Jednym ze strategicznych celów realizowanych przez Microsoft w najnowszych produktach jest wirtualizacja wszystkiego, co jest możliwe, co jest naturalnym wymogiem całkowitej migracji do chmur. Specjalnie do tego, w nowych wersjach Hyper-V i Active Directory, które są częścią nowego systemu operacyjnego serwera Windows Server 2012, wprowadzono szereg istotnych ulepszeń i dodatków. Na przykład Microsoft informuje, że nawet bardzo obciążone serwery SQL można teraz uruchomić na maszynie wirtualnej Hyper-V. Ponadto Microsoft w końcu zdał sobie sprawę z możliwości tworzenia pełnoprawnych wirtualnych kontrolerów domeny.
Jeśli pamiętasz, w systemie Windows Server 2008 R2 istniały następujące elementy Problemy z wirtualizacją kontrolerów domeny Active Directory:
- Nie można utworzyć migawki wirtualnego kontrolera domeny (ściślej mówiąc, można utworzyć migawkę, ale nie ma to sensu)
- Wirtualnego kontrolera domeny nie można sklonować
- Niemożliwa również migracja online kontrolera V2V
- Odzyskiwanie wirtualnego kontrolera domeny za pomocą hiperwizora nie jest możliwe
- Klaster systemu Windows Server 2008 R2 wymaga fizycznego kontrolera domeny
Większość tych problemów związanych jest z działaniem mechanizmu. USN (aktualizuj numery sekwencyjne). Przypomnijmy krótko, jaki był haczyk. Numery USN służą do śledzenia aktualizacji między partnerami replikacji w lesie usługi Active Directory. Za pomocą numeru USN i identyfikatora połączenia dowolny kontroler domeny jednoznacznie określa, kiedy należy zaakceptować i zastosować zmiany w AD od partnerów replikacji, a kiedy przesłać ich zmiany. Korzystając z tego mechanizmu, zapewniona jest spójność i trafność bazy danych AD..
W takim przypadku, jeśli utworzymy migawkę wirtualnego kontrolera domeny, a następnie przywrócimy z niego serwer, otrzymamy kontroler domeny z nieaktualnym USN. W rezultacie zmiany na takim kontrolerze nie są replikowane na innych serwerach w lesie, ponieważ partnerzy replikacji uważają, że ich kopia bazy danych Active Directory jest aktualna. W sumie może to prowadzić do problemów z niedopasowaniem haseł, sprzecznych wartości atrybutów itp..
W systemie Windows Server 2012 kontrolery domeny można teraz zwirtualizować i współpracować z nimi tak, jak z każdą inną maszyną wirtualną (możesz wykonywać migawki, klonować kontrolery domeny itp.).
Ta funkcja jest oparta na nowej funkcji systemu Windows Server 2012 o nazwie VM-GenerationID. Ta funkcja jest obecnie obsługiwana tylko w hiperwizorze. Hyper v, ale Microsoft zaleca również, aby inni producenci platform wirtualizacyjnych zintegrowali tę funkcję (w szczególności VMware już zapowiedziało wsparcie technologiczne w następnej wersji VSphere).
Identyfikator generowania maszyny wirtualnej jest funkcją hiperwizora i jest generowany przez nią podczas klonowania i / lub tworzenia migawki kontrolera domeny. Identyfikator generacji maszyny wirtualnej jest unikalny 128-bitowy identyfikator, który jest dostępny dla aplikacji za pośrednictwem sterownika systemu Windows Server 2012. Kontroler domeny przechowuje wartość identyfikatora generacji maszyny wirtualnej w niereplikowanym atrybucie bazy Active Directory. Przed zastosowaniem zmian w bazie danych Active Directory kontroler domeny porównuje wartość identyfikatora VM-Generation w swojej bazie danych AD z wartością otrzymaną od hiperwizora za pośrednictwem sterownika systemu Windows Server 2012. Jeśli wartości są różne, parametry identyfikatora wywołania są resetowane, a identyfikator RID jest anulowany. W związku z tym kontroler domeny ustala, że migawka jest stosowana lub kontroler domeny jest klonowany, i aktualizuje swoją bazę zgodnie z innymi kontrolerami domeny AD.
Jak sklonować wirtualny kontroler domeny
Przygotowanie do klonowania DC
- Wymaga systemu Windows Server 2012 z rolą Hyper-V (prawdopodobnie w przyszłości inne hiperwizory będą obsługiwać VM-GenerationID)
- Zainstalowany kontroler domeny w systemie Windows Server 2012 (fizyczny lub wirtualny) z rolą PDC. Aby znaleźć serwer z rolą PDC, użyj polecenia:
Get-ADComputer (Get-ADDomainController -Discover -Service „PrimaryDC”) Nazwa -Property system operacyjnywersja | fl
- Wirtualny kontroler domeny z systemem Windows Server 2012 (nie PDC) wdrożony na serwerze Hyper-V systemu Windows Server 2012. To ten sam kontroler domeny ..., który sklonujemy (niech się nazywa VirtualDC1).
Aby kontroler domeny mógł zostać sklonowany, należy go dodać do grupy Klonowalne kontrolery domeny. Można to zrobić za pomocą konsoli Użytkownicy i komputery usługi Active Directory, panelu sterowania Centrum administracyjne usługi Active Directory lub polecenia PowerShell.
Polecenie PowerShell będzie wyglądać następująco:
Dodaj ADGroupMember -Identity „CN = klonowalne kontrolery domeny, CN = użytkownicy, DC = winitpro, DC = ru” -Member „CN = VirtualDC1, OU = kontrolery domeny, DC = winitpro, DC = ru”
Na źródłowym kontrolerze domeny (VirtualDC1) uruchom polecenie New-ADDCCloneConfigFile , za pomocą którego konfigurowany jest adres IP i nazwa nowego wirtualnego kontrolera domeny (klon). Niech tak będzie VirtualDC2.
Nowy-ADDCCloneConfigFile -Static -IPv4Address „10.2.2.2” -IPv4DNSResolver „10.2.2.1” -IPv4SubnetMask „255.255.0.0” -CloneComputerName „VirtualDC2” -IPv4DefaultGateway „10.2.0.1” -SiteName-Default First
Uwaga: w takim przypadku nowy kontroler domeny będzie znajdować się w tej samej witrynie. Więcej informacji na temat innych opcji klonowania można znaleźć w witrynie TechNet).
Następnie rozpoczynamy import maszyny wirtualnej z graficznego interfejsu graficznego Menedżera funkcji Hyper-V, wybierając opcję jako parametr Skopiuj maszynę wirtualną (utwórz nowy unikalny identyfikator).
Po zakończeniu importowania zmień nazwę maszyny wirtualnej na VirtualDC2 i uruchom ją. Po pobraniu rozpoczyna się procedura klonowania, a po kilku chwilach w sieci pojawia się nowy wirtualny kontroler domeny.
