Cloned virtualized domain controller(克隆虚拟化部署的域控制器)

Cloned virtualized domain controller(克隆虚拟化部署的域控制器)

在Windows Server 2012之前的版本中,在域控制器升级的过程中,添加额外的虚拟域控制器涉及到的数据复制方法有两种,分别是"复制"网络、使用IFM媒体。但如果数据库 (NTDS.DIT)本身比较大,这两种方法都需要大量时间来复制Active Directory(活动目录)数据库。

但在Windows Server 2012中,克隆虚拟域控制器就不再像以前那么费事了。Server 2012引入了全新的克隆功能,不仅加快了建立新的额外域控制器的过程,还节省了快速部署时配置域控制器的时间。

现在,当Windows Server 2012虚拟域控制器运行在Hyper-V及VMware的vSphere 上时,它会识别出这是一个虚拟化的平台,这点相比于运行在Windows Server 2008 R2或者更早版本上的虚拟域控制器来说,是一个相当显著的改进。

运行在虚拟化平台上的Windows Server 2012域控制器自带复制和安全恢复的功能,并且这些功能是不能被禁用的。

为了防止复制错误(旧对象),微软改良了Hyper-V虚拟机管理程序的代码,并加入了VM-Generation-ID功能,VM-Generation-ID (VMGID)功能可以让Windows Server 2012虚拟域控制器被安全、成功的复制。

一、安装注意事项

虚拟化域控制器不存在任何特殊的角色或功能安装;所有域控制器都将自动包含克隆和安全还原功能。无法删除或禁用这些功能。

使用 Windows Server 2012 域控制器要求 Windows Server 2012 AD DS 架构版本 56 或更高版本,以及与 Windows Server 2003 本机或更高版本相等的林功能级别。

可写和只读域控制器都支持虚拟化 DC 的所有方面,全局编录和 FSMO 角色也是如此。

克隆开始时,PDC 模拟器 FSMO 角色所有者必须处于联机状态。

二、平台要求

虚拟化域控制器克隆要求:

Windows Server 2012 DC 上托管的 PDC 模拟器 FSMO 角色

克隆操作期间 PDC 模拟器可用

克隆和安全还原都要求:

Windows Server 2012 虚拟化来宾

虚拟化主机平台支持 VM 生成 ID (VMGID)

三、虚拟化域控制器克隆

在该过程存在几个点,你可以在那时选择如何创建克隆的计算机以及如何添加 xml 文件;下面详细注明了这些步骤。此过程不可以其他方式更改。

下图说明了虚拟化域控制器克隆的过程,其中域已经存在。

步骤 1  验证虚拟机监控程序

通过查看供应商文档,确保源域控制器在支持的虚拟机监控程序上运行。虚拟化域控制器与虚拟机监控程序无关,且不需要 Hyper-v。

如果虚拟机监控程序是 Microsoft Hyper-V,请确保它在 Windows Server 2012 上运行。你可以使用设备管理对此进行验证

打开 Devmgmt.msc 并检查系统设备中的已安装 Microsoft Hyper-V 设备和驱动程序。虚拟化域控制器需要的特定系统设备是 Microsoft Hyper-V 生成计数器(驱动程序:vmgencounter.sys)

步骤 2  验证 PDCE FSMO 角色

在尝试克隆 DC 之前,你必须验证托管主域控制器模拟器 FSMO 的域控制器运行 Windows Server 2012。PDC 模拟器 (PDCE) 是必需的,原因有多种:

  • PDCE 将创建特殊的可克隆的域控制器组,并在域的根上设置其权限以允许域控制器克隆其自身。
  • 克隆域控制器将使用 DRSUAPI RPC 协议直接联系 PDCE,以便为克隆 DC 创建计算机对象。

使用 Dsa.msc 管理单元,右键单击域,然后单击操作主机。注意在 PDC 选项卡上命名的域控制器,然后关闭对话框。

右键单击该 DC 的计算机对象,再单击属性,然后验证操作系统信息。

步骤 3  授予源 DC 权限

添加权限以允许DC被克隆

把需要被复制的域控制器机器账号加入到Cloneable Domain Controllers组。

步骤 4  删除不兼容的应用程序或服务(此步骤可选)

在克隆之前,必须删除任何之前由 Get-ADDCCloningExcludedApplicationList 返回(且未添加到 CustomDCCloneAllowList.xml)的程序或服务。卸载应用程序或服务是建议的方法。

任何未卸载或添加到 CustomDCCloneAllowList.xml 的不兼容程序或服务都会阻止克隆。

使用 Get-AdComputerServiceAccount cmdlet 在域中查找任何独立的托管服务帐户 (MSA),并检查此计算机是否正在使用其中任何帐户。如果已安装任一 MSA,则使用 Uninstall-ADServiceAccount cmdlet 来删除本地已安装的服务帐户。完成第 6 步中使源域控制器脱机的操作后,在服务器重新联机时,你可以使用 Install-ADServiceAccount 重新添加 MSA。

在 Windows Server 2012 中,已将独立 MSA(在 Windows Server 2008 R2 中首次发布)替换为组 MSA。组 MSA 支持克隆。

检查当前的服务中不适用于克隆的服务

Get-ADDCCloningExcludedApplicationList

如果有,则排查该服务,并卸载该服务或生成排除文件

Get-ADDCCloningExcludedApplicationList -GenerateXML

未完待续……

时间: 2024-10-13 00:04:37

Cloned virtualized domain controller(克隆虚拟化部署的域控制器)的相关文章

Cloned virtualized domain controller(克隆虚拟化部署的域控制器)续……

Cloned virtualized domain controller(克隆虚拟化部署的域控制器)续-- 步骤 5  创建 DCCloneConfig.xml 克隆域控制器需要 DcCloneConfig.xml 文件.其内容允许你指定唯一的详细信息,如新的计算机名和 IP 地址. 除非你在源域控制器上安装应用程序或可能不兼容的 Windows 服务,否则 CustomDCCloneAllowList.xml 文件是可选的.这些文件需要精确地命名.设置格式和放置:否则,克隆将失败. 为此,你应

Exchange 2010系列部署报告-域控制器部署

1. 本次Exchange架构拓扑 2. 部署域控制器帐号及权限 帐号名称 帐号所需包含权限 Contoso\administrator Domain Amins Enterprise admins Schema Admins 3. 本次Exchange受支持的Active Directory环境 Exchange受支持的Active Directory环境,说的Active Directory 服务器指的是可写的全局编录服务器和可写的域控制器.不支持只读全局编录服务器和只读域控制器. 操作系统

Windows Server 2012 虚拟化实战:域

在Windows Server系统中,一些服务必需要构建在域的环境中,这不仅是为了统一验证和资源共享,同时也是为了网络安全.为构建虚拟化测试,我们需要先搭建域环境.之前先来大概了解一下域. 在使用工作组时,计算机是相对独立的,工作组仅是网络中计算机分类的一种方式,在不在一个工作组中,对网络资源的访问影响并不大.工作组好比允许自由进出的免费停车场,加入工作组,好比你可以停在A区,也可以停在B区,如果停在A区,就与A区的其他汽车形成一个松散的组合. 在使用Windows域(Domain)时则不同,域

Windows Server 2012 虚拟化测试:域

在Windows Server系统中,一些服务必需要构建在域的环境中,这不仅是为了统一验证和资源共享,同时也是为了网络安全.为构建虚拟化测试,我们需要先搭建域环境.之前先来了解一下域. 在使用工作组时,计算机是相对独立的,工作组仅是网络中计算机分类的一种方式,在不在一个工作组中,对网络资源的访问影响并不大.工作组好比允许自由进出的公共停车场,你可以停在A区,也可以停在B区.如果停在A区,就与A区的其他汽车形成一个松散的组合. 在使用Windows域(Domain)时则不同,域是经过严格组织的,计

Windows Server 2012如何部署Domain Controller

用过Windows Server2008 系统的运维师们,可能习惯于用dcpromo的方式部署Domain Controller,但是在WindowsServer2012操作系统已经把这种部署方式取消了,取而代之的是借助Windows Server-->Server Manager里的AD DS(ActiveDirectory Domain Service)这个服务来部署Domain Controller,说道这里,可能好多人都迫不及待的想问,如何部署呢? 详情如下: 安装Windows Ser

Windows Server 2008 如何部署Domain Controller

可能好多企业仍旧使用WindowsServer 2008的操作系统,那么怎么在这个版本的操作系统上部署Domain Controller呢? 今天给大家介绍一下用dcpromo的方式部署Domain Controller,具体步骤如下: 用Administrator运行cmd.exe,然后输入dcpromo,如下图所示: 回车后,会弹出Active Directory Domain Services Installation Wizard页面,点击 "Next",如下图所示: 在Dep

Windows Server 2012R2 部署 Domain Controller

1. Create a machine as Domain Controller; 2. Change DNS server address as 127.0.0.1; 3. Change Computer name and restart machine. 4. Open server manager Open "Add Roles and Features Wizard", select "Active Directory Domain Services". I

部署虚拟化域控制器(VDC)

实现VDC部署需求:1.物理机,虚拟机操作系统为Server2012, 2.林功能级别必需为2003纯模式或以上,3.部署VDC时PDC.DC.GC需在线且为2012或2012R2. 4 实现环境: 一台物理机上完成测试,操作系统是Server2012, 安装2台虚拟机,VM操作系统同样也是Server2012,一台DC,一台BDC. 执行步骤:A准备环境:1.验证 hypervisor 支持VM-Generation ID (硬件需支持,这个你自己清楚或到硬件供应商核实)2.创建XML文件并复

为什么Domain controller上的time synchronization非常重要?

虚拟机默认情况下所拥有的资源都是不同的, 比如说CPU clock. 在一个忙碌的系统中, 虚拟机甚至可能在很短的一段时间内被拒绝分配资源给它, 这种情况还可能发生在高系统负荷, VMotion, Backup的时候. 或者说虚拟机收到了超过它可以感知的CPU资源的量, 比如说操作系统认为它有1个2.4Ghz的CPU, 但事实上它运行在一个8 core的2.4Ghz的VMware的系统上. 这会导致称为"time drifting"的问题, 即虚拟机用来计算时间的'滴答'的时钟会运行的