Distribution och konfiguration av virtualiserad domänkontrollant

Det här avsnittet beskriver:

• Installationsöverväganden

  Detta omfattar plattformskrav och andra viktiga begränsningar.

• Kloning av virtualiserad domänkontrollant

  Detta förklarar i detalj hela kloningsprocessen för virtualiserade domänkontrollanter.

• Säker återställning av virtualiserad domänkontrollant

  Detta förklarar i detalj de valideringar som görs under en säker återställning av virtualiserad domänkontrollant.

Installationsöverväganden

Det finns ingen särskild roll eller funktionsinstallation för virtualiserade domänkontrollanter. alla domänkontrollanter innehåller automatiskt funktioner för kloning och säker återställning. Du kan inte ta bort eller inaktivera dessa funktioner.

Användning av Windows Server 2012-domänkontrollanter kräver ett Windows Server 2012 AD DS Schema version 56 eller senare och en skogsfunktionsnivå som är lika med Windows Server 2003 Native eller högre.

Både skrivbara och skrivskyddade domänkontrollanter stöder alla aspekter av virtualiserade domänkontrollanter, såsom globala kataloger och FSMO-roller.

Plattformskrav

Kloning av virtualiserad domänkontrollant kräver:

• PDC-emulatorns FSMO-roll som finns på en Windows Server 2012 DC

• PDC-emulator tillgänglig under kloningsåtgärder

Både kloning och säker återställning kräver:

• Virtualiserade Windows Server 2012-gäster

• Virtualiseringsvärdplattformen stöder VM-Generation-ID (VMGID)

Granska tabellen nedan för virtualiseringsprodukter och om de stöder virtualiserade domänkontrollanter och VM-Generation-ID.

Även om Microsoft har stöd för Windows 7 Virtual PC, Virtual PC 2007, Virtual PC 2004 och Virtual Server 2005 kan de inte köra 64-bitars gäster och de stöder inte heller VM-GenerationID.

Kontakta leverantören direkt om du vill ha hjälp med virtualiseringsprodukter från tredje part och deras supportposition med virtualiserade domänkontrollanter.

Mer information finns i Supportpolicy för Microsoft-programvara som körs i icke-Microsoft maskinvaruvirtualiseringsprogramvara.

Kritiska varningar

Virtualiserade domänkontrollanter stöder inte säker återställning av följande:

• VHD- och VHDX-filer kopieras manuellt över befintliga VHD-filer

• VHD- och VHDX-filer återställs med hjälp av säkerhetskopiering av filer eller full disksäkerhetskopiering

Ingen av dessa åtgärder omfattas av VM-GenerationID semantik och ändrar därför inte VM-Generation ID. Återställning av domänkontrollanter med dessa metoder kan antingen resultera i en USN-återställning och antingen placera domänkontrollanten i karantän eller införa kvardröjande objekt och behovet av skogsomfattande rensningsåtgärder.

Mer information om USN-bubblor och kvardröjande objekt finns i Felsöka Active Directory-åtgärder som misslyckas med fel 8606: "Otillräckliga attribut har angetts för att skapa ett objekt".

Kloning av virtualiserad domänkontrollant

Det finns ett antal steg och steg för att klona en virtualiserad domänkontrollant, oavsett om du använder grafiska verktyg eller Windows PowerShell. På hög nivå är de tre stegen:

Förbereda miljön

• Steg 1: Verifiera att hypervisor-programmet stöder VM-Generation-ID och därför kloning

• Steg 2: Kontrollera att PDC-emulatorrollen hanteras av en domänkontrollant som kör Windows Server 2012 och att den är online och kan nås av den klonade domänkontrollanten under kloningen.

Förbereda källdomänkontrollanten

• Steg 3: Auktorisera källdomänkontrollanten för kloning

• Steg 4: Ta bort inkompatibla tjänster eller program eller lägg till dem i filen CustomDCCloneAllowList.xml.

• Steg 5: Skapa DCCloneConfig.xml

• Steg 6: Koppla från källdomänkontrollanten

Skapa den klonade domänkontrollanten

• Steg 7: Kopiera eller exportera den virtuella källdatorn och lägg till XML om den inte redan har kopierats

• Steg 8: Skapa en ny virtuell dator från kopian

• Steg 9: Starta den nya virtuella datorn för att påbörja kloningen

Det finns inga procedurmässiga skillnader i åtgärden när du använder grafiska verktyg, till exempel Hyper-V-hanteringskonsolen eller kommandoradsverktyg som Windows PowerShell, så stegen visas bara en gång med båda gränssnitten. Det här avsnittet innehåller Windows PowerShell-exempel där du kan utforska automatisering från slutpunkt till slutpunkt för kloningsprocessen. de krävs inte för några steg. Det finns inget grafiskt hanteringsverktyg för virtualiserade domänkontrollanter som ingår i Windows Server 2012.

Det finns flera punkter i proceduren där du har alternativ för hur du skapar den klonade datorn och hur du lägger till XML-filerna. dessa steg anges i informationen nedan. Processen är annars oföränderlig.

Följande diagram illustrerar kloningsprocessen för virtualiserade domänkontrollanter, där domänen redan finns.

Steg 1 – Verifiera Hypervisor-programmet

Kontrollera att källdomänkontrollanten körs på ett hypervisor-program som stöds genom att läsa leverantörsdokumentationen. Virtualiserade domänkontrollanter är hypervisoroberoende och kräver inte Hyper-V.

Om hypervisor-programmet är Microsoft Hyper-V kontrollerar du att det körs på Windows Server 2012 . Du kan verifiera detta med enhetshantering

Öppna Devmgmt.msc och granska Systemenheter för installerade Microsoft Hyper-V-enheter och drivrutiner. Den specifika systemenhet som krävs för en virtualiserad domänkontrollant är Microsoft Hyper-V Generation Counter (drivrutin: vmgencounter.sys).

Steg 2 – Verifiera PDCE FSMO-rollen

Innan du försöker klona en domänkontrollant måste du verifiera att domänkontrollanten som är värd för den primära domänkontrollantens Emulator FSMO kör Windows Server 2012. PDC-emulatorn (PDCE) krävs av flera skäl:

1. PDCE skapar den särskilda gruppen Klonbara domänkontrollanter och anger dess behörighet i domänroten så att en domänkontrollant kan klona sig själv.

2. Domänkontrollanten som klonas kontaktar PDCE direkt med hjälp av DRSUAPI RPC-protokollet för att skapa datorobjekt för den klonade DC:n.

   Note

   Windows Server 2012 utökar det befintliga DRS-fjärrprotokollet (Directory Replication Service) (UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2) för att inkludera en ny RPC-metod IDL_DRSAddCloneDC (Opnum 28). Metoden IDL_DRSAddCloneDC skapar ett nytt domänkontrollantobjekt genom att kopiera attribut från ett befintligt domänkontrollantobjekt.

   Tillstånden för en domänkontrollant består av dator-, server-, NTDS-inställningar, FRS-, DFSR- och anslutningsobjekt som underhålls för varje domänkontrollant. När du duplicerar ett objekt ersätter den här RPC-metoden alla referenser till den ursprungliga domänkontrollanten med motsvarande objekt för den nya domänkontrollanten. Anroparen måste ha kontrollåtkomsträtten DS-Clone-Domain-Controller i domännamnkontexten.

   Användning av den här nya metoden kräver alltid direkt åtkomst till PDC-emulatorns domänkontrollant från anroparen.

   Eftersom den här RPC-metoden är ny kräver din nätverksanalysprogramvara uppdaterade parsers för att inkludera fält för den nya Opnum 28 i den befintliga UUID-E3514235-4B06-11D1-AB04-00C04FC2DCD2. Annars kan du inte analysera denna trafik.

   Mer information finns i 4.1.29 IDL_DRSAddCloneDC (Opnum 28).

Det innebär också att när du använder icke-fullständigt dirigerade nätverk kräver virtualiserad domänkontrollantkloning nätverkssegment med åtkomst till PDCE. Det är acceptabelt att flytta en klonad domänkontrollant till ett annat nätverk efter kloning – precis som en fysisk domänkontrollant – så länge du är noga med att uppdatera den logiska AD DS-platsinformationen.

Active Directory-metod för användare och datorer

1. Med snapin-modulen Dsa.msc högerklickar du på domänen och klickar på Operations Masters. Observera domänkontrollanten med namnet på fliken PDC och stäng dialogrutan.

2. Högerklicka på domänkontrollantens datorobjekt och klicka på Egenskaper och verifiera sedan operativsysteminformationen.

Windows PowerShell-metod

Du kan kombinera följande Cmdletar för Active Directory Windows PowerShell-modulen för att returnera versionen av PDC-emulatorn:

Get-adddomaincontroller
Get-adcomputer

Om domänen inte tillhandahålls förutsätter dessa cmdletar domänen för den dator där den körs.

Följande kommando returnerar PDCE- och operativsysteminformation:

get-adcomputer(Get-ADDomainController -Discover -Service "PrimaryDC").name -property * | format-list dnshostname,operatingsystem,operatingsystemversion

I det här exemplet nedan visas hur du anger domännamnet och filtrerar de returnerade egenskaperna före Windows PowerShell-pipelinen:

Steg 3 – Auktorisera en käll-DC

Källdomänkontrollanten måste ha kontrollåtkomsträttigheten (CAR) Tillåt en DC att skapa en klon av sig själv på domänens NC-huvud. Som standard har den välkända gruppen Klonbara domänkontrollanter den här behörigheten och innehåller inga medlemmar. PDCE skapar den här gruppen när FSMO-rollen överförs till en Windows Server 2012-domänkontrollant.

Active Directory Administrationscenter-metod

1. Starta Dsac.exe och navigera till käll-DC:n och öppna sedan dess detaljsida.

2. I avsnittet Medlem av lägger du till gruppen Klonbara domänkontrollanter för den domänen.

Windows PowerShell-metod

Du kan kombinera följande cmdlets i Active Directory Windows PowerShell-modulen get-adcomputer och add-adgroupmember för att lägga till en domänkontrollant i gruppen Klonbara domänkontrollanter:

Get-adcomputer <dc name> | %{add-adgroupmember "cloneable domain controllers" $_.samaccountname}

Detta lägger till exempel till servern DC1 i gruppen, utan att du behöver ange det unika namnet på gruppmedlemmen:

Återskapa standardbehörigheter

Om du tar bort den här behörigheten från domänhuvudet misslyckas kloningen. Du kan återskapa behörigheten med hjälp av Active Directory Administrationscenter eller Windows PowerShell.

Active Directory Administrationscenter-metod

1. Öppna Active Directory Administrationscenter, högerklicka på domänhuvudet, klicka på Egenskaper, klicka på fliken Tillägg , klicka på Säkerhet och klicka sedan på Avancerat. Klicka endast på det här objektet.

2. Klicka på Lägg till. Under Ange det objektnamn som ska väljas skriver du gruppnamnet Klonbara domänkontrollanter.

3. Under Behörigheter klickar du på Tillåt en domänkontrollant att skapa en klon av sig själv och klickar sedan på OK.

Windows PowerShell-metod

Använd följande kommandon i en administratörsupphöjt Windows PowerShell-konsolprompt. Dessa kommandon identifierar domännamnet och lägger till i standardbehörigheterna igen:

import-module activedirectory
cd ad:
$domainNC = get-addomain
$dcgroup = get-adgroup "Cloneable Domain Controllers"
$sid1 = (get-adgroup $dcgroup).sid
$acl = get-acl $domainNC
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid1,"ExtendedRight","Allow",$objectguid
$acl.AddAccessRule($ace1)
set-acl -aclobject $acl $domainNC
cd c:

Du kan också köra exempel FixVDCPermissions.ps1 i en Windows PowerShell-konsol, där konsolen startar som en upphöjd administratör på en domänkontrollant i den berörda domänen. Behörigheterna anges automatiskt. Exemplet finns i bilagan till den här modulen.

Steg 4 – Ta bort inkompatibla program eller tjänster (om de inte använder CustomDCCloneAllowList.xml)

Program eller tjänster som tidigare returnerats av Get-ADDCCloningExcludedApplicationList – och inte lagts till i CustomDCCloneAllowList.xml – måste tas bort före kloning. Att avinstallera programmet eller tjänsten är den rekommenderade metoden.

Använd cmdleten Get-AdComputerServiceAccount för att hitta eventuella fristående hanterade tjänstkonton (MSA) i domänen och om den här datorn använder någon av dem. Om någon MSA är installerad använder du cmdleten Uninstall-ADServiceAccount för att ta bort det lokalt installerade tjänstkontot. När du är klar med att koppla från källdomänkontrollanten i steg 6 kan du lägga till MSA igen med hjälp av Install-ADServiceAccount när servern är online igen. Mer information finns i Uninstall-ADServiceAccount.

Steg 5 – Skapa DCCloneConfig.xml

Den DcCloneConfig.xml filen krävs för kloning av domänkontrollanter. Innehållet gör att du kan ange unik information som det nya datornamnet och IP-adressen.

Den CustomDCCloneAllowList.xml filen är valfri om du inte installerar program eller potentiellt inkompatibla Windows-tjänster på källdomänkontrollanten. Filerna kräver exakt namngivning, formatering och placering. annars misslyckas kloningen.

Därför bör du alltid använda Windows PowerShell-cmdletarna för att skapa XML-filerna och placera dem på rätt plats.

Generera med New-ADDCCloneConfigFile

Active Directory Windows PowerShell-modulen innehåller en ny cmdlet i Windows Server 2012:

New-ADDCCloneConfigFile

Du kör cmdleten på den föreslagna källdomänkontrollanten som du tänker klona. Cmdleten stöder flera argument och testar alltid datorn och miljön där den körs om du inte anger argumentet -offline.

Tester som utförs när de körs i onlineläge:

• PDC-emulatorn är Windows Server 2012 eller senare

• Källdomänkontrollant är medlem i gruppen Klonbara domänkontrollanter

• Källdomänkontrollanten inkluderar inte några exkluderade program eller tjänster

• Källdomänkontrollanten innehåller inte redan en DcCloneConfig.xml på den angivna sökvägen

Steg 6 – Ta källdomänkontrollanten offline

Du kan inte kopiera en käll-DC som körs; den måste stängas av korrekt. Klona inte en domänkontrollant som stoppas av ett plötsligt strömavbrott.

Grafisk metod

Använd avstängningsknappen inom den körande domänkontrollanten eller avstängningsknappen i Hyper-V Manager.

Windows PowerShell-metod

Du kan stänga av en virtuell dator med någon av följande cmdletar:

Stop-computer
Stop-vm

Stop-computer är en cmdlet som stöder avstängning av datorer oavsett virtualisering och som motsvarar det äldre Shutdown.exe-verktyget. Stop-vm är en ny cmdlet i Windows Server 2012 Hyper-V Windows PowerShell-modulen och motsvarar energialternativen i Hyper-V Manager. Det senare är användbart i labbmiljöer där domänkontrollanten ofta arbetar i ett privat virtualiserat nätverk.

Steg 7 – Kopiera diskar

Ett administrativt val krävs i kopieringsfasen:

• Kopiera diskarna manuellt utan Hyper-V

• Exportera den virtuella datorn med hjälp av Hyper-V

• Exportera de sammanfogade diskarna med hjälp av Hyper-V

Alla en virtuell dators diskar måste kopieras, inte bara systemenheten. Om källdomänkontrollanten använder differentieringsdiskar och du planerar att flytta den klonade domänkontrollanten till en annan Hyper-V värd måste du exportera.

Du bör kopiera diskar manuellt om källdomänkontrollanten bara har en enhet. Export/import rekommenderas för virtuella datorer med mer än en enhet eller andra komplexa virtualiserade maskinvaruanpassningar som flera nätverkskort.

Om du kopierar filer manuellt tar du bort eventuella ögonblicksbilder före kopiering. Om du exporterar den virtuella datorn tar du bort ögonblicksbilder innan du exporterar eller tar bort dem från den nya virtuella datorn efter importen.

Kopiera diskar manuellt

Hyper-V Manager-metod

Använd snapin-modulen Hyper-V Manager för att avgöra vilka diskar som är associerade med källdomänkontrollanten. Använd alternativet Inspektera för att kontrollera om domänkontrollanten använder differentieringsdiskar (vilket kräver att du kopierar den överordnade disken också)

Om du vill ta bort ögonblicksbilder väljer du en virtuell dator och tar bort underträdet för ögonblicksbilder.

Du kan sedan kopiera VHD- eller VHDX-filerna manuellt med hjälp av Windows Utforskaren, Xcopy.exeeller Robocopy.exe. Inga särskilda steg krävs. Det är en bra idé att ändra filnamnen även om du flyttar till en annan mapp.

Windows PowerShell-metod

Använd Hyper-V-modulerna för att fastställa diskarna med Hjälp av Windows PowerShell:

Get-vmidecontroller
Get-vmscsicontroller
Get-vmfibrechannelhba
Get-vmharddiskdrive

Du kan till exempel returnera alla IDE-hårddiskar från en virtuell dator med namnet DC2 med följande exempel:

Om disksökvägen pekar på en AVHD- eller AVHDX-fil är det en ögonblicksbild. För att ta bort ögonblicksbilder som är associerade med en disk och sammanfoga med den verkliga virtuella hårddisken VHD eller VHDX, använd cmdlets:

Get-VMSnapshot
Remove-VMSnapshot

Om du till exempel vill ta bort alla ögonblicksbilder från en virtuell dator med namnet DC2-SOURCECLONE:

Om du vill kopiera filerna med Windows PowerShell använder du följande cmdlet:

Copy-Item

Kombinera med VM-cmdletar i pipelines för att underlätta automatisering. Pipelinen är en kanal som används mellan flera cmdletar för att skicka data. Om du till exempel vill kopiera enheten för en offline-källdomänkontrollant med namnet DC2-SOURCECLONE till en ny disk med namnet c:\temp\copy.vhd utan att behöva känna till den exakta sökvägen till systemenheten:

Get-VMIdeController dc2-sourceclone | Get-VMHardDiskDrive | select-Object {copy-item -path $_.path -destination c:\temp\copy.vhd}

Exportera den virtuella datorn

Som ett alternativ till att kopiera diskarna kan du exportera hela den Hyper-V virtuella datorn som en kopia. När du exporterar skapas automatiskt en mapp med namnet för den virtuella datorn och innehåller alla diskar och konfigurationsinformation.

Hyper-V Manager-metod

Så här exporterar du en virtuell dator med Hyper-V Manager:

1. Högerklicka på källdomänkontrollanten och klicka på Exportera.

2. Välj en befintlig mapp som exportcontainer.

3. Vänta tills kolumnen Status slutar visa Export.

Windows PowerShell-metod

Om du vill exportera en virtuell dator med hjälp av modulen Hyper-V Windows PowerShell använder du cmdlet:

Export-vm

Om du till exempel vill exportera en virtuell dator med namnet DC2-SOURCECLONE till en mapp med namnet C:\VM:

Exportera sammanfogade diskar med hjälp av Hyper-V

Det sista alternativet är att använda alternativen för sammanfogning och konvertering av diskar i Hyper-V. På så sätt kan du göra en kopia av en befintlig diskstruktur – även när du inkluderar AVHD-/AVHDX-filer för ögonblicksbilder – till en enda ny disk. Precis som i scenariot med manuell diskkopiering är detta främst avsett för enklare virtuella datorer som bara använder en enda enhet, till exempel C:\. Den enda fördelen är att det, till skillnad från att kopieras manuellt, inte kräver att du först tar bort ögonblicksbilder. Den här åtgärden är nödvändigtvis långsammare än att bara ta bort ögonblicksbilderna och kopiera diskar.

Hyper-V Manager-metod

Så här skapar du en sammanslagen disk med hjälp av Hyper-V Manager:

1. Klicka på Redigera disk.

2. Bläddra efter den lägsta underordnade disken. Om du till exempel använder en differensdisk är barndisken den lägsta barndisken. Om den virtuella datorn har en ögonblicksbild (eller flera) är den för närvarande valda ögonblicksbilden den lägsta underordnade disken.

3. Välj alternativet Slå samman för att skapa en enda disk av hela förälder-barn-strukturen.

4. Välj en ny virtuell hårddisk och ange en sökväg. Detta sammanfogar befintliga VHD/VHDX-filer till en enda ny bärbar enhet som inte riskerar att återställa tidigare ögonblicksbilder.

Windows PowerShell-metod

Om du vill skapa en sammanslagen disk från en komplex uppsättning moderdiskenheter med hjälp av Hyper-V Windows PowerShell-modulen, använder du cmdlet:

Convert-vm

Om du till exempel vill exportera hela kedjan av en virtuell dators disk-snapshots (den här gången utan att inkludera några differentieringsdiskar) och föräldradisk till en ny enskild disk med namnet DC4-CLONED.VHDX:

Lägga till XML på offlinesystemdisken

Om du kopierade Dccloneconfig.xml till den körande källsystemet måste du kopiera den uppdaterade dccloneconfig.xml-filen till den systemdisk som kopierades/exporterades offline nu. Beroende på installerade program som identifierades med Get-ADDCCloningExcludedApplicationList tidigare kan du också behöva kopiera CustomDCCloneAllowList.xml-filen till disken.

Följande platser kan innehålla filen DcCloneConfig.xml:

1. DSA-arbetskatalog

2. %windir%\NTDS

3. Flyttbara läs-/skrivmedier, i ordning efter enhetsbeteckning, i roten på enheten

De här sökvägarna kan inte konfigureras. När kloningen har börjat kontrollerar kloningen dessa platser i den specifika ordningen och använder den första DcCloneConfig.xml filen som hittas, oavsett innehållet i den andra mappen.

Följande platser kan innehålla filen CustomDCCloneAllowList.xml:

1. HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters

   AllowListFolder (REG_SZ)

2. DSA-arbetskatalog

3. %windir%\NTDS

4. Flyttbara läs-/skrivmedier, i ordning efter enhetsbeteckning, i roten på enheten

Du kan köra New-ADDCCloneConfigFile med argumentet -offline (även kallat offlineläge) för att skapa DcCloneConfig.xml-filen och placera den på rätt plats. I följande exempel visas hur du kör New-ADDCCloneConfigFile i offlineläge.

Om du vill skapa en klonad domänkontrollant med namnet CloneDC1 i offlineläge skriver du på en plats med namnet "REDMOND" med statisk IPv4-adress:

New-ADDCCloneConfigFile -Offline -CloneComputerName CloneDC1 -SiteName REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -Static -Path F:\Windows\NTDS

Om du vill skapa en klonad domänkontrollant med namnet Clone2 i offlineläge med statiska IPv4- och statiska IPv6-inställningar skriver du:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -Path F:\Windows\NTDS

Om du vill skapa en klonad domänkontrollant i offlineläge med statiska IPv4- och dynamiska IPv6-inställningar och ange flera DNS-servrar för DNS-matchningsinställningarna skriver du:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @( "10.0.0.1","10.0.0.2" ) -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Om du vill skapa en klonad domänkontrollant med namnet Clone1 i offlineläge med dynamiska IPv4- och statiska IPv6-inställningar skriver du:

New-ADDCCloneConfigFile -Offline -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName "REDMOND" -Path F:\Windows\NTDS

Om du vill skapa en klonad domänkontrollant i offlineläge med dynamiska IPv4- och dynamiska IPv6-inställningar skriver du:

New-ADDCCloneConfigFile -Offline -IPv4DNSResolver "10.0.0.1" -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Windows Explorer-metod

Windows Server 2012 erbjuder nu ett grafiskt alternativ för montering av VHD- och VHDX-filer. Detta kräver installation av funktionen Desktop-upplevelse på Windows Server 2012.

1. Klicka på den nyligen kopierade VHD/VHDX-filen som innehåller källdomänkontrollantens systemenhet eller mappen för DSA-arbetskatalogen och klicka sedan på Montera i menyn Diskbildverktyg.

2. På den nu monterade enheten kopierar du XML-filerna till en giltig plats. Du kan uppmanas att ange behörigheter till mappen.

3. Klicka på den monterade enheten och klicka på Mata ut i Diskverktyg-menyn.

Windows PowerShell-metod

Du kan också montera offlinedisken och kopiera XML-filen med hjälp av Windows PowerShell-cmdletarna:

mount-vhd
get-disk
get-partition
get-volume
Add-PartitionAccessPath
Copy-Item

På så sätt kan du fullständig kontroll över processen. Enheten kan till exempel monteras med en specifik enhetsbeteckning, filen kan kopieras och enheten kan demonteras.

mount-vhd <disk path> -passthru -nodriveletter | get-disk | get -partition | get-volume | get-partition | where {$_.partition number -eq 2} | Add-PartitionAccessPath -accesspath <drive letter>

copy-item <xml file path><destination path>\dccloneconfig.xml

dismount-vhd <disk path>

Till exempel:

Du kan också använda den nya cmdleten Mount-DiskImage för att montera en VHD-fil (eller ISO).

Steg 8 – Skapa den nya virtuella datorn

Det sista konfigurationssteget innan kloningsprocessen startas är att skapa en ny virtuell dator som använder diskarna från den kopierade källdomänkontrollanten. Beroende på vilket val som gjorts i kopieringsfasen har du två alternativ:

1. Associera en ny virtuell dator med den kopierade disken

2. Importera den exporterade virtuella datorn

Associera en ny virtuell dator med kopierade diskar

Om du kopierade systemdisken manuellt måste du skapa en ny virtuell dator med den kopierade disken. Hypervisor-programmet anger automatiskt VM-Generation ID när en ny virtuell dator skapas; inga konfigurationsändringar krävs på den virtuella datorn eller Hyper-V värd.

Hyper-V Manager-metod

1. Skapa en ny virtuell dator.

2. Ange den virtuella datorns namn, minne och nätverk.

3. På sidan Anslut virtuell hårddisk anger du den kopierade systemdisken.

4. Slutför guiden för att skapa den virtuella datorn.

Om det fanns flera diskar, nätverkskort eller andra anpassningar konfigurerar du dem innan du startar domänkontrollanten. Metoden "Export-import" för kopiering av diskar rekommenderas för komplexa virtuella maskiner.

Windows PowerShell-metod

Du kan använda modulen Hyper-V Windows PowerShell för att automatisera skapandet av virtuella datorer i Windows Server 2012 med hjälp av följande cmdlet:

New-VM

Här skapas till exempel den DC4-CLONEDFROMDC2 virtuella datorn med 1 GB RAM-minne, start från filen c:\vm\dc4-systemdrive-clonedfromdc2.vhd och med hjälp av det virtuella nätverket 10.0:

Importera VM

Om du tidigare exporterade den virtuella datorn måste du nu importera den igen som en kopia. Detta använder den exporterade XML:en för att återskapa datorn med hjälp av alla tidigare inställningar, enheter, nätverk och minnesinställningar.

Om du tänker skapa ytterligare kopior från samma exporterade virtuella dator gör du så många kopior av den exporterade virtuella datorn efter behov. Använd sedan Importera för varje kopia.

Hyper-V Manager-metod

Så här importerar du med snapin-modulen Hyper-V Manager:

1. Klicka på Importera virtuell dator

2. På sidan Leta upp mapp väljer du den exporterade VM-definitionsfilen med knappen Bläddra

3. På sidan Välj virtuell dator klickar du på källdatorn.

4. På sidan Välj importtyp klickar du på Kopiera den virtuella datorn (skapa ett nytt unikt ID)och klickar sedan på Slutför.

5. Byt namn på den importerade virtuella datorn om den importeras på samma Hyper-V värd. den har samma namn som den exporterade källdomänkontrollanten.

Kom ihåg att ta bort alla importerade ögonblicksbilder med snapin-modulen Hyper-V Management:

Windows PowerShell-metod

Du kan använda modulen Hyper-V Windows PowerShell för att automatisera vm-import i Windows Server 2012 med hjälp av följande cmdletar:

Import-VM
Rename-VM

Här importeras till exempel den exporterade virtuella datorn DC2-CLONED med hjälp av den automatiskt fastställda XML-filen och byter sedan namn direkt till det nya vm-namnet DC5-CLONEDFROMDC2:

Kom ihåg att ta bort alla importerade ögonblicksbilder med hjälp av följande cmdletar:

Get-VMSnapshot
Remove-VMSnapshot

Till exempel:

Steg 9 – Klona den nya virtuella datorn

Du kan också starta om domänkontrollanten för offlinekloningskällan innan du börjar klona. Kontrollera att PDC-emulatorn är online, oavsett.

Starta den nya virtuella datorn för att börja klona. Processen initieras automatiskt och domänkontrollanten startas om automatiskt när kloningen är klar.

Om du använder Windows PowerShell för att starta en virtuell dator är den nya cmdleten Hyper-V Module:

Start-VM

Till exempel:

När datorn har startats om när kloningen har slutförts är det en domänkontrollant och du kan logga in normalt för att bekräfta normal drift. Om det uppstår fel är servern inställd på att starta i återställningsläget för Katalogtjänster för undersökning.

Virtualiseringsskydd

Till skillnad från virtualiserad kloning av domänkontrollanter har Virtualiseringsskydd för Windows Server 2012 inga konfigurationssteg. Funktionen fungerar utan ingripande så länge du uppfyller några enkla villkor:

• Hypervisor-programmet stöder VM-Generation-ID

• Det finns en giltig partnerdomänkontrollant som en återställd domänkontrollant kan replikera ändringar från på ett icke-auktoritativt sätt.

Verifiera Hypervisor-programmet

Kontrollera att källdomänkontrollanten körs på ett hypervisor-program som stöds genom att läsa leverantörsdokumentationen. Virtualiserade domänkontrollanter är hypervisoroberoende och kräver inte Hyper-V.

Läs avsnittet plattformskrav i föregående avsnitt om kända VM-Generation ID-stöd.

Om du migrerar virtuella datorer från en källhypervisor till en annan målhypervisor kan virtualiseringsskydd utlösas eller inte beroende på om hypervisor-objekten stöder VM-Generation ID, enligt beskrivningen i följande tabell.

Verifiera replikeringstopologin

Virtualiseringsskydd initierar icke-auktoritativ inkommande replikering för delta av Active Directory-replikering samt icke-auktoritativ omsynkronisering av allt SYSVOL-innehåll. Detta säkerställer att domänkontrollanten returnerar från en ögonblicksbild med fullständig funktionalitet och så småningom är konsekvent med resten av miljön.

Med den här nya funktionen kommer flera krav och begränsningar:

• En återställd domänkontrollant måste kunna kontakta en skrivbar domänkontrollant

• Alla domänkontrollanter i en domän får inte återställas samtidigt

• Alla ändringar som kommer från en återställd domänkontrollant som ännu inte har replikerats utgående sedan ögonblicksbilden togs går förlorade för alltid

Även om felsökningsavsnittet beskriver dessa scenarier, finns detaljerna nedan för att säkerställa att du inte skapar en topologi som kan orsaka problem.

Tillgänglighet för skrivbar domänkontrollant

Om den återställs måste en domänkontrollant ha en funktionell anslutning till en skriven domänkontrollant. En skrivskyddad domänkontrollant kan inte skicka ändringslistan. Topologin är förmodligen korrekt för detta redan, eftersom en skrivbar domänkontrollant alltid behövde en skrivbar partner. Men om alla skrivbara domänkontrollanter återställs samtidigt kan ingen av dem hitta en giltig källa. Detsamma gäller om de skrivbara domänkontrollanterna är offline för underhåll eller på annat sätt inte kan nås via nätverket.

Samtidig återställning

Återställ inte alla domänkontrollanter i en enda domän samtidigt. Om alla ögonblicksbilder återställs samtidigt fungerar Active Directory-replikering normalt men SYSVOL-replikeringen stoppas. Återställningsarkitekturen för FRS och DFSR kräver att replikinstansen ställs in på icke-auktoritativt synkroniseringsläge. Om alla domänkontrollanter återställs samtidigt och varje domänkontrollant markerar sig själv som icke-auktoritativ för SYSVOL, kommer de alla att försöka synkronisera grupprinciper och skript från en auktoritativ partner. Vid den tidpunkten är dock alla partner också icke-auktoritativa.

Replikering efter ögonblicksbild

Återställ inte ögonblicksbilder förrän alla lokalt påbörjade ändringar som gjorts sedan ögonblicksbilden skapades har replikerats utgående. Alla ursprungliga ändringar går förlorade för alltid om andra domänkontrollanter inte redan har tagit emot dem via replikering.

Använd Repadmin.exe för att visa eventuella icke-replikerade utgående ändringar mellan en domänkontrollant och dess partner:

1. Returnera domänkontrollantens partnernamn och DSA-objekt-GUID:er med följande:

   Repadmin.exe /showrepl <DC Name of the partner> /repsto
   

2. Återställ väntande inkommande replikering från partnerdomänkontrollanten till den domänkontrollant som ska återställas.

   Repadmin.exe /showchanges < Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare>
   

Du kan också bara se antalet icke-replikerade ändringar:

Repadmin.exe /showchanges <Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare> /statistics

Till exempel (med utdata som ändrats för läsbarhet och viktiga poster kursiv) här tittar du på replikeringspartnerskapen för DC4:

C:\>repadmin.exe /showrepl dc4.corp.contoso.com /repsto

Default-First-Site-Name\DC4
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 5d083398-4bd3-48a4-a80d-fb2ebafb984f
DSA invocationID: 730fafec-b6d4-4911-88f2-5b64e48fc2f1

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

DC=corp,DC=contoso,DC=com
    Default-First-Site-Name\DC3 via RPC
        DSA object GUID: f62978a8-fcf7-40b5-ac00-40aa9c4f5ad3
        Last attempt @ 2011-11-11 15:04:12 was successful.
    Default-First-Site-Name\DC2 via RPC
        DSA object GUID: 3019137e-d223-4b62-baaa-e241a0c46a11
        Last attempt @ 2011-11-11 15:04:15 was successful.

Nu vet du att den replikeras med DC2 och DC3. Sedan visar du listan över ändringar som DC2 anger att den fortfarande inte har från DC4 och ser att det finns en ny grupp:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com

==== SOURCE DSA: (null) ====
Objects returned: 1
(0) add CN=newgroup4,CN=Users,DC=corp,DC=contoso,DC=com
    1> parentGUID: 55fc995a-04f4-4774-b076-d6a48ac1af99
    1> objectGUID: 96b848a2-df1d-433c-a645-956cfbf44086
    2> objectClass: top; group
    1> instanceType: 0x4 = ( WRITE )
    1> whenCreated: 11/11/2011 3:03:57 PM Eastern Standard Time

Du skulle också testa den andra partnern för att säkerställa att den inte redan har replikerats.

Om du inte brydde dig om vilka objekt som inte hade replikerats och bara brydde dig om att några objekt var utestående kan du använda alternativet /statistics :

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com /statistics

***********************************************
********* Grand total *************************
Packets:              1
Objects:              1Object Additions:     1Object Modifications: 0Object Deletions:     0Object Moves:         0Attributes:           12Values:               13

Windows PowerShell-cmdletar för ögonblicksbild

Följande Cmdletar för Windows PowerShell-Hyper-V-modulen tillhandahåller funktioner för ögonblicksbilder i Windows Server 2012:

Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot