Клониране на контролер на виртуален домейн в Windows Server 2012

Една от стратегическите цели, преследвана от Microsoft в най-новите си продукти, е виртуализацията на всичко възможно, което е естествено изискване за тотална миграция към облаците. Специално за това в новите версии на Hyper-V и Active Directory, които са част от новата сървърна операционна система Windows Server 2012, бяха въведени редица значителни подобрения и допълнения. Например, Microsoft съобщава, че дори високо натоварени SQL сървъри вече могат да се изпълняват във виртуална машина Hyper-V. В допълнение, Microsoft най-накрая реализира възможността за създаване на пълноценни контролери за виртуални домейни.

Ако си спомняте, в Windows Server 2008 R2 съществуваше следното Проблеми с виртуализацията на контролерите на домейни Active Directory:

  • Не можете да създадете моментна снимка на контролер на виртуален домейн (за по-точно, можете да създадете моментна снимка, но няма смисъл)
  • Виртуалният DC не може да бъде клониран
  • Невъзможна онлайн миграция на V2V контролер също
  • Възстановяването на виртуален DC с помощта на хипервизор не е възможно
  • А клъстерът на Windows Server 2008 R2 изисква физически контролер на домейн

Повечето от тези проблеми са свързани с работата на механизма. USN (актуализиране на поредните номера). Нека припомним накратко каква беше уловката. USN се използват за проследяване на актуализации между партньорите за репликация в гората на Active Directory. Използвайки USN и идентификационния номер на повикване, всеки контролер на домейн определя уникално кога да приеме и приложи промените в AD от партньорите за репликация и кога да препрати промените им. Използвайки този механизъм, се гарантира съгласуваността и уместността на базата данни на AD..

В този случай, ако създадем моментна снимка на контролера на виртуалния домейн и възстановим сървъра от него, тогава ще получим контролер на домейн с остарял USN. В резултат промените на такъв контролер не се репликират на други сървъри в гората, защото партньорите за репликация смятат, че тяхното копие на базата данни на Active Directory е актуално. Като цяло това може да доведе до проблеми с несъответствие с парола, конфликтни стойности на атрибути и т.н..

В Windows Server 2012 контролерите на домейни вече могат да се виртуализират и да работят с тях, както с всяка друга виртуална машина (можете да правите снимки, да клонирате DC и т.н.).

Тази функционалност се основава на нова функция в Windows Server 2012, наречена VM-GenerationID. Понастоящем тази функция се поддържа само в хипервизора. Hyper v, но Microsoft препоръчва и други производители на платформи за виртуализация да интегрират тази функция (по-специално VMware вече обяви технологична поддръжка в следващата версия на VSphere).

VM-Generation ID е функция на хипервизора и се генерира от него при клониране и / или създаване на моментна снимка на контролер на домейн. VM-Generation ID е уникален 128-битов идентификатор, който е достъпен за приложения чрез драйвера на Windows Server 2012. Контролерът на домейна съхранява VM-Generation ID стойността в несъвместим атрибут на базата на Active Directory. И преди да приложи промените в базата данни на Active Directory, контролерът на домейна сравнява стойността на ID на VM-Generation в своята база данни AD със стойността, получена от хипервизора през драйвера на Windows Server 2012. Ако стойностите са различни, параметрите на идентификационния номер на извикване се нулират и RID се отменя. По този начин, контролерът на домейн определя, че е приложена моментна снимка или клонирането на домейн и актуализира своята база в съответствие с други AD контролери на домейна.

Как да клонирам контролер на виртуален домейн

Подготовка на DC клониране

  • Изисква Windows Server 2012 с ролята на Hyper-V (вероятно в бъдеще други хипервизори ще поддържат VM-GenerationID)
  • Инсталиран контролер на домейн на Windows Server 2012 (физически или виртуален) с ролята на PDC. За да намерите сървър с ролята на PDC, използвайте командата:
    Get-ADComputer (Get-ADDomainController -Discover -Service "PrimaryDC"). Име -Операции на собственост системаверсия | ет
  • Виртуален контролер на домейн, работещ под Windows Server 2012 (не PDC), разположен на сървър на Windows Server 2012 Hyper-V. Това е същият контролер на домейни ... който ще клонираме (нека се нарича VirtualDC1).

За да може контролерът на домейн да бъде клониран, той трябва да бъде добавен към групата Клонируеми контролери на домейни. Можете да направите това с помощта на конзолата за потребители и компютри на Active Directory, контролния панел на Active Directory административен център или командата PowerShell.

Командата PowerShell ще изглежда така:

Add-ADGroupMember -Identity „CN = Cloneable домейн контролери, CN = потребители, DC = winitpro, DC = ru“ -член „CN = VirtualDC1, OU = контролери на домейни, DC = winitpro, DC = ru“

На контролера на изходния домейн (VirtualDC1) изпълнете командата Нова ADDCCloneConfigFile , с помощта на които се конфигурират IP адресът и името на новия контролер на виртуален домейн (клонинг). Нека бъде VirtualDC2.

New-ADDCCloneConfigFile -Static -IPv4Address “10.2.2.2” -IPv4DNSResolver “10.2.2.1” -IPv4SubnetMask “255.255.0.0” -CloneComputerName “VirtualDC2” -IPv4DefaultGateway “10.2.0.1” -Site по подразбиране

Забележка: в този случай новият контролер на домейн ще бъде разположен в същия сайт. Повече подробности за други опции за клониране можете да намерите в TechNet).

След това започваме импортирането на виртуалната машина от графичния графичен интерфейс на Hyper-V Manager, като избираме опцията като параметър Копирайте виртуалната машина (създайте нов уникален идентификационен номер).

След като импортирането завърши, преименувайте виртуалната машина на VirtualDC2 и я стартирайте. След като го изтеглите, процедурата за клониране започва и след няколко момента в мрежата се появява нов контролер на виртуален домейн.