Bedingungen für V-Domänencontroller
Mit Windows Server 2012 R2 hat Microsoft den Betrieb von virtuellen Domänencontrollern optimiert. Im Gegensatz zu den Vorgängerversionen stellen Snapshots und geklonte Domänencontroller keine Gefahr mehr für das komplette Active Directory dar, auch wenn hier noch Optimierungsbedarf besteht, wie die Neuerungen in Windows Server 2016 zeigen.
Damit Sie Domänencontroller optimal virtualisieren und auch klonen können, müssen mindestens folgende Bedingungen erfüllt sein:
• Der PDC-Emulator muss sich auf einem Domänencontroller mit Windows Server 2012/2012 R2 befinden.
• Den PDC-Emulator können Sie nicht klonen, er muss während des Klonvorgangs immer verfügbar sein.
• Die Domäne muss bereits über mindestens zwei Domänencontroller mit Windows Server 2012/2012 R2 verfügen, da Sie nur den zweiten klonen können. Der erste stellt den PDC-Emulator zur Verfügung.
• Die Virtualisierungslösung muss diese neue Technik unterstützen (VM-Generation ID). Aktuell ist das vor allem Windows Server 2012/2012 R2. Wollen Sie mit anderen Lösungen virtualisieren, überprüfen Sie, ob die Generation-ID unterstützt wird.
Ob die von Ihnen eingesetzte Virtualisierungslösung die neue VM-Generation ID unterstützt, erkennen Sie im Gerätemanager eines virtualisierten Servers mit Windows Server 2012 R2. Bei den Systemgeräten muss der Treiber Microsoft-Hyper-V-Generierungszähler (Microsoft Hyper-V Generation Counter) mit der Treiberdatei vmgencounter.sys existieren.
Hyper-V-Netzwerke für virtuelle Domänencontroller planen
Bei Leistungsproblemen von virtuellen Servern unter Hyper-V ist das Problem oft die langsame Kommunikation mit dem Netzwerk. Die Verbindung zwischen virtuellen Servern und dem Netzwerk führt Hyper-V über einen virtuellen Netzwerk-Switch durch. Da sich die virtuellen Server die physischen Netzwerkkarten teilen müssen, besteht einiges an Optimierungspotenzial, vor allem wenn es um virtuelle Domänencontroller geht.
Microsoft empfiehlt, einen eigenen Netzwerkadapter auf jedem Hyper-V-Host für die Verwaltung des Servers selbst zu verwenden. Unternehmen sollten also den Netzwerkverkehr des Hyper-V-Hosts selbst vom Netzwerkverkehr der virtuellen Maschinen trennen. Natürlich gilt das genauso bei der Virtualisierung über VMware. Virtuelle Server, die nur wenig Netzwerkbandbreite benötigen, können Sie mit mehreren virtuellen Netzwerken zusammenfassen, bandbreitenintensive Anwendungen hingegen sollten dedizierte Netzwerkkarten oder eigene externe Netzwerke erhalten.
Hyper-V unterstützt auch die Verwendung von VLANs bei Netzwerk-Switches. Bei VLANs lassen sich Datenströme voneinander trennen, um die Sicherheit und die Leistung zu erhöhen. Dadurch lässt sich zum Beispiel der Netzwerkverkehr für die Verwaltung des Hyper-V-Hosts vom Netzwerkverkehr der virtuellen Domänencontroller trennen. In den Eigenschaften von Netzwerkkarten der Hyper-V-Hosts müssen Sie dazu in den erweiterten Einstellungen festlegen, mit welcher VLAN-ID im Netzwerk die Karte kommunizieren soll. Anschließend muss im Hyper-V-Manager die Netzwerkverbindung ausgewählt und ebenfalls die VLAN-ID eingegeben werden. Auch hier geben Sie die entsprechende VLAN-ID vor.
Eine wichtige Einstellung von Hyper-V in Windows Server 2012 R2 ist E/A-Virtualisierung mit Einzelstamm. Diese Einstellung nehmen Sie in den Eigenschaften von virtuellen Servern vor. Netzwerkkarten, die diese Funktion unterstützen, stellen für virtualisierte Umgebungen implementierte E/A-Kanäle zur Verfügung, mit denen sich die Karte gegenüber virtualisierten Servern wie eine Gruppe von Netzwerkkarten verhält. SR-IOV ist vor allem bei E/A-intensiven Anwendungen interessant, also durchaus auch für Domänencontroller.
Snapshots, Datenträger und Dynamic Memory nutzen
Windows Server 2012 R2 unterstützt die Verwendung von dynamischen Arbeitsspeichern bei der Virtualisierung. Weisen Sie für häufig verwendete Domänencontroller aber besser einen festen Arbeitsspeicher zu. Sie sollten für virtuelle Domänencontroller möglichst keine Snapshots erstellen. Von den Snapshots wird auch die Datenbank von Active Directory erfasst. Setzen Sie einen Snapshot zurück, kann es zu maßgeblichen Problemen in Active Directory kommen. Zwar gibt es in Windows Server 2012 R2 Mechanismen, auf die wir noch zu sprechen kommen, dennoch ist die Verwendung von Snapshots für Domänencontroller immer ein Risiko. Besser wird das erst mit Windows Server 2016.
Das liegt daran, dass in Active Directory alle Objekte eine bestimmte Nummer besitzen, die Update Sequence Number (USN). Jeder Domänencontroller hat eine eigene Liste dieser USNs und befindet sich auch in dieser Liste. Setzen Sie einen Snapshot zurück, ändern sich die USNs zahlreicher Objekte, was mit hoher Wahrscheinlichkeit zu Inkonsistenzen führt. So besteht zum Beispiel die Gefahr, dass Objekte identische USNs erhalten. In jedem Fall aber trennen die anderen Domänencontroller den wiederhergestellten Domänencontroller vom Netzwerk.
Windows Server 2012 R2 erkennt normalerweise ein Zurücksetzen mit einem Snapshot und kann die fehlenden Daten zwischen lokaler Active-Directory-Datenbank und der Datenbank von anderen Domänencontrollern replizieren. Sie müssen bei diesen Vorgängen nichts beachten, sondern können beliebige Snapshots erstellen und diese wieder zurücksetzen, wenn das notwendig ist.
Dazu erhält, neben jeder Transaktion in Active Directory (USN), auch jede Active-Directory-Datenbank selbst eine ID, InvocationID genannt. Zusammen mit der USN einer Transaktion und der InvocationID der Active-Directory-Datenbank auf dem jeweiligen Domänencontroller, ergibt das eine eindeutige Nummerierung aller Transaktionen in Active Directory. Diese Nummerierung kann daher in Windows Server 2008 R2 zu Problemen führen, wenn Sie einen Domänencontroller zurücksetzen. Bei diesem Vorgang ändert sich seine InvocationID nicht. Windows Server 2012 R2 kann damit aber umgehen.
Integrationsdienste und Zeitsynchronisierung beachten
Virtualisieren Sie Domänencontroller, müssen Sie bei der Zeitsynchronisierung in der entsprechenden Virtualisierungslösung eventuell ebenfalls Konfigurationen vornehmen. Vor allem, wenn Sie Active-Directory-abhängige Server wie Domänencontroller, Exchange, SharePoint oder SQL-Server virtualisieren, sind Konfigurationsmaßnahmen notwendig. Auf jedem virtuellen Computer installiert Hyper-V zum Beispiel automatisch die Integrationsdienste. Dabei handelt es sich um ein Softwarepaket, das die Leistung virtueller Server deutlich verbessert. Das gilt auch für VMware und die meisten anderen Virtualisierungslösungen.
Rufen Sie dazu für Server die Einstellungen auf und klicken auf Integrationsdienste. Hier können Sie einstellen, ob sich die virtuellen Server mit dem Host für den Zeitabgleich synchronisieren sollen. Für virtuelle Windows-Server in Active-Directory-Domänen sollten Sie diese Synchronisierung immer deaktivieren, da durch die Zeitsynchronisierung Inkonsistenzen auftreten können. Da die Server Mitglied einer Domäne sind, synchronisieren diese die Zeit mit einem Domänencontroller, genauer gesagt dem Domänencontroller mit der PDC-Masterrolle. Bei verschachtelten Domänenstrukturen synchronisieren die PDC-Master der einzelnen Domänen ihre Zeit mit dem jeweils übergeordneten PDC-Master von übergeordneten Domänencontrollern. Der PDC-Master der obersten Domäne muss entweder mit einer Funkuhr synchronisiert werden oder seine Zeit aus dem Internet holen.
Startverhalten von virtuellen Domänencontrollern festlegen
In den Einstellungen von virtuellen Maschinen können Sie auch festlegen, wie sich der virtuelle Server beim automatischen Starten oder Stoppen verhalten soll. Über dieses Verhalten legen Sie fest, wie sich virtuelle Server verhalten sollen, wenn der Hyper-V-Host neu startet oder herunterfährt. Bei der Virtualisierung über VMware haben Sie auch die Möglichkeit, die Reihenfolge des Serverstarts vorzugeben. Hier bietet es sich an, die virtuellen Domänencontroller vor den restlichen Servern starten zu lassen, vor allem wenn die Anwendungsserver auf AD zur Authentifizierung zugreifen müssen.
Microsoft empfiehlt, in Hyper-V als Einstellung für Automatische Stoppaktion die Option Gastbetriebssystem herunterzufahren. Zur Speicherung des Zustandes rät Microsoft nicht, da dadurch die Synchronisierung der Server gestört wird. Das Herunterfahren ist die optimale Einstellung, wenn der Host neu gestartet werden muss.
Beim Herunterfahren schließt Active Directory alle noch offenen Synchronisierungsvorgänge ab, sodass beim erneuten Start keine Inkonsistenzen durch veraltete Daten entstehen können. Als automatische Startaktion empfiehlt Microsoft entweder keine Aktion oder die Einstellung, dass der Server neu starten soll, wenn er beim Herunterfahren gestartet war.
Domänencontroller virtualisieren
Mit Windows Server 2012 R2 haben Sie die Möglichkeit, einen virtuellen Domänencontroller zu installieren, ihn mit Sysprep vorzubereiten und dieses Image für das Klonen von virtuellen Servern zu verwenden. Um einen Domänencontroller zu klonen, ist die Datei DCCloneConfig.xml wichtig. Diese muss sich im Ordner mit der Active-Directory-Datenbank befinden (standardmäßig C:\Windows\NTDS).
Kopieren Sie die virtuelle Festplatte des virtuellen Domänencontrollers oder exportieren und importieren Sie den virtuellen Server zu einem neuen Server, dann erkennt Windows Server 2012 R2 dies. Das Betriebssystem stuft den neuen Server automatisch zum Domänencontroller, erstellt eine neue lokale Active-Directory-Datenbank und verwendet als Replikationsquelle die geklonte lokale Datenbank. Nach der erfolgreichen Heraufstufung repliziert sich der neue Domänencontroller dann ganz normal mit den anderen Domänencontrollern. Sie können mit diesem Klonvorgang Domänencontroller auch in neue Domänen, Strukturen oder Gesamtstrukturen installieren.
Installieren Sie einen Domänencontroller mit Windows Server 2012 R2 auf einem Hyper-V-Host mit Windows Server 2012 R2, erstellt der Server eine eindeutige VM-Generation-ID und speichert diese im Computerobjekt des Domänencontrollers in Active Directory. Auf diesem Weg kann Active Directory erkennen, welcher Domänencontroller virtuell betrieben wird und wie dessen ID lautet. Setzen Sie einen Snapshot auf einem Windows-Server-2012-R2-Domänencontroller zurück, erkennt Active Directory das. Allerdings muss der Hypervisor diese Funktion auch unterstützen. Das kann aktuell nur Hyper-V 3.0 in Windows Server 2012 R2.
Bereitstellung virtueller Domänencontroller vorbereiten
Um einen virtuellen Domänencontroller zu klonen, müssen Sie für den Server eine Datei DCCloneConfig.xml erstellen. Diese Datei können Sie auf Basis einer Vorlage bauen und an Ihre eigenen Bedürfnisse anpassen.
Bevor Sie einen virtuellen Domänencontroller klonen, müssen Sie auf dem Server das Cmdlet Get-ADDCCloningExcludedApplicationList ausführen. Das Cmdlet überprüft, ob es auf dem virtuellen Server Anwendungen gibt, die das Klonen nicht unterstützen.
Entdeckt das Cmdlet nicht-kompatible Dienste, erhalten Sie entsprechende Informationen. In diesem Fall müssen Sie den entsprechenden Dienst erst vom Server entfernen. Eine Liste der Anwendungen und Dienste, die das Klonen unterstützen, finden Sie in der Datei c:\windows\system32\DefaultDCCloneAllowList.XML auf dem virtuellen Domänencontroller. Die Konfiguration für das Klonen nehmen Sie später in der Datei DCCloneConfig.xml vor. Die Beispieldatei SampleDCCloneConfig.xml finden Sie im Ordner C:\Windows\System32.
In der XML-Datei pflegen Sie in den verschiedenen Bereichen die IP-Adresse des neuen Servers sowie die Subnetzmaske, das Standard-Gateway und die DNS-Server, die der neue Server zur Namensauflösung verwenden soll. Sie legen hier auch den neuen Namen des Domänencontrollers fest. Visual Studio 2012 Express verfügt bereits über integrierte Vorlagen für das Klonen von Domänencontroller. Diese laden Sie über ein neues Projekt und mit der Auswahl von Tools/Settings/Expert Settings/vdc cloning xml.
Nachdem Sie die Datei DCCloneConfig.xml erstellt haben, kopieren Sie diese in den Ordner mit der Active-Directory-Datenbank, also normalerweise in den Ordner C:\Windows\NTDS. Sie können nur Quelldomänencontroller klonen, die Mitglied der Gruppe Klonbare Domänencontroller in Active Directory sind. Nehmen Sie Domänencontroller dazu am besten im Snap-In Active-Directory-Benutzer und -Computer auf der Registerkarte Mitglied von in dieser Gruppe auf.
Sie können nur Domänencontroller klonen, die nicht eingeschaltet sind. Das heißt, Sie müssen den entsprechenden Domänencontroller herunterfahren, bevor Sie ihn klonen können.
Um die Festplatten eines virtuellen Domänencontrollers zu kopieren, den Sie klonen wollen, haben Sie zwei Möglichkeiten. Sie können entweder die Festplatten mit dem Explorer kopieren und in einen neuen Server einbinden, oder Sie exportieren den virtuellen Computer. Bevor Sie einen virtuellen Domänencontroller exportieren oder dessen virtuelle Festplatten kopieren, löschen Sie zuvor alle Snapshots. Sie können nach dem Vorgang wieder Snapshots für den neuen Domänencontroller und für den Quell-DC erstellen. Achten Sie dabei aber auf die bereits erwähnten Sachverhalte.
Geklonten Domänencontroller für Active Directory vorbereiten
Bevor Sie den neuen Domänencontroller in Active Directory aufnehmen, müssen Sie die durch den Klonvorgang angepasste Datei DCCloneConfig.xml vom Quellcomputer in den Ordner mit der Active-Directory-Datenbank, also normalerweise in den Ordner C:\Windows\NTDS vom Quell- auf den Zielcomputer kopieren. Windows hat den Namen der Datei angepasst, um zu zeigen, dass ein Klonvorgang stattgefunden hat. Än dern Sie den Namen wieder um zu DCCloneConfig.xml.
Starten Sie den Domänencontroller, dann liest er die Datei DCCloneConfig.xml ein und bereitet sich selbst für das Klonen vor. Während des Windows-Starts erhalten Sie auch eine entsprechende Meldung.
CheckPoints nutzen
Microsoft hat die Snapshots in Windows Server 2016, auch CheckPoints genannt, wesentlich verbessert. Sie können zu einem bestimmten Zeitpunkt einen Point-In-Time-SnapShot erstellen und diesen später jederzeit wiederherstellen lassen. Das geht zwar grundsätzlich auch schon in Windows Server 2012 R2, ist aber wesentlich ineffizienter und vor allem unsicherer.
Dazu wird für Snapshots (Checkpoints) jetzt die Datensicherung innerhalb der VM verwendet, im Gegensatz zur Technologie zum Speichern einer VM in den Vorgängerversionen. Die Technik nutzt den Volume Snapshot Service (VSS) im Gast-Betriebssystem, wenn Sie Windows einsetzen und einen CheckPoint erstellen. Die VM weiß jetzt also, dass es einen Snapshot gibt, und kann diesen produktiv nutzen.
Außerdem führt Microsoft mit der neuen Version Backup Change Tracking ein. Softwarehersteller wie Veeam, müssen dann keine zusätzlichen Treiber mehr installieren, um Änderungen in VMs zu überwachen. Das erleichtert und verbessert die Datensicherung und verhindert das Installieren zusätzlicher Treiber, vor allem für virtuelle Domänencontroller. (hal/mje)