Чтобы прочитать статью на английском языке, установите флажок Английский. Вы также можете просматривать текст на английском языке во всплывающем окне, наводя указатель мыши на текст.
Перевод
Английский

Знакомство с виртуализацией доменных служб Active Directory (уровень 100)

 

Применимо к:Windows Server 2012

Виртуализация сред доменных служб Active Directory продолжается многие годы. Начиная с Windows Server® 2012, AD DS предоставляют лучшую поддержку виртуализации контроллеров доменов благодаря возможностям безопасной виртуализации и быстрого развертывания виртуальных контроллеров доменов посредством клонирования. Эти новые возможности виртуализации обеспечивают отличную поддержку общедоступных и частных облаков, гибридных сред, где некоторые части AD DS находятся внутри организации и в облаке, а также инфраструктур AD DS, которые полностью размещаются внутри организации.

Содержание документа

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

Репликация AD DS использует InvocationID и номер последовательного обновления на каждом контроллере домена, чтобы определить, какие изменения необходимо повторить на других контроллерах домена. При откате контроллера домена к временной точке за пределами информированности контроллера домена и повторном использовании USN для абсолютно другой транзакции репликация не будет осуществляться, так как другие контроллеры доменов будут считать, что уже получили обновления, связанные с повторно использованным номером последовательного обновления в контексте данного InvocationID.

Например, следующая иллюстрация показывает последовательность событий, происходящих в ОС Windows Server 2008 R2 и более ранних версиях, когда обнаруживается откат номера последовательного обновления на VDC2 — целевом контроллере домена, работающем на виртуальной машине. В этом примере откат номера последовательного обновления происходит на контроллере VDC2, когда партнер по репликации регистрирует, что VDC2 отправил значение номера последовательного обновления в векторе синхронизации, которое этот партнер по репликации уже отправлял ранее, что указывает на выполнение неправильного отката базы данных контроллера VDC2.

Условия несоответствия репликации

Виртуальная машина облегчает администраторам гипервизора откат номеров последовательного обновления контроллера домена (его логических часов) благодаря, например, применению снимка за пределами информированности контроллера домена. Дополнительные сведения о номере последовательного обновления и его откате, включая другую иллюстрацию, демонстрирующую невыявленные экземпляры отката номера последовательного обновления, см. в разделе Номер последовательного обновления и его откат.

Начиная с Windows Server 2012, виртуальные контроллеры доменов AD DS, размещенные на платформах гипервизоров, которые предоставляют идентификатор "ИД создания виртуальной машины", могут определять и применять необходимые меры безопасности для защиты среды AD DS в случае отката виртуальной машины путем применения снимка виртуальной машины. Структура ИД создания виртуальной машины использует независимый механизм поставщика гипервизора для предоставления этого идентификатора в пространстве адресов гостевой виртуальной машины, поэтому безопасная виртуализация обеспечивается любым гипервизором, который поддерживает ИД создания виртуальной машины. С помощью этого идентификатора службы и приложения, работающие на виртуальной машине, могут определить, выполнялся ли откат виртуальной машины.

Во время установки контроллера домена службы AD DS изначально сохраняют идентификатор ИД создания виртуальной машины в качестве части атрибута msDS-GenerationID на объекте-компьютере контроллера домена в его базе данных (которую часто называют информационным деревом каталога, или DIT). ИД создания виртуальной машины независимо отслеживается драйвером Windows на виртуальной машине.

Когда администратор восстанавливает машину из предыдущего снимка, текущее значение ИД создания виртуальной машины от драйвера виртуальной машины сравнивается со значением в DIT.

Если значения отличаются, InvocationID сбрасывается, а пул относительного идентификатора отклоняется, чтобы предотвратить повторное использование номера последовательного обновления. Если значения совпадают, транзакция проводится в обычном режиме.

Службы AD DS также сравнивают текущее значение ИД создания виртуальной машины от виртуальной машины со значением в DIT при каждой перезагрузке контроллера домена. Если значения отличаются, службы сбрасывают InvocationID, отклоняют пул относительного идентификатора и записывают в DIT новое значение. Кроме того, службы синхронизируют папку SYSVOL недоверенным методом, чтобы завершить безопасное восстановление. Это позволяет мерам безопасности расширить применение снимков на отключенных виртуальных машинах. Эти меры безопасности, появившиеся в Windows Server 2012, позволяют администраторам AD DS пользоваться уникальными преимуществами развертывания и управления контроллерами доменов в виртуализованной среде.

Следующая иллюстрация показывает, как применяются меры безопасности виртуализации при обнаружении отката того же номера последовательного обновления на виртуализованном контроллере домена, который работает под управлением Windows Server 2012 на гипервизоре, поддерживающем ИД создания виртуальной машины.

Пример работы мер безопасности виртуализации

В этом случае, когда гипервизор обнаруживает изменение ИД создания виртуальной машины, срабатывают средства безопасности виртуализации, включая сброс кода обращения виртуализованного контроллера домена (с A на B в предыдущем примере) и обновление ИД создания виртуальной машины, сохраненного на виртуальной машине, для обеспечения соответствия новому значению (G2), которое хранит гипервизор. Меры безопасности обеспечивают выполнение репликации на обоих контроллерах доменов.

С помощью Windows Server 2012 службы AD DS применяют меры безопасности на виртуальных контроллерах доменов, размещенных на гипервизорах, которые поддерживают ИД создания виртуальной машины, и исключают возможность нарушения среды AD DS при случайном применении снимков или других механизмов, предоставляемых гипервизором, которые могут "откатить" состояние виртуальной машины (путем предотвращения проблем репликации, таких как неверные номера последовательного обновления или замедление объектов). Однако восстановление контроллера домена с помощью снимка виртуальной машины не рекомендуется применять в качестве альтернативного механизма архивации контроллера домена. Мы рекомендуем и дальше использовать систему архивации данных Windows Server или другие решения для архивации на базе устройств записи VSS.

System_CAPS_cautionВнимание

Если контроллер домена в рабочей среде был случайно восстановлен с помощью снимка, мы рекомендуем проконсультироваться с поставщиками приложений и служб, размещенных на этой виртуальной машине, чтобы получить указания по проверке состояния этих программ после восстановления с помощью снимка.

Дополнительные сведения см. в разделе Архитектура безопасного восстановления виртуализированного контроллера домена.

Начиная с Windows Server 2012, администраторы могут легко и безопасно развертывать реплики контроллеров доменов путем копирования существующего виртуального контроллера домена. В виртуальной среде администраторам больше не нужно постоянно развертывать образ сервера, созданный с помощью sysprep.exe, повышать уровень сервера до контроллера домена и выполнять дополнительные требования конфигурации для развертывания каждой реплики контроллера домена.

System_CAPS_noteПримечание

Всем этим процедурам необходимо следовать только для развертывания первого контроллера в домене, в частности использовать sysprep.exe для подготовки виртуального жесткого диска сервера, повышения уровня сервера до контроллера домена и выполнения дополнительных требований конфигурации. В сценарии аварийного восстановления используйте последнюю версию архивации сервера для восстановления первого контроллера в домене.

  • Быстрое развертывание дополнительных контроллеров домена в новом домене

  • Быстрое возобновление непрерывной работы во время аварийного восстановления путем восстановления емкости AD DS посредством быстрого развертывания контроллеров доменов с помощью клонирования

  • Оптимизация развертывания частного облака путем гибкой подготовки контроллеров доменов к повышенным требованиям масштабирования

  • Быстрая подготовка тестовой среды для развертывания и тестирования новых компонентов и возможностей до реализации в рабочей среде

  • Быстрое увеличение емкости в филиалах путем клонирования существующих контроллеров доменов в таких филиалах

При быстром развертывании большого количества контроллеров доменов продолжайте следовать существующим процедурам проверки работоспособности каждого контроллера домена после завершения установки. Развертывайте контроллеры доменов партиями разумного объема, чтобы после завершения установки вы могли проверить работоспособность каждой партии. Рекомендованный размер партии — 10. Дополнительные сведения см. в разделе Этапы развертывания клонированного виртуализованного контроллера домена.

Авторизацию на клонирование виртуализованных контроллеров доменов контролирует администратор AD DS. Чтобы администраторы гипервизоров могли развертывать дополнительные контроллеры доменов путем копирования виртуальных контроллеров доменов, администратор AD DS должен выбрать и авторизовать контроллер домена, а затем выполнить подготовительные шаги, чтобы сделать его источником клонирования.

Так как подготовка виртуальной машины обычно входит в сферу ответственности администратора гипервизора, такие администраторы могут подготавливать реплики виртуальных машин контроллеров доменов путем копирования виртуализованных контроллеров доменов, которые администратор AD DS авторизовал и подготовил для клонирования.

System_CAPS_warningПредупреждение

Любой пользователь, которому разрешается администрировать гипервизор, размещающий контроллер домена, должен подвергаться проверке и иметь высокий уровень доверия в среде.

Процесс клонирования включает создание копии VHD существующего виртуального контроллера домена (или для более сложных конфигураций — виртуальной машины контроллера домена), ее авторизацию для клонирования в AD DS и создание файла конфигурации клона. Это сокращает количество шагов и время, необходимое для развертывания реплики виртуального контроллера домена, за счет того, что задачи развертывания не требуется повторять.

Клонированный контроллер домена использует следующие условия, чтобы установить, что он является копией другого контроллера домена.

  1. Предоставляемый виртуальной машиной ИД создания виртуальной машины отличается от одноименного параметра, хранящегося в DIT.

    System_CAPS_noteПримечание

    Платформа гипервизора должна поддерживать ИД создания виртуальной машины (Windows Server 2012 Hyper-V поддерживает его).

  2. Наличие файла DCCloneConfig.xml в одном из следующих расположений:

    • Каталог, где находится DIT

    • %windir%\NTDS

    • Корневой каталог съемного носителя

Если условия выполнены, контроллер домена запускает процесс клонирования, чтобы подготовить себя в качестве реплики контроллера домена.

Клонированный контекст безопасности использует контекст безопасности исходного контроллера домена (того, копией которого он является), чтобы связаться с держателем роли хозяина операций эмулятора основного контроллера домена Windows Server 2012 (также называемого FSMO). Эмулятор основного контроллера домена должен работать под управлением Windows Server 2012, но работа под управлением гипервизора необязательна.

System_CAPS_noteПримечание

Если у вас есть расширение схемы с атрибутами, ссылающимися на исходный контроллер домена, и атрибут находится на одном из объектов (объекте-компьютере, объекте параметров NTDS), скопированных для создания клона, этот атрибут не будет скопирован или обновлен, чтобы ссылаться на клонированный контроллер домена.

Убедившись, что запрошенный контроллер домена авторизован для клонирования, эмулятор основного контроллера домена создаст новый идентификатор машины, включая новую учетную запись, ИД безопасности, имя и пароль, которые идентифицируют эту машину как реплику контроллера домена, а затем отправит эти сведения клону. Затем клонированный контроллер домена подготовит файлы базы данных AD DS к работе в качестве реплики и очистит область машины.

Дополнительные сведения см. в разделе Архитектура клонирования виртуализированного контроллера домена.

Компоненты клонирования включают командлеты в модуле Active Directory для Windows PowerShell и связанные XML-файлы.

  • New-ADDCCloneConfigFile. Этот командлет создает и размещает файл DCCloneConfig.xml в надлежащем расположении, чтобы гарантировать его доступность для запуска клонирования. Он также выполняет проверку необходимых компонентов, чтобы гарантировать успешное клонирование. Командлет включен в модуль Active Directory для Windows PowerShell. Его можно запускать локально на виртуализованном контроллере домена, который готовится для клонирования, или удаленно с помощью параметра -offline. Вы можете указать параметры клонированного контроллера домена, такие как имя, сайт и IP-адрес.

    Выполняется следующая проверка необходимых компонентов.

    System_CAPS_noteПримечание

    Эта проверка не выполняется при использовании параметра -offline. Дополнительные сведения см. в разделе Выполнение New-ADDCCloneConfigFile в автономном режиме.

    • Подготавливаемый контроллер домена авторизован для клонирования (является членом группы Клонируемые контроллеры домена).

    • Эмулятор основного контроллера домена работает под управлением Windows Server 2012.

    • Любые программы или службы, перечисленные в выходных данных командлета Get-ADDCCloningExcludedApplicationList, включены в CustomDCCloneAllowList.xml (поясняется более подробно в конце этого списка компонентов для клонирования).

  • DCCloneConfig.xml. Для успешного клонирования виртуализованного контроллера домена этот файл должен находиться в том же каталоге, что и DIT (%windir%\NTDS), или в корневом каталоге съемного носителя. Этот файл является одним из триггеров для определения и инициации клонирования, а также позволяет указать параметры конфигурации для клонированного контроллера домена.

    Схема и образец файла DCCloneConfig.xml на всех компьютерах под управлением Windows Server 2012 хранятся в следующем расположении:

    • %windir%\system32\DCCloneConfigSchema.xsd

    • %windir%\system32\SampleDCCloneConfig.xml

    Для создания файла DCCloneConfig.xml рекомендуется использовать командлет New-ADDCCloneConfigFile. Хотя для создания этого файла можно также использовать схематичный файл с XML-редактором, изменение вручную увеличивает вероятность ошибки. Изменять файл следует с помощью XML-редакторов, таких как Visual Studio, XML Notepad или сторонние приложения (не используйте Notepad).

  • Get-ADDCCloningExcludedApplicationList. Этот командлет выполняется на исходном контроллере домена до начала процесса клонирования, чтобы выяснить, какие службы или установленные программы не входят в список поддерживаемых по умолчанию (файл DefaultDCCloneAllowList.xml или пользовательский список включения CustomDCCloneAllowList.xml) и, следовательно, не были учтены при анализе клонирования.

    Этот командлет ищет на исходном контроллере домена службы в диспетчере служб и установленные программы, перечисленные в папке HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall, которые не указаны в списке по умолчанию (DefaultDCCloneAllowList.xml) или в пользовательском списке включения (файл CustomDCCloneAllowList.xml), если он указан. Список приложений и служб, возвращенный работающим командлетом, является разницей между содержимым файла DefaultDCCloneAllowList.xml или CustomDCCloneAllowList.xml и списком, созданным во время выполнения на основании программ, установленных на исходном контроллере домена. Службы и программы из Get-ADDCCloningExcludedApplicationList можно добавить в файл CustomDCCloneAllowList.xml, если вы считаете, что их можно безопасно клонировать. Чтобы определить безопасность клонирования службы или установленной программы, оцените следующие условия.

    • Влияет ли на службу или установленную программу идентификатор машины, например имя, ИД безопасности, пароль и тому подобное?

    • Хранит ли служба или установленная программа локально на компьютере какие-либо данные, которые могут снизить ее работоспособность на клоне?

    Чтобы определить безопасность клонирования службы или установленной программы, следует проконсультироваться с поставщиком приложения.

    System_CAPS_noteПримечание

    Перед подготовкой дополнительных служб или программ в файле CustomDCCloneAllowList.xml убедитесь, что у вас есть необходимая лицензия на копирование программного обеспечения, содержащегося на этой виртуальной машине.

    Если приложения не подлежат клонированию, удалите их с исходного контроллера домена до создания клонированного носителя. Если приложение отображается в выходных данных командлета, но не включено в файл CustomDCCloneAllowList.xml, клонирование будет невозможно. Чтобы гарантировать успешное клонирование, выходные данные командлета не должны содержать никаких служб или программ. Другими словами, приложение должно быть либо включено в файл CustomDCCloneAllowList.xml, либо удалено с исходного контроллера домена.

    В следующей таблице поясняются параметры работающего командлета Get-ADDCCloningExcludedApplicationList.

    Аргумент

    Объяснение

    <аргументы не заданы>

    Отображает на консоли список служб или программ, которые не были учтены для клонирования. Если файл CustomDCCloneAllowList.XML уже существует в любом допустимом расположении, аргумент использует этот файл для отображения оставшихся служб и программ (которых может и не быть, если списки совпадают).

    -GenerateXml

    Создает файл CustomDCCloneAllowList.XML, заполненный службами и программами, перечисленными в консоли.

    -Force

    Перезаписывает существующий файл CustomDCCloneAllowList.XML.

    -Path

    Путь папки для создания CustomDCCloneAllowList.XML.

  • DefaultDCCloneAllowList.xml. Этот файл по умолчанию присутствует в любом контроллере домена Windows Server 2012 в папке %windir%\system32. В нем перечислены службы и установленные программы, которые можно безопасно клонировать по умолчанию. Изменять расположение или содержимое этого файла нельзя, иначе клонирование будет невозможно.

  • CustomDCCloneAllowList.xml. Если на вашем исходном контроллере домена есть службы или установленные программы, которые не входят в список файла DefaultDCCloneAllowList.xml, их необходимо включить в этот файл. Чтобы найти службы или установленные программы, которые не перечислены в файле DefaultDCCloneAllowList.xml, запустите командлет Get-ADDCCloningExcludedApplicationList. Для создания XML-файла необходимо использовать аргумент -GenerateXml.

    Процесс клонирования по порядку проверяет следующие расположения и использует первый найденный XML-файл вне зависимости от содержимого других папок.

    1. Следующий раздел реестра:

      HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters
      AllowListFolder (REG_SZ)
      
    2. Рабочая папка DSA

    3. %systemroot%\NTDS

    4. Съемные носители с возможностью чтения и записи в порядке букв дисков; в корне диска

Поддерживаются следующие сценарии клонирования виртуального контроллера домена.

  • Развертывание клонированного контроллера домена путем создания копии файла виртуального жесткого диска (VHD) исходного контроллера домена.

  • Развертывание клонированного контроллера домена путем копирования виртуальной машины исходного контроллера домена с помощью семантики экспорта/импорта, предоставленной гипервизором.

System_CAPS_noteПримечание

Шаги, представленные в разделе Этапы развертывания клонированного виртуализованного контроллера домена, описывают копирование виртуальной машины с помощью функции экспорта/импорта Windows Server 2012 Hyper-V.

  • Для выполнения шагов в следующих процедурах вам необходимо быть членом группы "Администраторы домена" или иметь аналогичные предоставленные разрешения.

  • Команды Windows PowerShell, используемые в данном руководстве, необходимо выполнять из командной строки с повышенными привилегиями. Для этого щелкните правой кнопкой мыши значок Windows PowerShell и выберите Запуск от имени администратора.

  • Сервер Windows Server 2012 с установленной ролью сервера Hyper-V (HyperV1).

  • Второй сервер Windows Server 2012 с установленной ролью сервера Hyper-V (HyperV2).

    System_CAPS_noteПримечание
    • Если вы используете другой гипервизор, проконсультируйтесь с поставщиком гипервизора, чтобы узнать, поддерживает ли гипервизор ИД создания виртуальной машины. Если гипервизор не поддерживает ИД создания виртуальной машины и вы предоставили файл DCCloneConfig.xml, новая виртуальная машина загрузится в режиме восстановления службы каталогов (DSRM).

    • Чтобы повысить доступность служб AD DS, в данном руководстве рекомендуется (и даются соответствующие инструкции) использовать два разных узла Hyper-V, которые помогут предотвратить возможный сбой. Однако для клонирования виртуального контроллера домена не нужно иметь два узла Hyper-V.

    • Вы должны быть членом локальной группы администраторов на каждом сервере Hyper-V (HyperV1 и HyperV2).

    • Чтобы успешно импортировать и экспортировать файл VHD с помощью Hyper-V, присвойте виртуальным сетевым коммутаторам на обоих узлах Hyper-V одинаковые имена. Например, если имя виртуального сетевого коммутатора HyperV1 — VNet, виртуальный сетевой коммутатор на HyperV2 должен также называться VNet.

    • Если у двух узлов Hyper-V (HyperV1 и HyperV2) разные процессоры, выключите виртуальную машину (VirtualDC1), которую вы планируете экспортировать, щелкните правой кнопкой мыши виртуальную машину, щелкните Параметры, затем Процессор и в разделе Совместимость процессоров выберите Перенос на физический компьютер с другой версией процессора и щелкните ОК.

  • Развернутый контроллер домена Windows Server 2012 (виртуализованный или физический), который содержит роль эмулятора основного контроллера домена (DC1). Чтобы узнать, расположена ли роль эмулятора основного контроллера домена на контроллере домена Windows Server 2012, выполните команду Windows PowerShell:

    Get-ADComputer (Get-ADDomainController –Discover –Service "PrimaryDC").name –Property operatingsystemversion | fl
    

    Значение OperatingSystemVersion должно возвращаться как версия 6.2. При необходимости вы можете перенести роль эмулятора основного контроллера домена на контроллер домена под управлением Windows Server 2012. Дополнительные сведения см. в разделе Использование Ntdsutil.exe для переноса или изменения размера ролей FSMO в контроллере домена.

  • Развернутый гостевой виртуализованный контроллер домена Windows Server 2012 (VirtualDC1), который расположен в том же домене, что и контроллер домена, где находится роль эмулятора основного контроллера домена Windows Server 2012 (DC1). Это будет исходный контроллер домена, используемый для клонирования. Гостевой виртуальный контроллер домена будет расположен на сервере Windows Server 2012 Hyper-V (HyperV1).

    System_CAPS_noteПримечание
    • Для успешного клонирования исходный контроллер домена, используемый для создания клона, не может быть из контроллера домена, уровень разрешений которого был понижен с момента создания носителя исходного VHD.

    • Выключите исходный контроллер домена до копирования виртуальной машины или ее VHD.

    • Не следует клонировать VHD или восстанавливать снимок, который старше значения времени жизни отметки полного удаления (или значения времени жизни удаленного объекта, если включена корзина Active Directory). Если вы копируете VHD существующего контроллера домена, убедитесь, что файл VHD не старше, чем значение времени жизни отметки полного удаления (по умолчанию 60 дней). Не следует копировать VHD работающего контроллера домена для создания носителя клона.

    Извлеките любой виртуальный дисковод гибких дисков (VFD), который может присутствовать на исходном контроллере домена. Это может вызвать проблему общего доступа при попытке импорта новой виртуальной машины.

    Только контроллеры доменов Windows Server 2012, размещенные на гипервизоре с поддержкой ИД создания виртуальной машины, можно использовать в качестве источника для клонирования. Исходный контроллер домена Windows Server 2012, используемый для клонирования, должен находиться в работоспособном состоянии. Чтобы определить состояние исходного контроллера домена, выполните команду dcdiag. Чтобы лучше понять выходные данные, возвращаемые командой dcdiag, см. раздел Что делает DCDIAG?.

    Если исходный контроллер домена является DNS-сервером, клонированный контроллер домена также будет DNS-сервером. Следует выбрать DNS-сервер, который содержит только зоны, интегрированные с Active Directory.

    Параметры клиента службы DNS не клонируются, но их можно указать в файле DCCloneConfig.xml. Если они не указаны, клонированный контроллер домена будет указывать сам на себя как на основной DNS-сервер по умолчанию. У клонированного контроллера домена не будет делегирования DNS. Администратор родительской зоны DNS при необходимости должен обновить делегирование DNS для клонированного контроллера домена.

    System_CAPS_warningПредупреждение

    Меры безопасности виртуализации не распространяются на службы Active Directory облегченного доступа к каталогам (AD LDS). Поэтому не следует пытаться клонировать контроллер домена AD DS, который содержит экземпляр AD LDS, путем добавления этого экземпляра AD LDS в файл CustomDCCloneAllowList.xml. Так как служба AD LDS не поддерживает ИД создания виртуальной машины, клонирование контроллера домена с AD LDS может вызвать отклонения набора конфигурации этого AD LDS, вызванные откатом номера последовательного обновления.  

    Клонирование следующих ролей сервера не поддерживается.

    • Протокол DHCP

    • Службы сертификатов Active Directory (AD CS)

    • Службы Active Directory облегченного доступа к каталогам (AD LDS)

В ходе этой процедуры вы предоставляете исходному контроллеру домена разрешение на клонирование, с помощью центра администрирования Active Directory добавляя исходный контроллер домена в группу Клонируемые контроллеры домена.

Предоставление исходному виртуализованному контроллеру домена разрешения на клонирование

  1. На любом контроллере домена, который находится в том же домене, что и подготавливаемый к клонированию контроллер домена (VirtualDC1), откройте центр администрирования Active Directory (ADAC), найдите объект виртуализованного контроллера домена (контроллеры доменов обычно расположены в контейнере Domain Controllers центра администрирования Active Directory), щелкните его правой кнопкой мыши, выберите Добавить в группу и в разделе Введите имена выбираемых объектов введите Cloneable Domain Controllers, а затем нажмите ОК.

    Обновление членства в группе, выполненное на этом шаге, необходимо реплицировать в эмуляторе PDC до начала клонирования. Если группа Клонируемые контроллеры домена не найдена, возможно, роль эмулятора основного контроллера домена отсутствует в контроллере домена под управлением Windows Server 2012.

    System_CAPS_noteПримечание

    Чтобы открыть ADAC на контроллере домена Windows Server 2012, откройте Windows PowerShell и введите dsac.exe.

Логотип PowerShellЭквивалентные команды Windows PowerShell

Следующий командлет Windows PowerShell выполняет ту же функцию, что и предыдущая процедура.

Add-ADGroupMember –Identity "CN=Cloneable Domain Controllers,CN=Users, DC=Fabrikam,DC=Com" –Member "CN=VirtualDC1,OU=Domain Controllers,DC=Fabrikam,DC=com"

В этой процедуре запустите командлет Get-ADDCCloningExcludedApplicationList на исходном виртуализованном контроллере домена, чтобы выявить любые программы или службы, которые не включены в клонирование. Командлет Get-ADDCCloningExcludedApplicationList необходимо запустить до командлета New-ADDCCloneConfigFile, потому что если New-ADDCCloneConfigFile обнаружит исключенное приложение, он не создаст файл DCCloneConfig.xml.

Выявление приложений или служб, работающих на исходном контроллере домена и не включенных в клонирование

  1. На исходном контроллере домена (VirtualDC1) последовательно щелкните диспетчер серверов, Служебные программы и Модуль Active Directory для Windows PowerShell, а затем введите следующую команду.

    Get-ADDCCloningExcludedApplicationList
    
  2. Обсудите список возвращенных служб и установленных программ с поставщиком программного обеспечения, чтобы выяснить, можно ли их безопасно клонировать. Если приложения или службы в списке нельзя безопасно клонировать, их необходимо удалить с исходного контроллера домена, иначе при клонировании произойдет сбой.

  3. Для набора служб и установленных программ с возможностью безопасного клонирования снова запустите команду с параметром -GenerateXML, чтобы подготовить эти службы и программы в файле CustomDCCloneAllowList.xml.

    Get-ADDCCloningExcludedApplicationList -GenerateXml
    

Запустите New-ADDCCloneConfigFile на исходном контроллере домена и при необходимости укажите параметры конфигурации для клонированного контроллера домена, такие как имя, IP-адрес и распознаватель DNS.

Например, чтобы создать клонированный контроллер домена с именем VirtualDC2 и статическим адресом IPv4, введите следующее.

New-ADDCCloneConfigFile –Static -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.255.0" -CloneComputerName "VirtualDC2" -IPv4DefaultGateway "10.0.0.3" -SiteName "REDMOND"

System_CAPS_noteПримечание

Клонированный контроллер домена будет расположен на том же сайте, что и исходный, если другой сайт не указан в файле DCCloneConfig.xml. Рекомендуется указать подходящий сайт для контроллера домена в файле DCCloneConfig.xml на основе его IP-адреса.

Имя компьютера можно не задавать. Если вы не укажете его, уникальное имя будет присвоено на основании следующего алгоритма.

  • Префикс — первые 8 символов имени компьютера исходного контроллера домена. Например, имя исходного компьютера SourceComputer сокращается в префиксе до SourceCo.

  • К строке префикса добавляется уникальный суффикс имени в формате "-CLnnnn", где nnnn — следующее доступное значение диапазона 0001–9999, которое PDC определяет как свободное. Например, если "0047" является следующим доступным числом в разрешенном диапазоне, то вместе с префиксом имени компьютера из предыдущего примера SourceCo используемым для клона именем будет SourceCo-CL0047.

System_CAPS_noteПримечание

Для успешной работы командлета New-ADDCCloneConfigFile требуется сервер глобального каталога. Членство исходного контроллера домена в группе Клонируемые контроллеры домена должно быть отражено на сервере глобального каталога. Сервер глобального каталога не обязательно должен быть тем же контроллером домена, что и эмулятор основного контроллера домена, но лучше, чтобы они находились на одном объекте. Если сервер глобального каталога недоступен, произойдет сбой выполнения команды с ошибкой "Сервер неработоспособен". Дополнительные сведения см. в разделе Диагностика виртуализированного контроллера домена.

Чтобы создать клонированный контроллер домена с именем Clone1 и статическими параметрами IPv4, а также указать основной и дополнительный WINS-серверы, введите следующее.

New-ADDCCloneConfigFile –CloneComputerName "Clone1" –Static -IPv4Address "10.0.0.5" –IPv4DNSResolver "10.0.0.1" –IPv4SubnetMask "255.255.0.0" –PreferredWinsServer "10.0.0.1" –AlternateWinsServer "10.0.0.2"
System_CAPS_noteПримечание

Если вы указываете WINS-серверы, необходимо указать и -PreferredWINSServer, и -AlternateWINSServer. Если вы укажете только один из этих аргументов, клонирование завершится с кодом ошибки 0x80041005, который будет записан в dcpromo.log.

Чтобы создать клонированный контроллер домена с именем Clone2 и динамическими параметрами IPv4, введите следующее.

New-ADDCCloneConfigFile -CloneComputerName "Clone2" -IPv4DNSResolver "10.0.0.1" 
System_CAPS_noteПримечание

В этом случае в среде должен присутствовать DHCP-сервер, к которому клон может получить доступ и от которого может получить IP-адрес, а также другие сетевые параметры.

Чтобы создать клонированный контроллер домена с именем Clone2 и динамическими параметрами IPv4, а также указать основной и дополнительный WINS-серверы, введите следующее.

New-ADDCCloneConfigFile -CloneComputerName "Clone2" -IPv4DNSResolver "10.0.0.1" -SiteName "REDMOND" –PreferredWinsServer "10.0.0.1" –AlternateWinsServer "10.0.0.2"

Чтобы создать клонированный контроллер домена с динамическими параметрами IPv6, введите следующее.

New-ADDCCloneConfigFile -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" 

Чтобы создать клонированный контроллер домена со статическими параметрами IPv6, введите следующее.

New-ADDCCloneConfigFile –Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc"
System_CAPS_noteПримечание

В IPv6 единственной разницей между статическими и динамическими параметрами является включение переключателя -Static. Для включения переключателя -Static требуется указать как минимум один IPv6DNSResolver. Статический адрес IPv6 следует настраивать через автоматическую конфигурацию адреса без учета состояния (SLAAC) с префиксами, присвоенными маршрутизатором. В случае динамического IPv6 распознаватели DNS не являются обязательными, но ожидается, что у клона в подсети будет доступ к DHCP-серверу с включенным IPv6, чтобы получить адрес IPv6 и сведения о конфигурации DNS.

Если у вас есть несколько подготовленных для клонирования копий носителя исходного контроллера домена (то есть исходный контроллер домена авторизован на клонирование, командлет Get-ADDCCloningExcludedApplicationList выполнен и так далее) и вы хотите указать разные параметры для каждой копии носителя, можно выполнить New-ADDCCloneConfigFile в автономном режиме. Это эффективнее, чем готовить каждую виртуальную машину отдельно, например импортируя каждую копию.

В этом случае администраторы домена могут подключить автономный диск и использовать средства удаленного администрирования сервера, чтобы запустить командлет New-ADDCCloneConfigFile с аргументом -offline для добавления XML-файлов, что обеспечивает близкую к заводской автоматизацию благодаря новым параметрам Windows PowerShell, включенным в Windows Server 2012. Дополнительные сведения о том, как подключать автономный диск для запуска командлета New-ADDCCloneConfigFile в автономном режиме, см. в разделе Добавление XML в автономный системный диск.

Сначала необходимо запустить командлет локально на исходном контроллере домена, чтобы убедиться, что проверка необходимых компонентов выполнена успешно. Проверка необходимых компонентов не проводится в автономном режиме, так как командлеты могли бы быть запущены с машины, которая находится в другом домене, или присоединенного к домену компьютера. Запущенный локально командлет создаст файл DCCloneConfig.xml. Локально созданный DCCloneConfig.xml можно удалить, если вы планируете использовать далее автономный режим.

Чтобы создать клонированный контроллер домена с именем CloneDC1 в автономном режиме на сайте REDMOND и со статическим адресом IPv4, введите следующее.

New-ADDCCloneConfigFile –Offline –CloneComputerName CloneDC1 –SiteName REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" –Static –Path F:\Windows\NTDS 

Чтобы создать клонированный контроллер домена с именем Clone2 в автономном режиме со статическим адресом IPv4 и статическими параметрами IPv6, введите следующее.

New-ADDCCloneConfigFile –Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" –Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" –Path F:\Windows\NTDS 

Чтобы создать клонированный контроллер домена с именем Clone2 в автономном режиме со статическим IPv4 и динамическими параметрами IPv6, а также указать несколько DNS-серверов для параметров распознавателя DNS, введите следующее.

New-ADDCCloneConfigFile –Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @( "10.0.0.1","10.0.0.2" ) –Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" –Path F:\Windows\NTDS 

Чтобы создать клонированный контроллер домена с именем Clone1 в автономном режиме с динамическим адресом IPv4 и статическими параметрами IPv6, введите следующее.

New-ADDCCloneConfigFile –Offline -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName "REDMOND" –Path F:\Windows\NTDS 

Чтобы создать клонированный контроллер домена в автономном режиме с динамическим адресом IPv4 и динамическими параметрами IPv6, введите следующее.

New-ADDCCloneConfigFile –Offline -IPv4DNSResolver "10.0.0.1" -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" –Path F:\Windows\NTDS 

В этой процедуре необходимо экспортировать виртуальную машину исходного виртуализованного контроллера домена и затем импортировать виртуальную машину. В результате в вашем домене будет создан клонированный виртуализованный контроллер домена.

Вы должны быть членом локальной группы администраторов на каждом узле Hyper-V. Если для каждого сервера используются разные учетные данные, выполните командлеты Windows PowerShell, чтобы экспортировать и импортировать виртуальную машину в различных сеансах Windows PowerShell.

Если существуют снимки исходного контроллера домена, их необходимо удалить перед экспортом такого контроллера домена, так как виртуальная машина не будет импортирована, если параметры процессора снимка несовместимы с конечным узлом Hyper-V. Если параметры процессоров исходного и конечного узлов Hyper-V совместимы, вы можете экспортировать и копировать источник без предварительного удаления снимков. Тем не менее после импорта снимки необходимо удалить с клона виртуальной машины перед его запуском.

Копирование виртуального контроллера домена путем экспортирования и последующего импортирования виртуализованного исходного контроллера домена

  1. На HyperV1 выключите исходный контроллер домена (VirtualDC1).

    Логотип PowerShellЭквивалентные команды Windows PowerShell

    Stop-VM –Name VirtualDC1 –ComputerName HyperV1
    
  2. На HyperV1 удалите снимки, а затем экспортируйте исходный контроллер домена (VirtualDC1) в каталог c:\CloneDCs.

    System_CAPS_noteПримечание

    Необходимо удалить все связанные снимки, так как при каждом создании снимка создается новый AVHD-файл, который действует как диск сохранения разницы. Это создает цепной эффект. Если вы создали снимки и вставили файл DCCLoneConfig.xml в VHD, вы можете создать клон из более старой версии DIT или вставить файл конфигурации в неверный файл VHD. При удалении снимка все эти AVHD объединяются в основной VHD.

    Логотип PowerShellЭквивалентные команды Windows PowerShell

    Get-VMSnapshot VirtualDC1 | Remove-VMSnapshot –IncludeAllChildSnapshots
    Export-VM –Name VirtualDC1 –ComputerName HyperV1 -Path c:\CloneDCs\VirtualDC1
    
  3. Скопируйте папку virtualdc1 в каталог c:\Import на HyperV2.

  4. На HyperV2 с помощью диспетчера Hyper-V импортируйте виртуальную машину (используйте мастер импорта виртуальной машины в диспетчере Hyper-V) из папки c:\Import\virtualdc1 и удалите все связанные снимки.

    При импорте виртуальной машины используйте параметр Копировать виртуальную машину (создать новый уникальный идентификатор).

    Логотип PowerShellЭквивалентные команды Windows PowerShell

    $path = Get-ChildItem "C:\CloneDCs\VirtualDC1\VirtualDC1\Virtual Machines"
    $vm = Import-VM –Path $path.fullname –Copy -GenerateNewId
    Rename-VM $vm VirtualDC2
    
    

    Чтобы создать несколько клонированных контроллеров доменов из одного исходного, сделайте следующее.

    • Пользовательский интерфейс: в мастере импорта виртуальной машины укажите новые расположения для папки конфигурации виртуальной машины, хранилища снимков, папки Smart Paging и другое расположение для виртуальных жестких дисков виртуальной машины.

    • Windows PowerShell: укажите новые расположения для виртуальной машины с помощью следующих параметров для командлета Import-VM.

      $path = Get-ChildItem "C:\CloneDCs\VirtualDC1\VirtualDC1\Virtual Machines" 
      Import-VM –Path $path.fullname –Copy –GenerateNewId –ComputerName HyperV2 –VhdDestinationPath "path" –SnapshotFilePath "path" –SmartPagingFilePath "path" –VirtualMachinePath "path"
      
    System_CAPS_noteПримечание

    Рекомендуемый размер партии для одновременного создания нескольких клонированных контроллеров доменов — 10 штук. Максимальное количество ограничено максимальным числом исходящих подключений репликаций, которое по умолчанию составляет 16 для репликации распределенной файловой системы DFS и 10 для службы репликации файлов (FRS). Не следует развертывать больше рекомендованного числа клонированных контроллеров доменов одновременно, если только вы не протестировали тщательно такое количество в своей среде.

  5. На HyperV1 перезапустите исходный контроллер домена (VirtualDC1), чтобы снова подключить его.

    Логотип PowerShellЭквивалентные команды Windows PowerShell

    Start-VM –Name VirtualDC1 –ComputerName HyperV1
    
  6. На HyperV2 запустите виртуальную машину (VirtualDC2), чтобы подключить ее как клонированный контроллер домена.

    Логотип PowerShellЭквивалентные команды Windows PowerShell

    Start-VM –Name VirtualDC2 –ComputerName HyperV2
    
    System_CAPS_noteПримечание

    Для успешного клонирования должен работать эмулятор основного контроллера домена. Если он был выключен, убедитесь, что он запустился и выполнил начальную синхронизацию, а следовательно, осведомлен о своей роли эмулятора основного контроллера домена. Дополнительные сведения см. в статье базы знаний Майкрософт 305476.

    После завершения клонирования проверьте имя компьютера, чтобы убедиться, что клонирование прошло успешно. Убедитесь, что виртуальная машина не запустилась в режиме восстановления службы каталогов. Если при попытке войти в систему отображается сообщение о том, что серверы входа в систему недоступны, попробуйте войти в режиме восстановления службы каталогов. Если клонирование контроллера домена прошло неудачно и он загрузился в режиме восстановления службы каталогов, проверьте журналы в просмотре событий и журналы dcpromo в папке %systemroot%/debug.

Клонированный контроллер домена будет членом группы Клонируемые контроллеры домена, потому что копирует членство исходного контроллера домена. Мы рекомендуем оставить группу Клонируемые контроллеры домена пустой, пока вы не будете готовы к клонированию. Следует также удалить члены после завершения клонирования.

Если на исходном контроллере домена хранятся носители архивации, клонированный контроллер домена также будет содержать их. Вы можете выполнить wbadmin get versions, чтобы отобразить носители архивации на клонированном контроллере домена. Член группы администраторов домена должен удалить носители архивации на клонированном контроллере домена, чтобы предотвратить случайное восстановление с их помощью. Дополнительные сведения о том, как удалять архивацию состояния системы с помощью wbadmin.exe, см. в разделе Wbadmin delete systemstatebackup.

Если клонированный контроллер домена (VirtualDC2) запускается в режиме восстановления службы каталогов, при следующей загрузке он сам не возвращается в нормальный режим. Чтобы войти на контроллер домена, запущенный в режиме восстановления службы каталогов, используйте .\Administrator и укажите пароль DSRM.

Устраните причину ошибки клонирования и убедитесь, что в журнале dcpromo.log не указано, что повтор клонирования невозможен. Если повторное клонирование невозможно, безопасно извлеките носитель. Если повторное клонирование возможно, необходимо удалить флажок загрузки в режиме восстановления службы каталогов, чтобы попробовать клонировать заново.

  1. Откройте Windows Server 2012 из командной строки с повышенными привилегиями (щелкните правой кнопкой мыши Windows Server 2012 и выберите "Запуск от имени администратора") и введите msconfig.

  2. На вкладке Загрузка в разделе Параметры загрузки снимите флажок Безопасный режим (он уже выделен с параметром Исправление Active Directory включено).

  3. Щелкните ОК и выполните перезагрузку, когда система предложит это.

Дополнительные сведения об устранении неполадок виртуализированных контроллеров домена см. в разделе Диагностика виртуализированного контроллера домена.

Показ: