Freigeben über

Bereitstellung und Konfiguration virtualisierter Domänencontroller

Dieses Thema behandelt Folgendes:

Überlegungen zur Installation

Es gibt keine spezielle Rollen- oder Featureinstallation für virtualisierte Domänencontroller, sondern alle Domänencontroller enthalten automatisch Funktionen für das Klonen und die sichere Wiederherstellung. Sie können diese Funktionen nicht entfernen oder deaktivieren.

Für die Verwendung von Windows Server 2012-Domänencontrollern sind die Windows Server 2012 AD DS-Schemaversion 56 oder höher und eine Windows Server 2003 Native oder höher entsprechende Gesamtstrukturfunktionsebene erforderlich.

Sowohl beschreibbare als auch schreibgeschützte Domänencontroller unterstützen alle Aspekte von virtualisierten Domänencontrollern, so wie globale Kataloge und FSMO-Rollen.

Wichtig

Der Halter der FSMO-Rolle für den Emulator des primären Domänencontrollers (PDC) muss online sein, wenn das Klonen beginnt.

Plattformanforderungen

Für das Klonen von virtualisierten Domänencontrollern ist Folgendes erforderlich:

  • FSMO-Rolle für den PDC-Emulator, gehostet auf einem Windows Server 2012-Domänencontroller

  • Verfügbarkeit des PDC-Emulators während des Klonens

Für das Klonen und die sichere Wiederherstellung ist Folgendes erforderlich:

  • Virtualisierte Windows Server 2012-Gäste

  • Virtualisierunghostplattform mit Unterstützung für VM-Generations-ID (VMGID)

Sehen Sie sich die Tabelle unten an, in der Sie Virtualisierungsprodukte finden und erfahren, ob diese virtualisierte Domänencontroller und die VM-Generations-ID unterstützen.

Virtualisierungsprodukt Unterstützung für virtualisierte Domänencontroller und VMGID
Microsoft Windows Server 2012-Server mit Hyper-V-Feature Ja
Microsoft Windows Server 2012 Hyper-V-Server Ja
Microsoft Windows 8 mit Hyper-V-Clientfeature Ja
Windows Server 2008 R2 und Windows Server 2008 Nein
Nicht von Microsoft stammende Virtualisierungslösungen Hersteller kontaktieren

Zwar unterstützt Microsoft Windows 7 Virtual PC, Virtual PC 2007, Virtual PC 2004 und Virtual Server 2005, aber diese bieten keine Unterstützung für die Ausführung von 64-Bit-Gästen und die VM-Generations-ID.

Für Hilfe mit Virtualisierungsprodukten von Drittanbietern und deren Unterstützung für virtualisierte Domänencontroller wenden Sie sich direkt an den Anbieter.

Weitere Informationen finden Sie in der Supportrichtlinie für Microsoft-Software, die in Hardwarevirtualisierungssoftware ausgeführt wird, die nicht von Microsoft stammt.

Wichtige Einschränkungen

Virtualisierte Domänencontroller bieten keine Unterstützung für die sichere Wiederherstellung von folgenden Elementen:

  • VHD- und VHDX-Dateien, die manuell über vorhandene VHD-Dateien kopiert werden

  • VHD- und VHDX-Dateien, die mit Software für Dateisicherungen oder vollständige Festplattensicherungen wiederhergestellt wurden

Hinweis

VHDX-Dateien, die neu für Windows Server 2012 Hyper-V sind

Keiner dieser Vorgänge ist unter der Semantik der VM-Generations-ID abgedeckt, deshalb wird die VM-Generations-ID nicht geändert. Die Wiederherstellung von Domänencontrollern über die Methoden kann entweder zu einem USN-Rollback oder einer Quarantäne für den Domänencontroller führen oder zu veralteten Objekten und der Anforderung für gesamtstrukturweite Bereinigungsvorgänge führen.

Warnung

Die sichere Wiederherstellung des virtualisierten Domänencontrollers ist kein Ersatz für Systemstatussicherungen und den AD DS-Papierkorb.

Nach der Wiederherstellung einer Momentaufnahme gehen die Deltas von zuvor nicht replizierten Änderungen, die nach der Momentaufnahme von diesem Domänencontroller stammen, gehen dauerhaft verloren. Die sichere Wiederherstellung implementiert eine automatisierte nicht autoritative Wiederherstellung, nur um eine versehentliche Domänencontrollerquarantäne zu vermeiden.

Weitere Informationen zu USN-Blasen und veralteten Objekten finden Sie unter Problembehandlung für Active Directory-Vorgänge, bei denen der Fehler 8606 „Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen“ auftritt.

Klonen von virtualisierten Domänencontrollern

Es gibt eine Reihe von Phasen und Schritten für das Klonen eines virtualisierten Domänencontrollers, unabhängig von der Verwendung grafischer Tools oder der Windows PowerShell. Allgemein gesagt, gibt es die drei folgenden Phasen:

Vorbereiten der Umgebung

  • Schritt 1: Vergewissern Sie sich, dass der Hypervisor die VM-Generations-ID und damit das Klonen unterstützt.

  • Schritt 2: Vergewissern Sie sich, dass die Rolle „PDC-Emulator“ auf einem Domänencontroller gehostet wird, auf dem Windows Server 2012 ausgeführt wird, und dass diese während des Klonens online und für den geklonten Domänencontroller erreichbar ist.

Vorbereiten des Quelldomänencontrollers

  • Schritt 3: Autorisieren Sie den Quelldomänencontroller für das Klonen.

  • Schritt 4: Entfernen Sie inkompatible Dienste oder Programme, oder fügen Sie diese zur Datei CustomDCCloneAllowList.xml hinzu.

  • Schritt 5: Erstellen Sie die Datei „DCCloneConfig.xml“

  • Schritt 6: Nehmen Sie den Quelldomänencontroller offline.

Erstellen des geklonten Domänencontrollers

  • Schritt 7: Kopieren oder exportieren Sie den virtuellen Quellcomputer, und fügen Sie die XML hinzu, wenn sie nicht bereits kopiert wurde.

  • Schritt 8: Erstellen Sie einen neuen virtuellen Computer aus der Kopie.

  • Schritt 9: Starten Sie den neuen virtuellen Computer, um das Klonen zu beginnen.

Da es keine Unterschiede bei der Vorgehensweise gibt, wenn Sie grafische Tools wie die Hyper-V-Verwaltungskonsole oder Befehlszeilentools wie Windows PowerShell verwenden, werden die Schritte nur einmal mit beiden Oberflächen dargestellt. In diesem Thema werden Windows PowerShell-Stichproben bereitgestellt, mit denen Sie die End-to-End-Automatisierung des Klonprozesses erkunden können. Für die einzelnen Schritte sind die Stichproben nicht erforderlich. In Windows Server 2012 ist kein grafisches Verwaltungstool für virtualisierte Domänencontroller enthalten.

Es gibt verschiedene Punkte im Verfahren, an denen Sie Optionen haben, wie Sie den geklonten Computer erstellen und die XML-Dateien hinzufügen. Diese Schritte sind in den Details unten erwähnt. Ansonsten ist der Prozess unveränderbar.

Im folgenden Diagramm ist der Prozess für das Klonen des virtualisierten Domänencontrollers dargestellt, bei dem die Domäne bereits vorhanden ist.

Diagramm des Klonprozesses des virtualisierten Domänencontrollers, wobei die Domäne bereits vorhanden ist.

Schritt 1: Überprüfen des Hypervisors

Stellen Sie sicher, dass der Quelldomänencontroller auf einem unterstützten Hypervisor ausgeführt wird, indem Sie die Dokumentation des Anbieters durchsehen. Virtualisierte Domänencontroller sind hypervisorunabhängig, was bedeutet, dass Hyper-V nicht erforderlich ist.

Wenn der Hypervisor Microsoft Hyper-V ist, stellen Sie sicher, dass dieser unter Windows Server 2012 ausgeführt wird. Sie können dies über die Geräteverwaltung überprüfen.

Öffnen Sie Devmgmt.msc, und sehen Sie sich die Systemgeräte für installierte Microsoft Hyper-V-Geräte und -Treiber. Für einen virtualisierten Domänencontroller ist spezifisch der Microsoft Hyper-V Generation Counter (Treiber: vmgencounter.sys) erforderlich.

Screenshot: Details für den Microsoft Hyper-V-Generierungszähler.

Schritt 2: Überprüfen der PDCE FSMO-Rolle

Bevor Sie versuchen, einen Domänencontroller zu klonen, müssen Sie überprüfen, ob auf dem Domänencontroller, der die FSMO-Rolle für den Emulator des primären Domänencontrollers hostet, Windows Server 2012 ausgeführt wird. Der PDC-Emulator (PDCE) ist aus verschiedenen Gründen erforderlich:

  1. Der PDCE erstellt die spezielle Gruppe Klonbare Domänencontroller und legt die Berechtigungen dafür auf den Stamm der Domäne fest, damit ein Domänencontroller sich selbst klonen kann.

  2. Der klonende Domänencontroller kontaktiert den PDCE direkt über das DRSUAPI RPC-Protokoll, um Computerobjekte für den geklonten Domänencontroller zu erstellen.

    Hinweis

    Windows Server 2012 erweitert das vorhandene Remoteprotokoll für den Verzeichnisreplikationsdienst (Directory Replication Service, DRS) (UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2), um die neue RPC-Methode IDL_DRSAddCloneDC (Opnum 28) einzuschließen. Die IDL_DRSAddCloneDC-Methode erstellt ein neues Domänencontrollerobjekt durch das Kopieren von Attributen von einem vorhandenen Domänencontrollerobjekt.

    Die Status eines Domänencontrollers setzen sich aus Computer, Server, NTDS-Einstellungen, FRS, DFSR und Verbindungsobjekten zusammen, die für jeden Domänencontroller beibehalten werden. Bei der Duplizierung eines Objekts ersetzt diese RPC-Methode alle Referenzen zum ursprünglichen Domänencontroller durch entsprechende Objekte des neuen Domänencontrollers. Der Anrufer muss über das Zugriffsrecht „DS-Clone-Domain-Controller“ im Domänennamenskontext verfügen.

    Für die Verwendung dieser neuen Methode ist immer ein direkter Zugriff auf den PDC-Emulatordomänencontroller vom Anrufer erforderlich.

    Da diese RPC-Methode neu ist, benötigt Ihre Netzwerkanalysesoftware aktualisierte Parser, um Felder für das neue Opnum 28 in die vorhandene UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2 einzuschließen. Andernfalls können Sie diesen Datenverkehr nicht analysieren.

    Weitere Informationen finden Sie unter 4.1.29 IDL_DRSAddCloneDC (Opnum 28).

Dies bedeutet auch, dass bei Verwendung von nicht vollständig weitergeleiteten Netzwerken das virtualisierte Domänencontroller-Klonen Netzwerksegmente mit Zugriff auf die PDCE erfordert. Es ist akzeptabel, einen geklonten Domänencontroller nach dem Klonen in ein anderes Netzwerk zu verschieben – genau wie ein physischer Domänencontroller – solange Sie die logischen AD DS-Standortinformationen aktualisieren.

Wichtig

Beim Klonen einer Domäne, die nur einen einzigen Domänencontroller enthält, müssen Sie sicherstellen, dass der Quelldomänencontroller wieder online ist, bevor Sie die Klonkopien starten. Eine Produktionsdomäne sollte immer mindestens zwei Domänencontroller enthalten.

Methode mit Active Directory-Benutzern und -Computern

  1. Klicken Sie im Dsa.msc-Snap-In mit der rechten Maustaste auf die Domäne, und klicken Sie auf Betriebsmaster. Notieren Sie den auf der Registerkarte PDC benannten Domänencontroller, und schließen Sie das Dialogfeld.

  2. Klicken Sie mit der rechten Maustaste auf das Computerobjekt dieses Domänencontrollers, und klicken auf Eigenschaften. Überprüfen Sie dann die Betriebssysteminformationen.

Windows PowerShell-Methode

Sie können die folgenden Cmdlets des Active Directory Windows PowerShell-Moduls verwenden, um die Version des PDC-Emulators zurückzugeben:

Get-adddomaincontroller
Get-adcomputer

Wenn diesen Cmdlets die Domain nicht bereitgestellt wird, gehen sie von der Domäne des Computers aus, auf denen sie ausgeführt werden.

Der folgende Befehl gibt PDCE- und Betriebssysteminformationen zurück:

get-adcomputer(Get-ADDomainController -Discover -Service "PrimaryDC").name -property * | format-list dnshostname,operatingsystem,operatingsystemversion

Im unten stehenden Beispiel wird das Angeben des Domänennamens und Filtern der zurückgegebenen Eigenschaften vor der Windows PowerShell-Pipeline dargestellt:

Screenshot eines Terminalfensters, der das Angeben des Domänennamens und Filtern der zurückgegebenen Eigenschaften vor der Windows PowerShell-Pipeline dargestellt.

Schritt 3: Autorisieren eines Quelldomänencontrollers

Der Quelldomänencontroller muss über das Zugriffsrecht Domänencontroller die Erstellung eines Klons von sich selbst erlauben auf dem Namenskontextkopf der Domäne verfügen. Standardmäßig verfügt die bekannte Gruppe Klonbare Domänencontroller über diese Berechtigung und enthält keine Mitglieder. Der PDCE erstellt diese Gruppe, wenn diese FSMO-Rolle an einen Windows Server 2012-Domänencontroller übertragen wird.

Methode mit dem Active Directory-Verwaltungscenter

  1. Starten Sie Dsac.exe, und navigieren Sie zum Quelldomänencontroller. Öffnen Sie dann die Detailseite.

  2. Fügen Sie im Abschnitt Mitglied von die Gruppe Klonbare Domänencontroller für die Domäne hinzu.

Windows PowerShell-Methode

Sie können die Cmdlets get-adcomputer und add-adgroupmember des Active Directory Windows PowerShell-Moduls kombinieren, um einen Domänencontroller zur Gruppe Klonbare Domänencontroller hinzuzufügen:

Get-adcomputer <dc name> | %{add-adgroupmember "cloneable domain controllers" $_.samaccountname}

Damit wird beispielsweise der Server DC1 zur Gruppe hinzugefügt, ohne dass Sie den Distinguished Name des Gruppenmitglieds angeben müssen:

Screenshot eines Terminalfensters mit dem Befehl zum Hinzufügen eines Servers zu einer Gruppe

Neuerstellung der Standardberechtigungen

Wenn Sie diese Berechtigung vom Domänenkopf entfernen, schlägt das Klonen fehl. Sie die Berechtigung über das Active Directory-Verwaltungscenter oder Windows PowerShell erneut erstellen.

Methode mit dem Active Directory-Verwaltungscenter

  1. Öffnen Sie das Active Directory-Verwaltungscenter, klicken Sie mit der rechten Maustaste auf den Domänenkopf, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Erweiterungen, klicken Sie auf Sicherheit, und klicken Sie dann auf Erweitert. Klicken Sie auf Nur dieses Objekt.

  2. Klicken Sie auf Hinzufügen, und geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Gruppennamen Klonbare Domänencontrollers ein.

  3. Klicken Sie unter Berechtigungen auf Domänencontroller die Erstellung eines Klons von sich selbst erlauben, und klicken Sie dann auf OK.

Hinweis

Sie können auch die Standardberechtigung entfernen und individuelle Domänencontroller hinzufügen. Da wird wahrscheinlich jedoch fortlaufende Wartungsprobleme nach sich ziehen, bei denen neuen Administratoren diese Anpassung nicht bewusst ist. Das Ändern der Standardeinstellung sorgt nicht für mehr Sicherheit und wird nicht empfohlen.

Windows PowerShell-Methode

Verwenden Sie die folgenden Befehle an einer Eingabeaufforderung mit Administratorrechten der Windows PowerShell-Konsole. Diese Befehle erkennen den Domänennamen und fügen ihn zurück die Standardberechtigungen ein:

import-module activedirectory
cd ad:
$domainNC = get-addomain
$dcgroup = get-adgroup "Cloneable Domain Controllers"
$sid1 = (get-adgroup $dcgroup).sid
$acl = get-acl $domainNC
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid1,"ExtendedRight","Allow",$objectguid
$acl.AddAccessRule($ace1)
set-acl -aclobject $acl $domainNC
cd c:

Alternativ können Sie das Beispiel FixVDCPermissions.ps1 in einer Windows PowerShell-Konsole, woraufhin die Konsole einen erweiterten Administrator auf einem Domänencontroller in der betroffenen Domäne startet. Die Berechtigungen werden automatisch festgelegt. Das Beispiel befindet sich im Anhang dieses Moduls.

Schritt 4: Entfernen inkompatibler Anwendungen oder Dienste (wenn CustomDCCloneAllowList.xml nicht verwendet wird)

Alle Programme oder Dienste, die zuvor von Get-ADDCCloningExcludedApplicationList zurückgegeben und nicht zu CustomDCCloneAllowList.xml hinzugefügt wurden, müssen vor dem Klonen entfernt werden. Die empfohlene Methode ist das Deinstallieren der Anwendung oder des Diensts.

Warnung

Alle inkompatiblen Programme oder Dienste, die nicht deinstalliert oder zu CustomDCCloneAllowList.xml hinzugefügt werden, verhindern das Klonen.

Verwenden Sie das Cmdlet Get-AdComputerServiceAccount, um nach eigenständigen verwalteten Dienstkonten in der Domäne zu suchen und festzustellen, ob dieser Computer diese verwendet. Wenn verwaltete Dienstkonten installiert sind, verwenden Sie das Cmdlet Uninstall-ADServiceAccount, um das lokal installierte Dienstkonto zu entfernen. Nachdem Sie mit dem Offlineschalten des Quelldomänencontrollers in Schritt 6 fertig sind, können Sie die MSA mithilfe von Install-ADServiceAccount erneut hinzufügen, wenn der Server wieder online ist. Weitere Informationen finden Sie unter Uninstall-ADServiceAccount.

Wichtig

Eigenständige MSAs, die zuerst in Windows Server 2008 R2 eingeführt wurden, wurden in Windows Server 2012 durch Gruppen-MSAs ersetzt. Gruppen-MSAs unterstützen das Klonen.

Schritt 5: Erstellen der Datei DCCloneConfig.xml

Die Datei DcCloneConfig.xml ist für das Klonen von Domänencontrollern erforderlich. Ihre Inhalte ermöglichen Ihnen, eindeutige Details wie den Namen und die IP-Adresse des neuen Computers anzugeben.

Die Datei CustomDCCloneAllowList.xml ist optional, solange Sie keine Anwendungen oder potenziell inkompatiblen Windows-Dienste auf dem Quelldomänencontroller installieren. Für die Dateien ist eine präzise Benennung, Formatierung und Platzierung erforderlich, da andernfalls das Klonen fehlschlägt.

Aus diesem Grund sollten Sie immer die Windows PowerShell-Cmdlets verwenden, um die XML-Dateien zu erstellen und am korrekten Standort zu platzieren.

Generieren mit New-ADDCCloneConfigFile

Das Active Directory Windows PowerShell-Modul enthält ein neues Cmdlet in Windows Server 2012:

New-ADDCCloneConfigFile

Sie führen das Cmdlet auf dem vorgeschlagenen Quelldomänencontroller aus, den Sie klonen möchten. Das Cmdlet unterstützt mehrere Argumente und testet bei Verwendung immer den Computer und die Umgebung, in der es ausgeführt wird, es sei denn, Sie geben das Argument "-offline" an.

ActiveDirectory

Cmdlet

 Argumente Erklärung
New-ADDCCloneConfigFile <kein Argument angegeben> Erstellt eine leere „DcCloneConfig.xml“-Datei im DSA-Arbeitsverzeichnis (Standard: %systemroot%\ntds)
-CloneComputerName Gibt den Computernamen des geklonten Domänencontrollers an. String-Datentyp
-Path Gibt den Ordner für die Erstellung der DcCloneConfig.xml-Datei an. Falls nicht angegeben, wird die Datei in das DSA-Arbeitsverzeichnis (Standard: %systemroot%\ntds) geschrieben. String-Datentyp
-SiteName Gibt den logischen AD-Standortnamen an, dem während der Erstellung des geklonten Computerkontos beigetreten wird. String-Datentyp
-IPv4Address Gibt die statische IPv4-Adresse des geklonten Computers an. String-Datentyp
-IPv4SubnetMask Gibt die statische IPv4-Subnetzmaske des geklonten Computers an. String-Datentyp
-IPv4DefaultGateway Gibt die statische IPv4-Standardgatewayadresse des geklonten Computers an. String-Datentyp
-IPv4DNSResolver Gibt die statischen IPv4-DNS-Einträge des geklonten Computers in einer durch Trennzeichen getrennten Liste an. Arraydatentyp. Bis zu vier Einträge können bereitgestellt werden.
-PreferredWINSServer Gibt die statische IPv4-Adresse des primären WINS-Computers an. String-Datentyp
-AlternateWINSServer Gibt die statische IPv4-Adresse des sekundären WINS-Computers an. String-Datentyp
-IPv6DNSResolver Gibt die statischen IPv6-DNS-Einträge des geklonten Computers in einer durch Trennzeichen getrennten Liste an. Es gibt keine Möglichkeit, um statische IPv6-Informationen beim Klonen von virtualisierten Domänencontrollern festzulegen. Arraydatentyp.
-Offline Führt keine Validierungstests durch und überschreibt jede vorhandene dccloneconfig.xml-Datei. Hat keine Parameter.
-Static Erforderlich, wenn die statischen IP-Argumente IPv4SubnetMask, IPv4SubnetMask oder IPv4DefaultGateway angegeben werden. Hat keine Parameter.

Bei Ausführung im Onlinemodus durchgeführte Tests:

  • PDC-Emulator ist Windows Server 2012 oder höher

  • Quelldomänencontroller ist Mitglied der Gruppe „Klonbare Domänencontroller“

  • Quelldomänencontroller enthält keine ausgeschlossenen Anwendungen oder Dienste

  • Quelldomänencontroller enthält noch keine DcCloneConfig.xml-Datei am angegebenen Pfad

Screenshot eines Terminalfensters, das zeigt, dass Tests ausgeführt werden.

Schritt 6: Quelldomänencontroller offline nehmen

Sie können keine laufende Quell-DC kopieren; es muss ordnungsgemäß heruntergefahren werden. Sie sollten niemals einen Domänencontroller klonen, der durch einen nicht ordnungsgemäßen Stromverlust angehalten wurde.

Grafische Methode

Verwenden Sie die Schaltfläche zum Herunterfahren im ausgeführten Domänencontroller oder die Schaltfläche zum Herunterfahren im Hyper-V-Manager.

Screenshot: Screenshot, der die Schaltfläche „Herunterfahren“ im ausgeführten DC zeigt.

Screenshot: Screenshot, der die Schaltfläche „Herunterfahren“ von Hyper-V-Manager zeigt.

Windows PowerShell-Methode

Sie können einen virtuellen Computer über eins der folgenden Cmdlets herunterfahren:

Stop-computer
Stop-vm

Stop-computer ist ein Cmdlet, das das Herunterfahren von Computern unabhängig von der Virtualisierung unterstützt, und entspricht dem Vorversionsdienstprogramm Shutdown.exe. Stop-vm ist ein neues Cmdlet im Windows Server 2012 Hyper-V Windows PowerShell-Modul, das den Energieoptionen im Hyper-V-Manager entspricht. Letztere Option ist nützlich in Laborumgebungen, in denen Domänencontroller oft in einem privaten virtualisierten Netzwerk betrieben werden.

Screenshot eines Terminalfensters, das zeigt, wie das Cmdlet stop-computer verwendet wird.

Screenshot eines Terminalfensters, das zeigt, wie das Cmdlet stop-vm verwendet wird.

Schritt 7: Kopieren von Datenträgern

In der Kopierphase ist eine administrative Entscheidung erforderlich:

  • Manuelles Kopieren der Datenträger ohne Hyper-V

  • Exportieren des virtuellen Computers mithilfe von Hyper-V

  • Exportieren der zusammengeführten Datenträger mithilfe von Hyper-V

Alle Datenträger eines virtuellen Computers müssen kopiert werden, nicht nur das Systemlaufwerk. Wenn der Quelldomänencontroller verschiedene Datenträger verwendet und Sie planen, Ihren geklonten Domänencontroller auf einen anderen Hyper-V-Host zu verschieben, müssen Sie exportieren.

Das manuelle Kopieren von Datenträgern wird empfohlen, wenn der Domänencontroller nur über ein Laufwerk verfügt. Das Exportieren/Importieren wird für virtuelle Computer mit mehreren Laufwerken oder anderen komplexen virtuellen Hardwareanpassungen wie mehreren NICs empfohlen.

Wenn Sie Dateien manuell kopieren, löschen Sie vor dem Kopieren alle Momentaufnahmen. Wenn Sie den virtuellen Computer exportieren, löschen Sie Momentaufnahmen vor dem Exportieren oder nach dem Importieren von dem neuen virtuellen Computer.

Warnung

Momentaufnahmen sind unterschiedliche Datenträger, die einen Domänencontroller in einen früheren Status zurücksetzen können. Wenn Sie einen Domänencontroller klonen und dann seine Momentaufnahme vor dem Klonen wiederherstellen würden, hätten Sie duplizierte Domänencontroller in der Gesamtstruktur. Frühere Momentaufnahmen auf einem neu geklonten Domänencontroller haben keinen Nutzen.

Manuelles Kopieren von Datenträgern

Methode mit dem Hyper-V-Manager

Verwenden Sie das Hyper-V-Manager-Snap-In, um zu ermitteln, welche Datenträger mit dem Quelldomänencontroller verbunden sind. Verwenden Sie Überprüfungsoption, um zu prüfen, ob der Domänencontroller unterschiedliche Datenträger verwendet (dann müssten Sie auch den übergeordneten Datenträger kopieren).

Screenshot: Verwenden der Option „Überprüfen“.

Zum Lösungen von Momentaufnahmen wählen Sie einen virtuellen Computer aus und löschen die Momentaufnahmeunterstruktur.

Screenshot, der zeigt, wie eine Momentaufnahme gelöscht wird.

Sie können dann die VHD- oder VHDX-Dateien über Windows Explorer, Xcopy.exe oder Robocopy.exe manuell kopieren. Es sind keine speziellen Schritte erforderlich. Es empfiehlt sich, die Dateinamen auch dann zu ändern, wenn sie in einen anderen Ordner verschoben werden.

Hinweis

Wenn Sie zwischen Hostcomputern in einem LAN (1-GBit oder größer) kopieren, kopiert die Option Xcopy.exe /J VHD-/VHDX-Dateien deutlich schneller als jedes andere Tool, allerdings zum Preis einer wesentlich höheren Bandbreitennutzung.

Windows PowerShell-Methode

Zum Ermitteln der Datenträger, die Windows PowerShell verwenden, benutzen Sie die Hyper-V-Module:

Get-vmidecontroller
Get-vmscsicontroller
Get-vmfibrechannelhba
Get-vmharddiskdrive

Sie können beispielsweise mit dem folgenden Beispiel alle IDE-Festplattenlaufwerke von einem virtuellen Computer mit dem Namen DC2 zurückgeben:

Screenshot, der zeigt, wie aller IDE-Festplatten eines virtuellen Computers mit dem Namen DC2 zurückgegeben werden.

Wenn der Datenträgerpfad auf eine AVHD- oder AVHDX-Datei verweist, handelt es sich um eine Momentaufnahme. Zum Löschen der mit einem Datenträger verbundenen Momentaufnahmen und Zusammenführen der realen VHD- oder VHDX-Dateien verwenden Sie die Cmdlets:

Get-VMSnapshot
Remove-VMSnapshot

So löschen Sie beispielsweise alle Momentaufnahmen von einem virtuellen Computer namens DC2-SOURCECLONE:

Screenshot des Löschens aller Momentaufnahmen von einem virtuellen Computer namens DC2-SOURCECLONE.

Verwenden Sie zum Kopieren der Dateien mithilfe von Windows PowerShell das folgende Cmdlet:

Copy-Item

Kombinieren Sie dies mit Cmdlets des virtuellen Computers in Pipelines, um die Automatisierung zu unterstützen. Pipelines sind Kanäle zur Datenübergabe zwischen mehreren Cmdlets. So können Sie beispielsweise das Laufwerk eines Offline-Quelldomänencontrollers namens DC2-SOURCECLONE auf einen neuen Datenträger namens c:\temp\copy.vhd kopieren, ohne des exakten Pfad zu seinem Systemlaufwerk kennen zu müssen:

Get-VMIdeController dc2-sourceclone | Get-VMHardDiskDrive | select-Object {copy-item -path $_.path -destination c:\temp\copy.vhd}

Screenshot, der zeigt, wie Sie das Laufwerk eines Offline-Quelldomänencontrollers namens DC2-SOURCECLONE auf einen neuen Datenträger namens c:\temp\copy.vhd kopieren, ohne des exakten Pfad zu seinem Systemlaufwerk kennen zu müssen.

Wichtig

Sie können keine Passthru-Datenträger beim Klonen verwenden, da sie keine virtuelle Datenträgerdatei, sondern eine tatsächliche Festplatte verwenden.

Hinweis

Weitere Informationen zu Windows PowerShell-Vorgängen mit Pipelines finden Sie unter Piping und die Pipeline in Windows PowerShell.

Exportieren des virtuellen Computers

Alternativ zum Kopieren der Datenträger können Sie den gesamten virtuellen Hyper-V-Computer als Kopie exportieren. Beim Exportieren wird automatisch ein für den virtuellen Computer benannter Ordner erstellt, der alle Datenträger und Konfigurationsinformationen enthält.

Screenshot, der zeigt, wohin Sie die gesamte Hyper-V-VM als Kopie exportieren können.

Methode mit dem Hyper-V-Manager

So exportieren Sie einen virtuellen Computer mit Hyper-V-Manager:

  1. Klicken Sie mit der rechten Maustaste auf den Domänencontroller, und klicken Sie auf Exportieren.

  2. Wählen Sie einen vorhandenen Ordner als Exportcontainer aus.

  3. Warten Sie, bis in der Statusspalte nicht mehr Wird exportiert angezeigt wird.

Windows PowerShell-Methode

Verwenden Sie zum Exportieren eines virtuellen Computers mit dem Hyper-V Windows PowerShell-Modul das Cmdlet:

Export-vm

So exportieren Sie beispielsweise einen virtuellen Computer namens DC2-SOURCECLONE an einen Ordner namens C:\VM:

Screenshot des Exportierens eines virtuellen Computers namens DC2-SOURCECLONE in einen Ordner namens C:\VM.

Hinweis

Windows Server 2012 Hyper-V unterstützt neue Export- und Importfunktionen, die über den Rahmen dieses Trainings hinausgehen. Weitere Informationen finden Sie auf der TechNet-Website.

Exportieren der zusammengeführten Datenträger mithilfe von Hyper-V

Die letzte Option besteht darin, die Datenträgerzusammenführungs- und Konvertierungsoptionen in Hyper-V zu verwenden. Damit können Sie eine Kopie einer vorhanden Datenträgerstruktur auf einem einzigen neue Datenträger erstellen, selbst wenn AVHD-/AVHDX-Momentaufnahmendateien enthalten sind. Wie das Szenario der manuellen Datenträgerkopie, ist die primär für einfachere virtuelle Computer geeignet, die nur ein einziges Laufwerk verwenden, beispielsweise C:\. Der einzige Vorteil ist, dass Sie hier im Gegensatz zum manuellen Kopieren nicht erst Momentaufnahmen löschen müssen. Dieser Vorgang ist natürlich langsamer als das einfache Löschen der Momentaufnahmen und das Kopieren von Datenträgern.

Methode mit dem Hyper-V-Manager

So erstellen Sie einen zusammengeführten Datenträger mit Hyper-V-Manager:

  1. Klicken Sie auf Datenträger bearbeiten.

  2. Suchen Sie nach dem niedrigsten untergeordneten Datenträger. Wenn Sie z. B. einen anderen Datenträger verwenden, ist der untergeordnete Datenträger das niedrigste untergeordnete Element. Wenn der virtuelle Computer über eine Momentaufnahme (oder mehrere) verfügt, ist die aktuell ausgewählte Momentaufnahme der niedrigste untergeordnete Datenträger.

  3. Wählen Sie die Option Zusammenführen aus, um aus der gesamten Struktur aus übergeordneten und untergeordneten Datenträgern einen einzigen Datenträger zu erstellen.

  4. Wählen Sie eine neue virtuelle Festplatte aus, und geben Sie einen Pfad an. Damit werden die vorhandenen VHD-/VHDX-Dateien ein eine einzige neue portable Einheit aufgelöst, bei der kein Risiko besteht, dass frühere Momentaufnahmen wiederhergestellt werden.

Windows PowerShell-Methode

Verwenden Sie zum Erstellen eines zusammengeführten Datenträgers aus einer komplexen Sammlung von übergeordneten Datenträgern mithilfe des Hyper-V Windows PowerShell-Moduls das Cmdlet:

Convert-vm

So exportieren Sie beispielsweise die gesamte Kette der Festplattenmomentaufnahmen eines virtuellen Computers (dieses Mal ohne differenzierende Datenträger) und den übergeordneten Datenträger an einen neuen einzelnen Datenträger namens DC4-CLONED.VHDX:

Screenshot eines Terminalfensters, das zeigt, wie die gesamte Kette der Datenträger-Momentaufnahmen einer VM und des übergeordneten Datenträgers in einen neuen einzelnen Datenträger namens DC4-CLONED.VHDX exportiert wird.

Hinzufügen der XML zum Offlinesystemdatenträger

Wenn Sie die Datei Dccloneconfig.xml auf den ausgeführten Quelldomänencontroller kopiert haben, müssen Sie jetzt die aktualisierte dccloneconfig.xml-Datei an den kopierten/exportierten Offlinesystemdatenträger kopieren. Je nachdem, welche installierten Anwendungen zuvor mit Get-ADDCCloningExcludedApplicationList erkannt wurden, müssen Sie möglicherweise auch die Datei CustomDCCloneAllowList.xml auf den Datenträger kopieren.

Die Datei DcCloneConfig.xml kann sich an den folgenden Speicherorten befinden:

  1. DSA-Arbeitsverzeichnis

  2. %windir%\NTDS

  3. Lese-/Schreib-Wechselmedien in der Reihenfolge des Laufwerkbuchstabens, im Stamm des Laufwerks

Diese Pfade sind nicht konfigurierbar. Wenn das Klonen begonnen hat, werden diese Speicherorte in dieser spezifischen Reihenfolge überprüft und die zuerst gefundene DcCloneConfig.xml-Datei wird verwendet, unabhängig von Inhalten der anderen Ordner.

Die Datei CustomDCCloneAllowList.xml kann sich an den folgenden Speicherorten befinden:

  1. HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters

    AllowListFolder (REG_SZ)

  2. DSA-Arbeitsverzeichnis

  3. %windir%\NTDS

  4. Lese-/Schreib-Wechselmedien in der Reihenfolge des Laufwerkbuchstabens, im Stamm des Laufwerks

Sie können New-ADDCCloneConfigFile mit dem Argument -offline ausführen (das auch als Offlinemodus bezeichnet wird), um die Datei DcCloneConfig.xml zu erstellen und an einem korrekten Speicherort zu platzieren. Im folgenden Beispiel ist gezeigt, wie Sie New-ADDCCloneConfigFile im Offlinemodus ausführen.

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen CloneDC1 im Offlinemodus am Standort REDMOND mit statischer IPv4-Adresse geben Sie Folgendes ein:

New-ADDCCloneConfigFile -Offline -CloneComputerName CloneDC1 -SiteName REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -Static -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen %%amp;quot;Clone2%%amp;quot; im Offlinemodus mit statischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers im Offlinemodus mit statischen IPv4- und dynamischen IPv6-Einstellungen und zum Angeben mehrerer DNS-Server für die DNS-Auflösungseinstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @( "10.0.0.1","10.0.0.2" ) -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen %%amp;quot;Clone1%%amp;quot; im Offlinemodus mit statischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile -Offline -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName "REDMOND" -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers im Offlinemodus mit dynamischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile -Offline -IPv4DNSResolver "10.0.0.1" -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS
Windows Explorer-Methode

Windows Server 2012 bietet jetzt eine grafische Option für das Bereitstellen von VHD- und VHDX-Dateien. Dafür ist die Installation des Desktopdarstellungsfeatures in Windows Server 2012 erforderlich.

  1. Klicken Sie auf die neu kopierte VHD-/VHDX-Datei, die das Systemlaufwerk des Quelldomänencontrollers oder den Speicherortordner des DSA-Arbeitsverzeichnisses enthält, und klicken Sie dann im Menü Datenträgerimagetools aufBereitstellen.

  2. Kopieren Sie im jetzt bereitgestellten Laufwerk die XML-Dateien an einen gültigen Speicherort. Möglicherweise werden Sie aufgefordert, Berechtigungen für den Ordner zu bestätigen.

  3. Klicken Sie auf das bereitgestellte Laufwerk, und klicken Sie im Menü Datenträgertools auf Auswerfen.

Screenshot, der die eingebundene Festplatte zeigt.

Screenshot, der Details der eingebundenen Festplatte zeigt.

Screenshot, der die ausgeworfene Festplatte zeigt.

Windows PowerShell-Methode

Alternativ können Sie das Offlinelaufwerk bereitstellen und die XML-Datei über die folgenden Windows PowerShell-Cmdlets kopieren:

mount-vhd
get-disk
get-partition
get-volume
Add-PartitionAccessPath
Copy-Item

Damit erhalten Sie die vollständige Kontrolle über den Prozess. Sie können beispielsweise das Laufwerk mit einem bestimmten Laufwerksbuchstaben bereitstellen, die Datei kopieren und die Bereitstellung des Laufwerks aufheben.

mount-vhd <disk path> -passthru -nodriveletter | get-disk | get -partition | get-volume | get-partition | where {$_.partition number -eq 2} | Add-PartitionAccessPath -accesspath <drive letter>

copy-item <xml file path><destination path>\dccloneconfig.xml

dismount-vhd <disk path>

Beispiel:

Screenshot, der zeigt, wie ein Laufwerk mit einem bestimmten Laufwerksbuchstaben eingebunden, die Datei kopiert und die Einbindung des Laufwerks aufgehoben werden kann.

Alternativ können Sie mit dem neuen Cmdlet Mount-DiskImage eine VHD-Datei (oder ISO-Datei) bereitstellen.

Schritt 8: Erstellen des neuen virtuellen Computers

Der letzte Konfigurationsschritt vor Beginn des Klonprozesses ist das Erstellen eines neuen virtuellen Computers, der die Datenträger aus dem kopierten Quelldomänencontroller verwendet. Je nach Ihrer Auswahl beim Kopieren der Datenträger haben Sie zwei Optionen:

  1. Zuordnen eines neuen virtuellen Computers zum kopierten Datenträger

  2. Importieren des exportierten virtuellen Computers

Zuordnen eines neuen virtuellen Computers zu kopierten Datenträgern

Wenn Sie die Systemdatenträger manuell kopiert haben, müssen Sie einen neuen virtuellen Computer unter Verwendung des kopierten Datenträgers erstellen. Der Hypervisor legt die VM-Generations-ID bei der Erstellung eines neuen virtuellen Computers automatisch fest, sodass keine Konfigurationsänderungen im virtuellen Computer oder dem Hyper-V-Host erforderlich sind.

Screenshot, der zeigt, wie Sie einen neuen virtuellen Computer mithilfe des kopierten Datenträgers erstellen.

Methode mit dem Hyper-V-Manager

  1. Erstellen Sie einen neuen virtuellen Computer.

  2. Geben Sie den Namen, den Arbeitsspeicher und das Netzwerk für den virtuellen Computer an.

  3. Geben Sie auf der Seite zum Verbinden der virtuellen Festplatte den kopierten Systemdatenträger an.

  4. Schließen Sie den Assistenten ab, um den virtuellen Computer zu erstellen.

Wenn mehrere Datenträger, Netzwerkadapter oder andere Anpassungen vorhanden waren, konfigurieren Sie diese, bevor Sie den Domänencontroller starten. Für komplexe virtuelle Computer wird die Export-Import-Methode für das Kopieren von Datenträgern empfohlen.

Windows PowerShell-Methode

Sie können das Hyper-V Windows PowerShell-Modul verwenden, um die Erstellung eines virtuellen Computers in Windows Server 2012 mit dem folgenden Cmdlet zu automatisieren:

New-VM

Hier wird beispielsweise der virtuelle Computer DC4-CLONEDFROMDC2 VM mit 1 GB RAM erstellt, der von der Datei c:\vm\dc4-systemdrive-clonedfromdc2.vhd gestartet wird und das virtuelle Netzwerk 10.0 verwendet:

Screenshot, der die Details der VM DC4-CLONEDFROMDC2 zeigt.

VM importieren

Wenn Sie Ihren virtuellen Computer zuvor exportiert haben, müssen Sie ihn jetzt als Kopie zurück importieren. Dabei wird die exportierte XML-Datei verwendet, um den Computer mit allen vorherigen Einstellungen, Laufwerken, Netzwerken und Arbeitsspeichereinstellungen erneut zu erstellen.

Wenn Sie beabsichtigen, zusätzliche Kopien von demselben exportierten virtuellen Computer zu erstellen, erstellen Sie so viele Kopien des virtuellen Computers wie erforderlich. Verwenden Sie dann den Importvorgang für jede Kopie.

Wichtig

Es ist wichtig, die Option Kopieren zu verwenden, da beim Export alle Informationen aus der Quelle beibehalten werden; Das Importieren des Servers mit Verschieben oder Am Ort beibehalten führt zu Informationskonflikten, wenn es auf demselben Hyper-V-Hostserver erfolgt.

Methode mit dem Hyper-V-Manager

So importieren Sie mit dem Hyper-V-Manager-Snap-In:

  1. Klicken Sie auf Virtuellen Computer importieren.

  2. Wählen Sie auf der Seite Ordner suchen die Definitionsdatei des exportierten virtuellen Computers über die Schaltfläche zum Durchsuchen aus.

  3. Klicken Sie auf der Seite Virtuellen Computer auswählen auf den Quellcomputer.

  4. Klicken Sie auf der Seite Importtyp auswählen auf Virtuellen Computer kopieren (neue eindeutige ID erstellen), und klicken Sie dann auf Fertig stellen.

  5. Benennen Sie den importierten virtuellen Computer um, wenn Sie auf demselben Hyper-V-Host importieren, da er denselben Namen hat wie der exportierte Quelldomänencontroller.

Screenshot, der zeigt, wo der Ordner zu finden ist, in dem die VM installiert ist.

Screenshot, der zeigt, wie Sie die zu importierende VM auswählen können.

Screenshot, der zeigt, wie Sie die Art des Imports auswählen.

Denken Sie daran, alle importierten Momentaufnahme über das Hyper-V-Verwaltungs-Snap-In zu entfernen:

Screenshot, der zeigt, wie Sie Momentaufnahmen entfernen können.

Warnung

Das Löschen aller importierten Momentaufnahmen ist äußerst wichtig, da sie bei Anwendung den geklonten Domänencontroller in den Status eines früheren, möglicherweise Livedomänencontrollers zurücksetzen würden, was zu Replikationsfehlern, doppelten IP-Informationen und anderen Unterbrechungen führen würde.

Windows PowerShell-Methode

Sie können das Hyper-V Windows PowerShell-Modul verwenden, um das Importieren eines virtuellen Computers in Windows Server 2012 mit den folgenden Cmdlets zu automatisieren:

Import-VM
Rename-VM

Hier wird beispielsweise der exportierte virtuelle Computer VM DC2-CLONED mit seiner automatisch ermittelten XML-Datei importiert und dann unmittelbar in seinen neuen virtuellen Computernamen DC5-CLONEDFROMDC2 umbenannt:

Screenshot eines Terminalfensters, in dem die umbenannte Datei zu sehen ist.

Denken Sie daran, alle importierten Momentaufnahme über die folgenden Cmdlets zu entfernen:

Get-VMSnapshot
Remove-VMSnapshot

Beispiel:

Screenshot eines Terminalfensters, das zeigt, wie Sie importierte Momentaufnahmen entfernen können.

Warnung

Stellen Sie sicher, dass dem Quelldomänencontroller beim Importieren des Computers keine statischen MAC-Adressen zugewiesen wurden. Wenn ein Quellcomputer mit einer statischen MAC-Adresse geklont wird, können diese kopierten Computer Netzwerkdatenverkehr nicht ordnungsgemäß senden oder empfangen. Legen Sie in diesem Fall eine neue eindeutige statische oder dynamische MAC-Adresse fest. Sie können mit dem folgenden Befehl anzeigen, ob ein virtueller Computer eine statische MAC-Adresse verwendet:

Get-VM -VMNametest-vm | Get-VMNetworkAdapter | fl \*

Schritt 9: Klonen des neuen virtuellen Computers

Starten Sie optional vor Beginn des Klonprozesses den geklonten Offline-Quelldomänencontroller neu. Stellen Sie sicher, dass der PDC-Emulator unabhängig davon online ist.

Zum Beginnen des Klonprozess starten Sie einfach den neuen virtuellen Computer. Der Prozess wird automatisch initiiert, und der Domänencontroller wird nach Abschluss des Klonens automatisch neu gestartet.

Wichtig

Sie sollten Domänencontroller nicht für einen längeren Zeitraum ausgeschaltet lassen, und wenn der Klon demselben Standort hinzugefügt wird wie der Quelldomänencontroller, dauert der Aufbau der anfänglichen internen und standortübergreifenden Replikationstopologie möglicherweise länger, wenn der Quelldomänencontroller offline ist.

Wenn Sie Windows PowerShell zum Starten eines virtuellen Computers verwenden, wird das folgende Cmdlet verwendet:

Start-VM

Beispiel:

Bereitstellung eines virtualisierten Domänencontrollers

Wenn der Computer nach dem Klonen neu gestartet wird, ist er ein Domänencontroller, und Sie können sich normal anmelden, um den ordnungsgemäßen Betrieb zu bestätigen. Falls Fehler auftreten, ist der Server dafür eingerichtet, im Verzeichnisdienst-Wiederherstellungsmodus zu starten, um die Fehler zu untersuchen.

Virtualisierungssicherheitsmaßnahmen

Im Gegensatz zum Klonen virtualisierter Domänencontroller haben die Windows Server 2012-Virtualisierungssicherheitsmaßnahmen keine Konfigurationsschritte. Das Feature funktioniert ohne Eingriffe, solange Sie einige einfache Bedingungen einhalten:

  • Der Hypervisor unterstützt die VM-Generations-ID.

  • Es gibt einen gültigen Partnerdomänencontroller, von dem ein wiederhergestellter Domänencontroller nicht autoritativ Änderungen replizieren kann.

Überprüfen des Hypervisors

Stellen Sie sicher, dass der Quelldomänencontroller auf einem unterstützten Hypervisor ausgeführt wird, indem Sie die Dokumentation des Anbieters durchsehen. Virtualisierte Domänencontroller sind hypervisorunabhängig, was bedeutet, dass Hyper-V nicht erforderlich ist.

Sehen Sie sich den vorherigen Abschnitt Platform Requirements mit Informationen zur Unterstützung für bekannte VM-Generations-ID noch einmal an.

Wenn Sie VMs von einem Quell-Hypervisor zu einem anderen Ziel-Hypervisor migrieren, können Virtualisierungsschutzmechanismen ausgelöst werden, je nachdem, ob die Hypervisoren VM-Generation-ID unterstützen, wie in der folgenden Tabelle erläutert.

Quellhypervisor Zielhypervisor Ergebnis
Unterstützung für VM-Generations-ID Keine Unterstützung für VM-Generations-ID Keine Auslösung von Sicherheitsmaßnahmen (wenn eine DCCloneConfigFile.xml-Datei vorhanden ist, wird der Domänencontroller im DSRM gestartet)
Keine Unterstützung für VM-Generations-ID Unterstützung für VM-Generations-ID Auslösung von Sicherheitsmaßnahmen
Unterstützung für VM-Generations-ID Unterstützung für VM-Generations-ID Keine Auslösung von Sicherheitsmaßnahmen, da sich die Definition des virtuellen Computer nicht geändert hat, was bedeutet, dass die VM-Generations-ID dieselbe bleibt

Überprüfen der Replikationstopologie

Virtualisierungssicherheitsmaßnahmen initiieren eine nicht autoritative eingehende Replikation für das Delta der Active Directory-Replikation sowie eine nicht autoritative erneute Synchronisierung aller SYSVOL-Inhalte. Damit wird sichergestellt, dass der Domänencontroller mit voller Funktionalität aus einer Momentaufnahme zurückkehrt und letztendlich konsistent mit der restlichen Umgebung ist.

Diese neue Funktion zieht einige Anforderungen und Einschränkungen nach sich:

  • Ein wiederhergestellter Domänencontroller muss einen beschreibbaren Domänencontroller kontaktieren können.

  • Es dürfen nicht alle Domänencontroller in einer Domäne wiederhergestellt werden.

  • Alle Änderungen, die von einem wiederhergestellten Domänencontroller stammen und seit Erstellung der Momentaufnahme noch nicht ausgehend repliziert wurden, sind für immer verloren.

Während der Abschnitt "Problembehandlung" diese Szenarien behandelt, stellen Sie sicher, dass Sie keine Topologie erstellen, die Probleme verursachen könnte.

Verfügbarkeit eines beschreibbaren Domänencontrollers

Bei einer Wiederherstellung muss ein Domänencontroller eine Verbindung zu einem beschreibbaren Domänencontroller haben, da ein schreibgeschützter Domänencontroller das Delta der Aktualisierungen nicht senden kann. Die Topologie ist wahrscheinlich bereits korrekt dafür eingerichtet, da ein beschreibbaren Domänencontroller immer einen beschreibbaren Partner benötigt. Wenn jedoch alle beschreibbaren Domänencontroller gleichzeitig wiederhergestellt werden, findet keiner eine gültige Quelle. Gleiches gilt, wenn die beschreibbaren Domänencontroller für Wartungszwecke offline oder aus anderen Gründen nicht über das Netzwerk erreichbar sind.

Gleichzeitige Wiederherstellung

Stellen Sie niemals alle Domänencontroller in einer einzigen Domäne gleichzeitig wieder her. Wenn alle Momentaufnahmen gleichzeitig wiederhergestellt werden, funktioniert zwar die Active Directory-Replikation normal, aber die SYSVOL-Replikation hält an. Die Wiederherstellungsarchitektur von FRS und DFSR verlangt, dass die Replikatinstanz in einen nicht autoritativen Synchronisierungsmodus gesetzt wird. Wenn alle Domänencontroller auf einmal wiederhergestellt werden, und sich jeder Domänencontroller für SYSVOL als nicht autoritativ kennzeichnet, versuchen alle, Gruppenrichtlinien und Skripts von einem autoritativen Partner zu synchronisieren, aber an diesem Punkt sind auch alle Partner nicht autoritativ.

Wichtig

Wenn alle Domänencontroller auf einmal wiederhergestellt werden, verwenden Sie die Informationen in den folgenden Artikeln, um einen Domänencontroller, normalerweise den PDC-Emulator als autoritativ festzulegen, damit die anderen Domänencontroller zu einem normalen Betrieb zurückkehren können:

Verwenden des BurFlags-Registrierungsschlüssels zum erneuten Initialisieren des Replikatsatzes des Dateireplikationsdienstes

Erzwingen einer autoritativen und nicht autoritativen Synchronisierung für DFSR-repliziertes SYSVOL (wie „D4/D2“ für FRS)

Warning

Führen Sie nicht alle Domänencontroller in einer Gesamtstruktur oder Domäne auf demselben Hypervisorhost aus. Dadurch wird ein einzelner Fehlerpunkt eingeführt, der AD DS-, Exchange-, SQL- und andere Unternehmensvorgänge bei jedem Offlinemodus des Hypervisors schwächt. Das ist nicht anders als die Verwendung von nur einem Domänencontroller für eine gesamte Domäne oder Gesamtstruktur. Mehrere Domänencontroller auf mehreren Plattformen tragen zu Redundanz und Fehlertoleranz bei.

Replikation nach der Momentaufnahme

Stellen Sie Momentaufnahmen erst wieder her, wenn alle lokal ursprünglichen Änderungen, die seit der Erstellung von Momentaufnahmen vorgenommen wurden, ausgehend repliziert wurden. Alle ursprünglichen Änderungen sind unwiderruflich verloren, wenn andere Domänencontroller sie noch nicht über eine Replikation erhalten haben.

Verwenden Sie Repadmin.exe, um alle nicht replizierten ausgehenden Änderungen zwischen einem Domänencontroller und seinen Partnern anzuzeigen:

  1. Geben Sie mit dem folgenden Befehl die Namen der Domänencontrollerpartner und die DSA-Objekt-GUIDs zurück:

    Repadmin.exe /showrepl <DC Name of the partner> /repsto

  2. Geben Sie die ausstehende eingehende Replikation des Partnerdomänencontrollers an den wiederherzustellenden Domänencontroller zurück:

    Repadmin.exe /showchanges < Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare>

Alternativ können Sie nur die Anzahl der nicht replizierten Änderungen anzeigen:

Repadmin.exe /showchanges <Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare> /statistics

Beispiel : (mit Ausgabe geändert zur Lesbarkeit und wichtigen Einträgen kursiv), hier sehen Sie sich die Replikationspartnerschaften von DC4 an:

C:\>repadmin.exe /showrepl dc4.corp.contoso.com /repsto

Default-First-Site-Name\DC4
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 5d083398-4bd3-48a4-a80d-fb2ebafb984f
DSA invocationID: 730fafec-b6d4-4911-88f2-5b64e48fc2f1

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

DC=corp,DC=contoso,DC=com
    Default-First-Site-Name\DC3 via RPC
        DSA object GUID: f62978a8-fcf7-40b5-ac00-40aa9c4f5ad3
        Last attempt @ 2011-11-11 15:04:12 was successful.
    Default-First-Site-Name\DC2 via RPC
        DSA object GUID: 3019137e-d223-4b62-baaa-e241a0c46a11
        Last attempt @ 2011-11-11 15:04:15 was successful.

Sie wissen jetzt, dass dieser mit DC2 und DC3 repliziert. Sie zeigen dann die Liste der Änderungen an, für die DC2 angibt, dass er sie immer noch nicht von DC4 erhalten hat, und sehen, dass eine neue Gruppe vorhanden ist:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com

==== SOURCE DSA: (null) ====
Objects returned: 1
(0) add CN=newgroup4,CN=Users,DC=corp,DC=contoso,DC=com
    1> parentGUID: 55fc995a-04f4-4774-b076-d6a48ac1af99
    1> objectGUID: 96b848a2-df1d-433c-a645-956cfbf44086
    2> objectClass: top; group
    1> instanceType: 0x4 = ( WRITE )
    1> whenCreated: 11/11/2011 3:03:57 PM Eastern Standard Time

Sie würden auch den anderen Partner testen, um sicherzustellen, dass dieser noch nicht bereits repliziert hat.

Falls Sie nicht wissen möchten, welche Objekte nicht repliziert wurden, und nur wissen wollen, ob Objekte ausstehen, können Sie alternativ die Option /statistics verwenden:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com /statistics

***********************************************
********* Grand total *************************
Packets:              1
Objects:              1Object Additions:     1Object Modifications: 0Object Deletions:     0Object Moves:         0Attributes:           12Values:               13

Wichtig

Testen Sie alle beschreibbaren Partner, falls Sie Fehler oder eine ausstehende Replikation sehen. Solange mindestens eine konvergiert ist, ist es im Allgemeinen sicher, die Momentaufnahme wiederherzustellen, da die transitive Replikation schließlich die anderen Server in Einklang bringt.

Achten Sie darauf, alle Fehler in der Replikation zu notieren, die von /showchanges angezeigt werden, und fahren Sie erst fort, wenn sie behoben sind.

Windows PowerShell-Momentaufnahmen-Cmdlets

Die folgenden Cmdlets des Windows PowerShell Hyper-V-Moduls stellen Momentaufnahmefunktionen in Windows Server 2012 bereit:

Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot