(0) exportieren Drucken
Alle erweitern

Einführung in die Virtualisierung der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) (Ebene 100)

Veröffentlicht: März 2013

Letzte Aktualisierung: Januar 2013

Betrifft: Windows Server 2012

An der Virtualisierung von AD DS (Active Directory Domain Services)-Umgebungen wird schon seit einigen Jahren gearbeitet. Ab Windows Server® 2012 bietet AD DS mehr Unterstützung für das Virtualisieren von Domänencontrollern, indem virtualisierungssichere Funktionen eingeführt und die schnelle Bereitstellung von virtuellen Domänencontrollern durch Klonen ermöglicht wurde. Diese neuen Virtualisierungsfeatures bieten mehr Unterstützung für öffentliche und private Clouds, Hybridumgebungen, in denen sich AD DS teils lokal, teils in der Cloud befindet, und AD DS-Infrastrukturen, die vollständig lokal gespeichert werden.

Inhalt dieses Dokuments

Virtuelle Umgebungen bedeuten individuelle Herausforderungen für verteilte Arbeitslasten, die von einem logischen taktbasierten Replikationsschema abhängen. Die AD DS-Replikation verwendet beispielsweise einen monoton steigenden Wert (als "USN" oder "Updatesequenznummer"), der Transaktionen auf jedem Domänencontroller zugewiesen ist. Jeder Datenbankinstanz eines Domänencontrollers wird auch eine Identität zugewiesen, die als "Aufrufkennung" bezeichnet wird. Die Aufrufkennung eines Domänencontrollers dient in Verbindung mit der USN als eindeutiger Bezeichner, der jeder Schreibtransaktion auf jedem Domänencontroller zugeordnet ist, und innerhalb der Gesamtstruktur eindeutig sein muss.

Die AD DS-Replikation verwendet Aufrufkennungen und USNs auf jedem Domänencontroller, um zu bestimmen, welche Änderungen auf anderen Domänencontrollern repliziert werden müssen. Wenn für einen Domänencontroller ein Rollback außerhalb seines Wirkungsbereichs ausgeführt wird und eine USN für eine vollkommen andere Transaktion wiederverwendet wird, wird die Replikation nicht zusammengeführt, da andere Domänencontroller davon ausgehen, dass sie die der wiederverwendeten USN zugeordneten Aktualisierungen im Kontext der Aufrufkennung bereits erhalten haben.

Die folgende Abbildung veranschaulicht z. B. die Abfolge von Ereignissen in Windows Server 2008 R2 und älteren Betriebssystemen, wenn ein USN-Rollback auf VDC2, dem auf einem virtuellen Computer ausgeführten Zieldomänencontroller, erkannt wird. In dieser Abbildung wird das USN-Rollback auf VDC2 erkannt, wenn ein Replikationspartner feststellt, dass VDC2 einen Aktualitäts-USN-Wert gesendet hat, der zuvor vom Replikationspartner gesehen wurde. Dies ist ein Hinweis darauf, dass für die Datenbank von VDC2 ein unzulässiges Rollback ausgeführt wurde.

So kann die Replikation inkonsistent werden

Mit einem virtuellen Computer können Hypervisoradministratoren einfach ein Rollback für die USNs (die logische Uhr) eines Domänencontrollers durchführen, indem z. B. ein Snapshot außerhalb des Wirkungsbereichs des Domänencontrollers angewendet wird. Weitere Informationen zur USN und zum USN-Rollback, einschließlich weiterer Abbildungen zur Veranschaulichung unerkannter Instanzen eines USN-Rollbacks, finden Sie unter USN und USN-Rollback.

Ab Windows Server 2012 können virtuelle AD DS-Domänencontroller, die auf Hypervisorplattformen gehostet sind, die den Bezeichner VM-Generations-ID verfügbar machen, die Sicherheitsmaßnahmen ermitteln und bereitstellen, die zum Schützen der AD DS-Umgebung erforderlich sind, wenn für den virtuellen Computer ein Rollback mittels Anwendung eines VM-Momentaufnahmes. Der VM-Generations-ID-Entwurf verwendet einen unabhängigen Mechanismus des Hypervisoranbieters, um diesen Bezeichner im Adressbereich des virtuellen Gastcomputers bereitzustellen, damit die sichere Virtualisierung ständig von jedem Hypervisor verfügbar ist, der VM-Generations-ID unterstützt. Dieser Bezeichner kann von Diensten und Anwendungen verwendet werden, die innerhalb des virtuellen Computers ausgeführt werden, um zu ermitteln, ob für einen virtuellen Computer ein Rollback durchgeführt wurde.

Während der Installation des Controllers speichert AD DS den Bezeichner VM-Generations-ID zunächst als Teil des msDS-GenerationID-Attributs in der Datenbank des Computerobjekts auf dem Domänencontroller (häufig als "Verzeichnisinformationsstruktur" oder "DIT" (Directory Information Tree) bezeichnet). Die VM-Generations-ID wird von einem Windows-Treiber innerhalb des virtuellen Computers unabhängig nachverfolgt.

Wenn ein Administrator den virtuellen Computer aus einem früheren Momentaufnahme wiederherstellt, wird der aktuelle Wert der VM-Generations-ID aus dem Treiber des virtuellen Computers mit einem Wert in der DIT verglichen.

Unterscheiden sich die beiden Werte, wird die Aufrufkennung zurückgesetzt und der RID-Pool verworfen, um das erneute Verwenden der USN zu verhindern. Sind die Werte identisch, wird die Transaktion normal ausgeführt.

AD DS vergleicht auch bei jedem Neustart des Domänencontrollers den aktuellen Wert der VM-Generations-ID des virtuellen Computers mit dem Wert in der DIT. Unterscheiden sich die Werte, wird die Aufrufkennung zurückgesetzt, der RID-Pool verworfen und die DIT mit dem neuen Wert aktualisiert. Außerdem wird der Ordner "SYSVOL" nicht autorisierend synchronisiert, um die sichere Wiederherstellung abzuschließen. Dadurch können Schutzvorrichtungen die Anwendung von Momentaufnahmes auf heruntergefahrenen virtuellen Computern erweitern. Diese in Windows Server 2012 eingeführten Schutzvorrichtungen ermöglichen AD DS-Administratoren das Nutzen der individuellen Vorteile der Bereitstellung und Verwaltung von Domänencontrollern in einer virtualisierten Umgebung.

Die folgende Abbildung zeigt, wie Virtualisierungsschutzvorrichtungen angewendet werden, wenn dasselbe USN-Rollback auf einem virtualisierten Domänencontroller erkannt wird, der Windows Server 2012 auf einem Hypervisor ausführt, der die VM-Generations-ID unterstützt.

Beispiel für die Funktionsweise der Virtualisierungsschutzvorrichtungen

In diesem Fall werden Virtualisierungsschutzvorrichtungen ausgelöst, wenn der Hypervisor eine Änderung am Wert der VM-Generations-ID erkennt. Dabei wird auch die Aufrufkennung des virtualisierten Domänencontrollers (im vorhergehenden Beispiel von A zu B) zurückgesetzt und der auf dem virtuellen Computer gespeicherte Wert der VM-Generations-ID so aktualisiert, dass er mit dem neuen vom Hypervisor gespeicherten Wert (G2) übereinstimmt. Mit den Schutzvorrichtungen wird sichergestellt, dass die Replikation für beide Domänencontroller zusammengeführt wird.

In Windows Server 2012 verwendet AD DS Schutzvorrichtungen auf virtuellen Domänencontrollern, die auf VM-Generations-ID-fähigen Hypervisoren gehostet sind und stellt sicher, dass die versehentliche Anwendung von Momentaufnahmes oder ähnlicher Hypervisor-fähigen Mechanismen, die ein Rollback für den Status eines virtuellen Computers durchführen könnten, die AD DS-Umgebung nicht beeinträchtigt (durch Verhindern von Replikationsproblemen wie z. B. einer USN-Blase oder veralteten Objekten). Das Wiederherstellen eines Domänencontrollers mittels Anwendung eines Momentaufnahmes eines virtuellen Computers wird jedoch nicht als Alternativmechanismus zum Sichern eines Domänencontrollers empfohlen. Es wird empfohlen, weiterhin die Windows Server-Sicherung oder andere VSS Writer-basierte Sicherungslösungen zu verwenden.

CautionVorsicht
Wenn ein Domänencontroller in einer Produktionsumgebung versehentlich auf einen Momentaufnahme zurückgesetzt wird, wird empfohlen, sich an die Anbieter der Anwendungen und der auf diesem virtuellen Computer gehosteten Dienste zu wenden, um Anweisungen zum Überprüfen der Status dieser Programme nach der Momentaufnahmewiederherstellung zu erhalten.

Weitere Informationen finden Sie unter Sichere Wiederherstellungsarchitektur für virtualisierte Domänencontroller.

Ab Windows Server 2012 können Administratoren durch Kopieren eines vorhandenen virtuellen Domänencontrollers einfach und sicher Replikatsdomänencontroller bereitstellen. In einer virtuellen Umgebung müssen Administratoren nicht mehr jedesmal ein mit "sysprep.exe" vorbereitetes Serverabbild bereitstellen, den Server zu einem Domänencontroller heraufstufen und zusätzliche Konfigurationsanforderungen erfüllen, um einen Replikatsdomänencontroller bereitzustellen.

noteHinweis
Administratoren müssen vorhandenen Prozessen folgen, um den ersten Domänencontroller in einer Domäne bereitzustellen, z. B. Vorbereiten einer virtuellen Serverfestplatte mithilfe von "sysprep.exe", Heraufstufen des Servers zu einem Domänencontroller und Erfüllen zusätzlicher Konfigurationsanforderungen. In einem Notfallwiederherstellungs-Szenario verwenden Sie die aktuelle Serversicherung zum Wiederherstellen des ersten Domänencontrollers in einer Domäne.

  • Schnelle Bereitstellung zusätzlicher Domänencontroller in einer neuen Domäne

  • Schnelle Wiederherstellung der Geschäftskontinuität bei einer Notfallwiederherstellung durch Wiederherstellung der AD DS-Kapazität mittels schneller Bereitstellung von Domänencontrollern durch Klonen

  • Optimieren privater Cloudbereitstellungen mittels flexibler Bereitstellung von Domänencontrollern, um höhere Skalierungsanforderungen zu erfüllen

  • Schnelle Bereitstellung von Testumgebungen, um das Bereitstellen und Testen neuer Features und Funktionen vor dem Produktionsrollout zu ermöglichen

  • Schnelles Erfüllen höherer Kapazitätsanforderungen in Zweigstellen durch Klonen vorhandener Domänencontroller in Zweigstellen

Folgen Sie beim schnellen Bereitstellen einer großen Anzahl von Domänencontrollern weiterhin Ihren vorhandenen Verfahren zum Überprüfen der Integrität jedes Domänencontrollers nach Abschluss der Installation. Stellen Sie Domänencontroller in Batches angemessener Größe bereit, damit Sie deren Integrität nach jeder abgeschlossenen Installation eines Batches überprüfen können. Die empfohlene Batchgröße ist 10. Weitere Informationen finden Sie unter Schritte zum Bereitstellen eines geklonten virtualisierten Domänencontrollers.

Die Autorisierung zum Klonen virtualisierter Domänencontroller wird vom AD DS-Administrator gesteuert. Damit Hypervisoradministratoren zusätzliche Domänencontroller durch Kopieren virtueller Domänencontroller bereitstellen können, muss der AD DS-Administrator einen Domänencontroller auswählen, autorisieren und anschließend vorbereitende Schritte für die Aktivierung des Controllers als Quelle zum Klonen ausführen.

Da der virtuelle Computer in der Regel im Geltungsbereich des Hypervisoradministrators bereitgestellt wird, können Hypervisoradministratoren virtuelle Replikatsdomänencontroller bereitstellen, indem virtualisierte Domänencontroller kopiert werden, die zum Klonen durch den AD DS-Administrator autorisiert und vorbereitet sind.

WarningWarnung
Jeder, der als Administrator des Hypervisors zugelassen ist, der einen virtuellen Domänencontroller hostet, muss in der Umgebung sehr vertrauenswürdig sein und überwacht werden.

Der Klonprozess beinhaltet das Erstellen einer Kopie der virtuellen Festplatte eines vorhandenen virtuellen Domänencontrollers (oder für komplexere Konfigurationen, des virtuellen Computers des Domänencontrollers) und das Autorisieren der Festplatte für das Klonen in AD DS sowie das Erstellen einer Konfigurationsdatei für das Klonen. Dadurch werden die Anzahl der Schritte und die benötigte Zeit für das Bereitstellen eines virtuellen Replikatsdomänencontrollers reduziert, indem ansonsten wiederholt auszuführende Bereitstellungsaufgaben eliminiert werden.

Der geklonte Domänencontroller stellt anhand folgender Kriterien fest, dass er eine Kopie eines anderen Domänencontrollers ist:

  1. Der vom virtuellen Computer bereitgestellte Wert der VM-Generations-ID unterscheidet sich vom Wert der in der DIT gespeicherten VM-Generations-ID.

    noteHinweis
    Die Hypervisorplattform muss die VM-Generations-ID unterstützen (Windows Server 2012-Hyper-V unterstützt die VM-Generations-ID).

  2. Die Datei "DCCloneConfig.xml" muss an einem der folgenden Speicherorte vorhanden sein:

    • Das Verzeichnis, in dem sich die DIT befindet

    • %windir%\NTDS

    • Der Stamm eines Wechselmedienlaufwerks

Sobald die Kriterien erfüllt sind, durchläuft der Domänencontroller den Klonprozess, um sich selbst als Replikatsdomänencontroller bereitzustellen.

Der geklonte Domänencontroller verwendet den Sicherheitskontext des Quelldomänencontrollers (der Domänencontroller, dessen Kopie er darstellt), um den Halter der Masterrolle für den Emulator des primären Windows Server 2012-Domänencontrollers (PDC) (auch als Flexible Single Master Operations bzw. FSMO bezeichnet) zu kontaktieren. Auf dem PDC-Emulator muss Windows Server 2012 ausgeführt werden, es muss jedoch nicht auf einem Hypervisor ausgeführt werden.

noteHinweis
Wenn Sie eine Schemaerweiterung mit Attributen haben, die auf den Quelldomänencontroller verweisen, und das Attribut sich auf einem der kopierten Objekte (Computerobjekt, NTDS-Einstellungsobjekt) befindet, um den Klon zu erstellen, wird dieses Attribut nicht kopiert oder so aktualisiert, dass es auf den geklonten Domänencontroller verweist.

Nach dem Überprüfen, ob der anfordernde Domänencontroller für das Klonen autorisiert ist, erstellt der PDC-Emulator eine neue Computeridentität mit neuem Konto sowie SID, Namen und Kennwort, die den Computer als Replikatsdomänencontroller identifizieren, und sendet diese Informationen an den Klon zurück. Der geklonte Domänencontroller bereitet dann die AD DS-Datenbankdateien vor, die als Replikat dienen sollen, und bereinigt auch den Status des Computers.

Weitere Informationen finden Sie unter Sichere Klonarchitektur für virtualisierte Domänencontroller.

Die Klonkomponenten umfassen neue Cmdlets im Active Directory-Modul für Windows PowerShell und dazugehörige XML-Dateien:

  • New-ADDCCloneConfigFile – mit diesem Cmdlet wird die Datei "DCCloneConfig.xml" und am richtigen Speicherort abgelegt, damit sie zum Auslösen des Klonens verfügbar ist. Zudem werden Voraussetzungsprüfungen durchgeführt, um ein erfolgreiches Klonen sicherzustellen. Das Cmdlet ist im Active Directory-Modul für Windows PowerShell enthalten. Sie können es lokal auf einem virtualisierten Domänencontroller ausführen, der zum Klonen vorbereitet ist, oder Sie können es mithilfe der Option "-offline" remote ausführen. Sie können Einstellungen für die den geklonten Domänencontroller festlegen, z. B. Name, Website und IP-Adresse.

    Folgende Voraussetzungsprüfungen werden durchgeführt:

    noteHinweis
    Bei Verwendung der Option "–offline" werden keine Voraussetzungsprüfungen durchgeführt. Weitere Informationen finden Sie unter Ausführen von "New-ADDCCloneConfigFile" im Offlinemodus.

    • Der vorbereitete DC ist für das Klonen autorisiert (er ist Mitglied der Gruppe Klonbare Domänencontroller)

    • Auf dem PDC-Emulator wird Windows Server 2012 ausgeführt.

    • Alle Programme oder Dienste, die nach dem Ausführen von Get-ADDCCloningExcludedApplicationList aufgelistet wurden, sind in der Liste "CustomDCCloneAllowList.xml" enthalten (und werden am Ende dieser Liste mit Klonkomponenten ausführlicher erklärt).

  • DCCloneConfig.xml – für das erfolgreiche Klonen eines virtualisierten Domänencontrollers muss diese Datei im Verzeichnis vorhanden sein, in dem sich die DIT befindet, %windir%\NTDS, oder im Stammverzeichnis eines Wechselmedienlaufwerks. Sie wird als ein Auslöser zum Ermitteln und Initiieren eines Klonvorgangs verwendet und bietet auch eine Methode zum Festlegen der Konfigurationseinstellungen für den geklonten Domänencontroller.

    Das Schema und eine Beispieldatei für die Datei "DCCloneConfig.xml" werden folgendermaßen auf allen Windows Server 2012-Computern gespeichert:

    • %windir%\system32\DCCloneConfigSchema.xsd

    • %windir%\system32\SampleDCCloneConfig.xml

    Es wird empfohlen, das Cmdlet "New-ADDCCloneConfigFile" zum Erstellen das Datei "DCCloneConfig.xml" zu verwenden. Das Verwenden der Schemadatei mit einem XML-fähigen Editor zum Erstellen dieser Datei ist zwar möglich, das manuelle Bearbeiten der Datei erhöht jedoch die Fehlerwahrscheinlichkeit. Wenn Sie die Datei bearbeiten, müssen Sie dazu einen XML-fähigen Editor wie z. B. Visual Studio, XML-Notepad oder Anwendungen von Drittanbietern verwenden (verwenden Sie nicht Editor).

  • Get-ADDCCloningExcludedApplicationList – dieses Cmdlet wird vor Beginn des Klonprozesses auf dem Quelldomänencontroller ausgeführt, um zu ermitteln, welche Dienste oder installierten Programme nicht auf der unterstützten Standardliste "DefaultDCCloneAllowList.xml" oder einer benutzerdefinierten Aufnahmeliste mit dem Namen "CustomDCCloneAllowList.xml" enthalten sind und daher im Zusammenhang mit den Auswirkungen des Klonens ausgewertet wurden.

    Dieses Cmdlet durchsucht den Quelldomänencontroller nach Diensten im Dienststeuerungs-Manager und unter HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall aufgeführten installierten Programmen, die nicht in der Standardliste ("DefaultDCCloneAllowList.xml") oder ggf. in der benutzerdefinierten Aufnahmeliste ("CustomDCCloneAllowList.xml") enthalten sind. Die Liste der Anwendungen und Dienste, die durch das Ausführen des Cmdlets zurückgegeben wird, zeigt den Unterschied zwischen dem, was bereits in der Datei "DefaultDCCloneAllowList.xml" oder "CustomDCCloneAllowList.xml" bereitgestellt wurde, und der Liste, die zur Laufzeit erstellt wurde, basierend auf den Installationen auf dem Quelldomänencontroller. Die Dienst- und Programmausgabe von "Get-ADDCCloningExcludedApplicationList" kann der Datei "CustomDCCloneAllowList.xml" hinzugefügt werden, wenn Sie feststellen, dass die Dienste oder Programme sicher geklont werden können. Werten Sie die folgenden Bedingungen aus, um zu ermitteln. ob ein Dienst oder ein installiertes Programm sicher geklont werden kann:

    • Hat die Computeridentität (z. B. Name, SID, Kennwort) Auswirkungen auf den Dienst oder das installierte Programm?

    • Speichert der Dienst oder das installierte Programm auf dem Computer lokal einen Status, der u. U. Auswirkungen auf dessen Funktionalität auf dem Klon hat?

    Sie müssen gemeinsam mit dem Softwareanbieter der Anwendung bestimmen, ob der Dienst oder das Programm sicher geklont werden kann.

    noteHinweis
    Überprüfen Sie vor dem Bereitstellen zusätzlicher Dienste oder Programme in der Datei "CustomDCCloneAllowList.xml", ob Sie über die erforderliche Lizenz zum Kopieren der Software auf diesem virtuellen Computer verfügen.

    Sind die Anwendungen nicht klonbar, entfernen Sie sie vom Quelldomänencontroller, bevor Sie das Klonmedium erstellen. Ist eine Anwendung in der Cmdlet-Ausgabe enthalten, in der Datei "CustomDCCloneAllowList.xml" jedoch nicht, schlägt das Klonen fehl. Für ein erfolgreiches Klonen sollte die Cmdlet-Ausgabe keine Dienste oder Programme enthalten. Eine Anwendung sollte also entweder in der Liste "CustomDCCloneAllowList.xml" enthalten sein oder vom Quelldomänencontroller entfernt werden.

    In der folgenden Tabelle werden die Optionen zum Ausführen von "Get-ADDCCloningExcludedApplicationList" erklärt.

     

    Argument

    Erläuterung

    <kein Argument angegeben>

    Zeigt eine Liste mit Diensten oder Programmen auf der Konsole an, die beim Klonen nicht berücksichtigt wurden. Wenn die Datei "CustomDCCloneAllowList.XML" bereits an einem der zulässigen Speicherorte vorhanden ist, verwendet sie diese Datei, um die verbleibenden Dienste und Programme anzuzeigen (u. U. keine, wenn die Listen übereinstimmen).

    -GenerateXml

    Erstellt die Datei "CustomDCCloneAllowList.XML" mit den in der Konsole aufgeführten Diensten und Programmen.

    -Force

    Überschreibt eine vorhandene "CustomDCCloneAllowList.XML"-Datei.

    -Path

    Ordnerpfad zum Erstellen von "CustomDCCloneAllowList.XML".

  • DefaultDCCloneAllowList.xml – diese Datei ist standardmäßig auf jedem Windows Server 2012-Domänencontroller in %windir%\system32 vorhanden. Darin sind die Dienste und Programme aufgeführt, die standardmäßig sicher geklont werden können. Ändern Sie nicht den Speicherort oder den Inhalt dieser Datei, andernfalls schlägt das Klonen fehl.

  • CustomDCCloneAllowList.xml – wenn sich auf Ihrem Quelldomänencontroller zusätzlich zu den in der Datei "DefaultDCCloneAllowList.xml" aufgeführten noch weitere Dienste oder installierte Programme befinden, müssen diese Dienste und Programme ebenfalls in diese Datei aufgenommen werden. Führen Sie das Cmdlet Get-ADDCCloningExcludedApplicationList aus, um Dienste oder installierte Programme ausfindig zu machen, die nicht in der Datei "DefaultDCCloneAllowList.xml" aufgeführt sind. Sie sollten das Argument –GenerateXml verwenden, um die XML-Datei zu erstellen.

    Der Klonprozess überprüft der Reihe nach folgende Speicherorte auf diese Datei und verwendet unabhängig vom Inhalt des Ordners die erste gefundene XML-Datei:

    1. Der folgende Registrierungsschlüssel:

      HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters
      AllowListFolder (REG_SZ)
      
    2. DSA-Arbeitsverzeichnis

    3. %systemroot%\NTDS

    4. Lese-/Schreib-Wechselmedien in der Reihenfolge des Laufwerkbuchstabens, im Stamm des Laufwerks

Folgende Bereitstellungsszenarien werden für das Klonen eines virtuellen Domänencontrollers unterstützt:

  • Bereitstellen eines geklonten Domänencontrollers durch Erstellen einer Kopie der virtuellen Festplattendatei eines Quelldomänencontrollers.

  • Bereitstellen eines geklonten Domänencontrollers durch Kopieren des virtuellen Computers eines Quelldomänencontrollers mithilfe der vom Hypervisor bereitgestellten Export-/Importsemantik.

noteHinweis
Die Schritte im Abschnitt Schritte zum Bereitstellen eines geklonten virtualisierten Domänencontrollers veranschaulichen das Kopieren eines virtuellen Computers mithilfe des Export-/Importfeatures von Windows Server 2012-Hyper-V.

  • Damit Sie die Schritte in den folgenden Verfahren ausführen können, müssen Sie ein Mitglied der Gruppe der Domänen-Admins sein oder über dieselben Berechtigungen verfügen, die dieser Gruppe zugewiesen sind.

  • Die in diesem Handbuch verwendeten Windows PowerShell-Befehle müssen an einer Eingabeaufforderung mit erhöhten Rechten ausgeführt werden. Klicken Sie dazu mit der rechten Maustaste auf das Symbol Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

  • Ein Windows Server 2012-Server mit installierter Hyper-V-Serverrolle (HyperV1).

  • Ein zweiter Windows Server 2012-Server mit installierter Hyper-V-Serverrolle (HyperV2).

    noteHinweis
    • Wenn Sie einen anderen Hypervisor verwenden, wenden Sie sich an den Anbieter, um zu überprüfen, ob der Hypervisor die VM-Generations-ID unterstützt. Wenn der Hypervisor die VM-Generations-ID nicht unterstützt und Sie eine "DCCloneConfig.xml"-Datei bereitgestellt haben, wird der neue virtuelle Computer im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) gestartet.

    • Um die Verfügbarkeit des AD DS-Diensts zu erhöhen, werden in diesem Handbuch Anweisungen empfohlen und zur Verfügung gestellt, bei denen zwei verschiedene Hyper-V-Hosts verwendet werden; dadurch wird verhindert, dass nur ein einziger potenzieller Fehlerpunkt vorhanden ist. Sie benötigen jedoch keine zwei Hyper-V-Host, um einen virtuellen Domänencontroller zu klonen.

    • Sie müssen auf allen Hyper-V-Servern (HyperV1 und HyperV2) Mitglied der lokalen Gruppe "Administratoren" sein.

    • Um eine VHD-Datei mithilfe von Hyper-V erfolgreich zu importieren und exportieren, sollten die virtuellen Netzwerkswitches auf beiden Hyper-V-Hosts denselben Namen haben. Ist auf HyperV1 beispielsweise ein virtueller Netzwerkswitch mit dem Namen "VNet" vorhanden, muss auch auf HyperV2 ein virtueller Netzwerkswitch mit dem Namen "VNet" vorhanden sein.

    • Wenn die beiden Hyper-V-Hosts (HyperV1 und HyperV2) verschiedene Prozessoren verwenden, fahren Sie den virtuellen Computer (VirtualDC1) herunter, den die exportieren möchten, klicken Sie mit der rechten Maustaste auf den virtuellen Computer, klicken Sie auf Einstellungen und auf Prozessor, wählen Sie unter Prozessorkompatibilität die Option Zu einem physischen Computer mit einer anderen Prozessorversion migrieren, und klicken Sie auf OK.

  • Ein bereitgestellter Windows Server 2012-Domänencontroller (virtualisiert oder physisch), der die PDC-Emulatorrolle hostet (DC1). Führen Sie den folgenden Windows PowerShell-Befehl aus, um zu überprüfen, ob die PDC-Emulatorrolle auf einem Windows Server 2012-Domänencontroller gehostet ist:

    Get-ADComputer (Get-ADDomainController –Discover –Service "PrimaryDC").name –Property operatingsystemversion | fl
    
    Der OperatingSystemVersion-Wert sollte als Version 6.2 zurückgegeben werden. Sie können die PDC-Emulatorrolle ggf. auf einen Domänencontroller übertragen, auf dem Windows Server 2012 ausgeführt wird. Weitere Informationen finden Sie unter Übertragen von FSMO-Funktionen auf einen Domänencontroller mithilfe des Programms "Ntdsutil.exe".

  • Ein bereitgestellter virtualisierter Windows Server 2012-Gastdomänencontroller (VirtualDC1), der sich in derselben Domäne befindet, wie der Windows Server 2012-Domänencontroller, der die PDC-Emulatorrolle (DC1) hostet. Hierbei handelt es sich um den zum Klonen verwendeten Quelldomänencontroller. Der virtuelle Gastdomänencontroller wird auf einem Windows Server 2012-Hyper-V-Server (HyperV1) gehostet.

    noteHinweis
    • Damit das Klonen erfolgreich ist, darf der zum Erstellen des Klons verwendete Quelldomänencontroller nicht von einem Domänencontroller stammen, der seit der Erstellung des VHD-Quellmediums herabgestuft wurde.

    • Fahren Sie den Quelldomänencontroller vor dem Kopieren des virtuellen Computers oder der virtuellen Festplatte herunter.

    • Sie sollten keine virtuelle Festplatte klonen bzw. einen Momentaufnahme wiederherstellen, die die Tombstone-Lebensdauer überschreiten (bzw. die Lebensdauer des gelöschten Objekts, wenn der Active Directory-Papierkorb aktiviert ist). Wenn Sie eine virtuelle Festplatte eines vorhandenen Domänencontrollers kopieren, stellen Sie sicher, dass die VHD-Datei die Tombstone-Lebensdauer nicht überschreitet (Standardwert: 60 Tage). Sie sollten nicht die virtuelle Festplatte eines aktiven Domänencontrollers kopieren, um Klonmedien zu erstellen.

    Werfen Sie alle virtuellen Diskettenlaufwerke aus, die u. U. auf dem Quelldomänencontroller vorhanden sind. Dies kann beim Versuch, den neuen virtuellen Computer zu importieren, zu Freigabeproblemen führen.

    Nur Windows Server 2012-Domänencontroller, die auf einem VM-Generations-ID-Hypervisor gehostet sind, können als Quelle zum Klonen verwendet werden. Der zum Klonen verwendete Windows Server 2012-Quelldomänencontroller sollte sich in einem fehlerfreien Zustand befinden. Zum Ermitteln des Status des Quelldomänencontrollers führen Sie dcdiag aus. Um ein besseres Verständnis der von "dcdiag" zurückgegebenen Ausgabe zu erhalten, lesen Sie unter Wozu dient eigentlich DCDIAG? nach.

    Wenn es sich beim Quelldomänencontroller um einen DNS-Server handelt, ist auch der geklonte Domänencontroller ein DNS-Server. Sie sollten einen DNS-Server auswählen, der nur Active Directory-integrierte Zonen hostet.

    DNS-Clienteinstellungen werden nicht geklont, sondern in der Datei "DCCloneConfig.xml" angegeben. Werden die Einstellungen nicht angegeben, verweist der geklonte Domänencontroller standardmäßig auf sich selbst als bevorzugten DNS-Server. Für den geklonten Domänencontroller ist keine DNS-Delegierung vorhanden. Der Administrator der übergeordneten DNS-Zone sollte die DNS-Delegierung für den geklonten Domänencontroller bei Bedarf aktualisieren.

    WarningWarnung
    Die Virtualisierungsschutzvorrichtungen sind nicht auf Active Directory Lightweight Directory Services (AD LDS) erweiterbar. Daher sollten Sie nicht versuchen, einen AD DS-Domänencontroller zu klonen, der eine AD LDS-Instanz hostet, indem Sie der Liste "CustomDCCloneAllowList.xml" diese AD LDS-Instanz hinzufügen. Das AD LDS nicht VM-Generations-ID-fähig ist, kann das Klonen eines Domänencontroller mit AD LDS zu Abweichungen in diesem AD LDS-Konfigurationssatz führen, die durch ein USN-Rollback verursacht werden.  

    Folgende Serverrollen werden nicht für das Klonen unterstützt:

    • DHCP (Dynamic Host Configuration-Protokoll)

    • Active Directory-Zertifikatsdienste (ADCS)

    • Active Directory Lightweight Directory Services (ADLDS)

In diesem Verfahren erteilen Sie dem Quelldomänencontroller die Berechtigung, geklont zu werden, indem Sie mit dem Active Directory-Verwaltungscenter den Quelldomänencontroller der Gruppe Klonbare Domänencontroller hinzufügen.

  1. Öffnen Sie auf einem beliebigen Domänencontroller in derselben Domäne wie der zum Klonen vorbereitete Domänencontroller (VirtualDC1), das Active Directory-Verwaltungscenter (ADAC), suchen Sie das virtualisierte Domänencontrollerobjekt (Domänencontroller befinden sich in der Regel im Container Domänencontroller), klicken Sie mit der rechten Maustaste darauf, wählen Sie die Option Zur Gruppe hinzufügen aus, geben Sie unter Geben Sie die zu verwendenden Objektnamen einKlonbare Domänencontroller ein, und klicken Sie dann auf OK.

    Die in diesem Schritt durchgeführte Aktualisierung der Gruppenmitgliedschaft muss auf dem PDC-Emulator repliziert werden, bevor der Klonvorgang ausgeführt werden kann. Wenn die Gruppe Klonbare Domänencontroller nicht gefunden wird, ist die PDC-Emulatorrolle möglicherweise nicht auf einem Domänencontroller gehostet, auf dem Windows Server 2012 ausgeführt wird.

    noteHinweis
    Zum Öffnen von ADAC auf einem Windows Server 2012-Domänencontroller öffnen Sie Windows PowerShell, und geben dsac.exe ein.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Das folgende Windows PowerShell-Cmdlet führt dieselbe Funktion aus wie das vorhergehende Verfahren:

Add-ADGroupMember –Identity "CN=Cloneable Domain Controllers,CN=Users, DC=Fabrikam,DC=Com" –Member "CN=VirtualDC1,OU=Domain Controllers,DC=Fabrikam,DC=com"

In diesem Verfahren führen Sie das Cmdlet Get-ADDCCloningExcludedApplicationList auf dem virtualisierten Quelldomänencontroller aus, um Programme oder Dienste zu identifizieren, die nicht im Hinblick auf das Klonen ausgewertet wurden. Sie müssen das Cmdlet "Get-ADDCCloningExcludedApplicationList" vor dem Cmdlet "New-ADDCCloneConfigFile" ausführen, da das Cmdlet "New-ADDCCloneConfigFile" keine "DCCloneConfig.xml"-Datei erstellt, wenn es eine ausgeschlossene Anwendung ermittelt.

  1. Klicken Sie auf dem Quelldomänencontroller (VirtualDC1) auf Server-Manager, Tools und Active Directory-Modul für Windows PowerShell, und geben Sie dann den folgenden Befehl ein:

    Get-ADDCCloningExcludedApplicationList
    
  2. Prüfen Sie gemeinsam mit dem Softwareanbieter die Liste mit zurückgegebenen Diensten und installierten Programmen, um zu ermitteln, ob diese sicher geklont werden können. Wenn bestimmte Anwendungen oder Dienste in der Liste nicht sicher geklont werden können, müssen Sie vom Quelldomänencontroller entfernt werden, andernfalls schlägt das Klonen fehl.

  3. Zum Abrufen der Dienste und installierten Programme, die für das sichere Klonen ermitteln wurde, führen Sie den Befehl erneut mit dem Switch –GenerateXML aus, um diese Dienste und Programme in der Datei CustomDCCloneAllowList.xml anzuzeigen.

    Get-ADDCCloningExcludedApplicationList -GenerateXml
    

Führen Sie auf dem Quelldomänencontroller "New-ADDCCloneConfigFile" aus, und geben Sie optional Konfigurationseinstellungen für den geklonten Domänencontroller an, z. B. Name, IP-Adresse und DNS-Auflösung.

Geben Sie z. B. Folgendes ein, um einen geklonten Domänencontroller mit dem Namen "VirtualDC2" mit einer statischen IPv4-Adresse zu erstellen:

New-ADDCCloneConfigFile –Static -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.255.0" -CloneComputerName "VirtualDC2" -IPv4DefaultGateway "10.0.0.3" -SiteName "REDMOND"

noteHinweis
Der geklonte Domänencontroller wird sich am selben Standort wie der Quelldomänencontroller befinden, außer in der Datei "DCCloneConfig.xml" ist ein anderer Standort angegeben. Es wird empfohlen, in der Datei "DCCloneConfig.xml" einen geeigneten Standort für den geklonten Domänencontroller basierend auf dessen IP-Adresse anzugeben.

Der Computername ist optional. Wenn Sie keinen angeben, wird basierend auf folgendem Algorithmus ein eindeutiger Name generiert:

  • Das Präfix besteht aus den ersten acht Zeichen des Computernamens des Quelldomänencontrollers. Beispielsweise wird der Quellcomputername "SourceComputer" zur Präfixzeichenfolge "SourceCo" verkürzt.

  • Ein eindeutiges Namenssuffix im Format "–CLnnnn" wird an die Präfixzeichenfolge angehängt, wobei nnnn den nächsten derzeit nicht verwendeten Wert zwischen 0001 - 9999 darstellt, der vom PDC ermittelt wird. Wenn die nächste verfügbare Zahl im zulässigen Bereich z. B. 0047 ist und wie im vorangehenden Beispiel das Computernamenpräfix "SourceCo" verwendet wird, wird der abgeleitete Name für den geklonten Computer als "SourceCo-CL0047" festgelegt.

noteHinweis
Damit das Cmdlet "New-ADDCCloneConfigFile" ordnungsgemäß funktioniert, ist ein globaler Katalogserver erforderlich. Die Mitgliedschaft des Quelldomänencontroller in der Gruppe Klonbare Domänencontroller muss auf dem globalen Katalogserver wiedergegeben werden. Der globale Katalogserver muss nicht derselbe Domänencontroller wie der PDC-Emulator sein, sollte sich jedoch möglichst am selben Standort befinden. Wenn kein globaler Katalogserver verfügbar ist, schlägt der Befehl mit der Meldung "Der Server ist nicht funktionstüchtig" fehl. Weitere Informationen finden Sie unter Virtualized Domain Controller Troubleshooting.

Geben Sie Folgendes ein, um einen geklonten Domänencontroller mit dem Namen "Clone1" und statischen IPv4-Einstellungen zu erstellen, und geben Sie bevorzugte und alternative WINS-Server an:

New-ADDCCloneConfigFile –CloneComputerName "Clone1" –Static -IPv4Address "10.0.0.5" –IPv4DNSResolver "10.0.0.1" –IPv4SubnetMask "255.255.0.0" –PreferredWinsServer "10.0.0.1" –AlternateWinsServer "10.0.0.2"
noteHinweis
Beim Angeben von WINS-Servers müssen Sie sowohl –PreferredWINSServer als auch –AlternateWINSServer angeben. Wenn Sie nur eines dieser Argumente angeben, schlägt das Klonen mit dem Fehlercode "0x80041005", der in der Protokolldatei "dcpromo.log" angezeigt wird.

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen "Clone2" mit dynamischen IPv4-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile -CloneComputerName "Clone2" -IPv4DNSResolver "10.0.0.1" 
noteHinweis
In diesem Fall sollte sich in der Umgebung ein DHCP-Server befinden, den der Klon erreichen kann und die IP-Adresse sowie andere relevante Netzwerkeinstellungen davon abrufen kann.

Geben Sie Folgendes ein, um einen geklonten Domänencontroller mit dem Namen "Clone2" und dynamischen IPv4-Einstellungen zu erstellen, und geben Sie bevorzugte und alternative WINS-Server an:

New-ADDCCloneConfigFile -CloneComputerName "Clone2" -IPv4DNSResolver "10.0.0.1" -SiteName "REDMOND" –PreferredWinsServer "10.0.0.1" –AlternateWinsServer "10.0.0.2"

Geben Sie Folgendes ein, um einen geklonten Domänencontroller mit dynamischen IPv6-Einstellungen zu erstellen:

New-ADDCCloneConfigFile -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" 

Geben Sie Folgendes ein, um einen geklonten Domänencontroller mit statischen IPv6-Einstellungen zu erstellen:

New-ADDCCloneConfigFile –Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc"
noteHinweis
Beim Angeben von IPv6-Einstellungen besteht der einzige Unterschied darin, dass der Switch –Static angegeben wird. Die Angabe des Switches –Static erfordert das Festlegen mindestens eines IPv6DNSResolver. Es wird erwartet, dass die statische IPv6-Adresse mittels automatischer Konfiguration zustandsloser Adressen (Stateless Address Auto Configuration, SLAAC) mit vom Router zugewiesenen Präfixen konfiguriert wird. Bei dynamischem IPv6 sind die DNS-Auflösungen optional, es wird jedoch erwartet, dass der Klon einen IPv6-fähigen DHCP-Server im Subnetz erreichen kann, um die IPv6-Adresse sowie DNS-Konfigurationsinformationen abzurufen.

Wenn Sie über mehrere Kopien von zum Klonen vorbereiteten Quelldomänencontroller-Medien verfügen (d. h. der Quelldomänencontroller ist zum Klonen autorisiert, das Cmdlet "Get-ADDCCloningExcludedApplicationList" wurde ausgeführt usw.), und Sie möchten für jede Kopie des Mediums verschiedene Einstellungen festlegen, können Sie "New-ADDCCloneConfigFile" im Offlinemodus ausführen. Dies ist möglicherweise effizienter als das individuelle Vorbereiten jedes einzelnen virtuellen Computers, z. B. durch Importieren aller Kopien.

In diesem Fall können Domänen-Admins den Offlinedatenträger bereitstellen und mithilfe der Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) das Cmdlet "New-ADDCCloneConfigFile" mit dem Argument "–offline" ausführen, um die XML-Dateien hinzuzufügen. Dies ermöglicht eine werksähnliche Automatisierung mithilfe neuer in Windows Server 2012 enthaltener Windows PowerShell-Optionen. Weitere Informationen zum Bereitstellen des Offlinedatenträgers zum Ausführen des Cmdlets "New-ADDCCloneConfigFile" im Offlinemodus finden Sie unter Hinzufügen von XML zum Offlinesystemdatenträger.

Sie sollten das Cmdlet zunächst lokal auf den Quellmedien ausführen, um sicherzustellen, dass die Voraussetzungsprüfungen erfolgreich durchgeführt werden. Die Voraussetzungsprüfungen werden nicht im Offlinemodus durchgeführt, da das Cmdlet u. U. auf einem Computer ausgeführt wird, der sich nicht in derselben Domäne befindet, bzw. auf einem Computer, der einer Domäne angehört. Nach dem lokalen Ausführen des Cmdlets wird die Datei "DCCloneConfig.xml" erstellt. Sie können die lokal erstellte Datei "DCCloneConfig.xml" löschen, wenn Sie anschließend den Offlinemodus verwenden möchten.

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen "CloneDC1" im Offlinemodus am Standort “REDMOND” mit statischer IPv4-Adresse geben Sie Folgendes ein:

New-ADDCCloneConfigFile –Offline –CloneComputerName CloneDC1 –SiteName REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" –Static –Path F:\Windows\NTDS 

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen "Clone2" im Offlinemodus mit statischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile –Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" –Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" –Path F:\Windows\NTDS 

Zum Erstellen eines geklonten Domänencontrollers im Offlinemodus mit statischen IPv4- und dynamischen IPv6-Einstellungen und zum Angeben mehrerer DNS-Server für die DNS-Auflösungseinstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile –Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @( "10.0.0.1","10.0.0.2" ) –Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" –Path F:\Windows\NTDS 

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen "Clone1" im Offlinemodus mit statischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile –Offline -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName "REDMOND" –Path F:\Windows\NTDS 

Zum Erstellen eines geklonten Domänencontrollers im Offlinemodus mit dynamischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:

New-ADDCCloneConfigFile –Offline -IPv4DNSResolver "10.0.0.1" -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" –Path F:\Windows\NTDS 

In diesem Verfahren exportieren Sie den virtuellen Computer des virtualisierten Quelldomänencontroller und importieren dann den virtuellen Computer. Durch diese Aktion wird in Ihrer Domäne ein geklonter virtualisierte Domänencontroller erstellt.

Sie müssen auf jedem Hyper-V-Host Mitglied der lokalen Gruppe "Administratoren" sein. Wenn Sie für jeden Server unterschiedliche Anmeldeinformationen verwenden, führen Sie die Windows PowerShell-Cmdlets aus, um den virtuellen Computern in verschiedenen Windows PowerShell-Sitzungen zu exportieren und importieren.

Wenn auf dem Quelldomänencontroller Momentaufnahmes vorhanden sind, sollten diese vor dem Exportieren des Quelldomänencontrollers gelöscht werden, da der virtuelle Computer nicht importiert wird, wenn die Prozessoreinstellungen eines Momentaufnahmes nicht mit dem Hyper-V-Zielhost kompatibel sind. Wenn die Prozessoreinstellungen zwischen den Hyper-V-Quell- und Zielhosts kompatibel sind, können Sie die Quelle ohne vorheriges Löschen von Momentaufnahmes exportieren und kopieren. Nach dem Importieren müssen die Momentaufnahmes jedoch vom geklonten virtuellen Computer gelöscht werden, bevor er gestartet wird.

  1. Fahren Sie auf HyperV1 den Quelldomänencontroller (VirtualDC1) herunter.

    PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

    Stop-VM –Name VirtualDC1 –ComputerName HyperV1
    
  2. Löschen Sie auf HyperV1 Momentaufnahmes, und exportieren Sie dann den Quelldomänencontroller (VirtualDC1) in das Verzeichnis "c:\CloneDCs".

    noteHinweis
    Löschen Sie alle zugeordneten Momentaufnahmes, da bei jeder Erstellung eines Momentaufnahmes auch eine neue AVHD-Datei erstellt wird, die als differenzierender Datenträger fungiert. Dies löst eine Kettenreaktion aus. Wenn Sie Momentaufnahmes erstellt haben, und die Datei "DCCLoneConfig.xml" auf der virtuellen Festplatte einfügen, erstellen Sie möglicherweise einen Klon einer älteren DIT-Version oder fügen die Konfigurationsdatei in die falsche VHD-Datei ein. Durch Löschen des Momentaufnahmes werden all diese AVHDs in der Basis-VHD zusammengeführt.

    PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

    Get-VMSnapshot VirtualDC1 | Remove-VMSnapshot –IncludeAllChildSnapshots
    Export-VM –Name VirtualDC1 –ComputerName HyperV1 -Path c:\CloneDCs\VirtualDC1
    
  3. Kopieren Sie den Ordner virtualdc1 in das Verzeichnis "c:\Import" von HyperV2.

  4. Importieren Sie auf HyperV2 mit dem Hyper-V-Manager den virtuellen Computer (verwenden Sie dazu den Assistenten zum Importieren virtueller Computer in Hyper-V-Manager) aus dem Ordner c:\Import\virtualdc1, und löschen Sie alle dazugehörigen Momentaufnahmes.

    Verwenden Sie beim Importieren des virtuellen Computers die Option Virtuellen Computer kopieren (neue eindeutige ID erstellen).

    PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

    $path = Get-ChildItem "C:\CloneDCs\VirtualDC1\VirtualDC1\Virtual Machines"
    $vm = Import-VM –Path $path.fullname –Copy -GenerateNewId
    Rename-VM $vm VirtualDC2
    
    

    So erstellen Sie mehrere geklonte Domänencontroller vom selben Quelldomänencontroller:

    • Benutzeroberfläche: Geben Sie im Assistenten zum Importieren virtueller Computer neue Speicherorte für den Ordner für die Konfiguration des virtuellen Computers, den Momentaufnahmespeicher und den Ordner für Smart Paging sowie einen anderen Speicherort für die virtuellen Festplatten für dem virtuellen Computer an.

    • Windows PowerShell: Geben Sie neue Speicherorte für den virtuellen Computer an; verwenden Sie dazu folgende Parameter für das Cmdlet Import-VM:

      $path = Get-ChildItem "C:\CloneDCs\VirtualDC1\VirtualDC1\Virtual Machines" 
      Import-VM –Path $path.fullname –Copy –GenerateNewId –ComputerName HyperV2 –VhdDestinationPath "Pfad" –SnapshotFilePath "Pfad" –SmartPagingFilePath "Pfad" –VirtualMachinePath "Pfad"
      
    noteHinweis
    Die empfohlene Batchgröße beim gleichzeitigen Erstellen mehrerer geklonter Domänencontroller ist 10. Die maximale Anzahl wird durch die maximale Anzahl von ausgehenden Replikationsverbindungen begrenzt, d. h. 16 für die DFS-Replikation (DFSR) und 10 für den Dateireplikationsdienst (File Replication Service, FRS). Sie sollten nicht mehr als die empfohlene Anzahl von geklonten Domänencontrollern gleichzeitig bereitstellen, außer Sie haben diese Anzahl in Ihrer Umgebung ausgiebig getestet.

  5. Starten Sie auf HyperV1 den Quelldomänencontroller ((VirtualDC1) neu, um ihn wieder online zu schalten.

    PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

    Start-VM –Name VirtualDC1 –ComputerName HyperV1
    
  6. Starten Sie auf HyperV2 den virtuellen Computer (VirtualDC2), um ihn als geklonten Domänencontroller in der Domäne online zu schalten.

    PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

    Start-VM –Name VirtualDC2 –ComputerName HyperV2
    
    noteHinweis
    Damit das Klonen erfolgreich ist, muss der PDC-Emulator ausgeführt werden. Wenn er heruntergefahren wurde, stellen Sie sicher, dass er wieder hochgefahren und die Erstsynchronisierung ausgeführt wurde, damit er seine Rolle als PDC-Emulatorrolle erkennt. Weitere Informationen finden Sie im Microsoft KB-Artikel 305476.

    Überprüfen Sie nach dem Abschließen des Klonvorgangs anhand des Namens des geklonten Computers, ob das Klonen erfolgreich war. Stellen Sie sicher, dass der virtuelle Computer nicht im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) gestartet wurde. Wenn Sie bei der Anmeldung die Fehlermeldung erhalten, dass keine Anmeldeserver verfügbar sind, versuchen Sie sich im Verzeichnisdienst-Wiederherstellungsmodus anzumelden. Wenn der Domänencontroller nicht erfolgreich geklont wurde und im Verzeichnisdienst-Wiederherstellungsmodus gestartet wurde, überprüfen Sie die Protokolle in der Ereignisanzeige und die DCpromo-Protokolle im Ordner "%systemroot%/debug".

Der geklonte Domänencontroller wird Mitglied der Gruppe Klonbare Domänencontroller, da diese Mitgliedschaft vom Quelldomänencontroller kopiert wird. Als bewährte Methode sollten Sie die Gruppe Klonbare Domänencontroller leer lassen, bis Sie zum Ausführen von Klonvorgängen bereit sind. Zudem sollten Sie Mitglieder nach dem Abschließen der Klonvorgänge entfernen.

Wenn der Quelldomänencontroller ein Sicherungsmedium speichert, wird dieses auch vom geklonten Domänencontroller gespeichert. Führen Sie wbadmin get versions aus, um das Sicherungsmedium auf dem geklonten Domänencontroller anzuzeigen. Ein Mitglied der Gruppe "Domänen-Admins" sollte das Sicherungsmedium vom geklonten Domänencontroller entfernen, damit es nicht versehentlich wiederhergestellt wird. Weitere Informationen zum Löschen einer Systemstatussicherung mithilfe von "wbadmin.exe" finden Sie unter Wbadmin delete systemstatebackup.

Wenn der geklonte Domänencontroller (VirtualDC2) im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) gestartet wird, kehrt er beim nächsten Neustart nicht automatisch zum normalen Modus zurück. Verwenden Sie zum Anmelden an einem im Verzeichnisdienst-Wiederherstellungsmodus gestarteten Domänencontroller .\Administrator, und geben Sie das DSRM-Kennwort ein.

Beheben Sie die Ursache des Fehlers beim Klonen, und stellen Sie sicher, dass in der Protokolldatei "dcpromo.log" nicht angegeben ist, dass der Klonvorgang nicht wiederholt werden kann. Wenn der Klonvorgang nicht wiederholt werden kann, verwerfen Sie das Medium auf sichere Art und Weise. Wenn der Klonvorgang wiederholt werden kann, müssen Sie das DSRM-Startkennzeichen löschen, um den Klonvorgang erneut auszuführen.

  1. Öffnen Sie Windows Server 2012 an einer Eingabeaufforderung mit erhöhten Rechten (klicken Sie mit der rechten Maustaste auf Windows Server 2012 und wählen Sie die Option "Als Administrator ausführen"), und geben Sie dann msconfig ein.

  2. Deaktivieren Sie auf der Registerkarte Start unter Startoptionen die Option Abgesicherter Start (diese Option ist bereits mit der "Active Directory-Reparatur" aktiviert).

  3. Klicken Sie auf OK, und starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.

Weitere Informationen zur Problembehandlung bei virtuellen Domänencontrollern finden Sie unter Virtualized Domain Controller Troubleshooting.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft