf den Zielcomputer kopiert werden. Windows passt dabei den Namen der Datei an; er muss wieder zu "DCCloneConfig.xml" geändert werden. Der Quell-DC muss bei diesen Vorgängen weiterhin ausgeschaltet bleiben. Der Ziel-DC muss aber Kontakt zum PDC-Emulator der Domäne aufbauen können.

Wird der geklonte Domänencontroller gestartet, liest er die Datei "DCCloneConfig.xml" ein und bereitet das Klonen vor. Während des Windows-Starts erscheint ebenfalls eine entsprechende Meldung (siehe Abbildung 5).

Ist der Vorgang abgeschlossen, ist der neue DC bereit. Der Domänencontroller muss in der "OU Domain Controllers" in Active Directory eingetragen sein. Als Name verwendet der Klonvorgang den Namen, der in der Datei "DCCloneConfig.xml" eingetragen wurde.

Weder der Quell- noch der Ziel-DC darf über aktive Snapshots verfügen. Alle Snapshots sollten deshalb gelöscht werden. Nach dem Klonvorgang lassen sich jederzeit neue Snapshots erstellen, wobei das Arbeiten mit Snapshots erst ab Windows 10 Server vernünftig möglich ist.

In der Ereignisanzeige sind die Einträge der IDs 29218 und 29248 bis 29266 zu finden. Auch auf die Ereignis-Quellen "Microsoft-Windows-DirectoryServices-DSROLE-Server" und "Microsoft-Windows-ActiveDirectory_DomainService" muss geachtet werden.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 43289444)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist