爱华网简介:
在Windows Server2012之前的版本中,在域控制器升级的过程中,添加额外的虚拟域控制器涉及到的数据复制方法有两种,分别是“复制”网络、使用IFM媒体。但如果数据库(NTDS.DIT)本身比较大,这两种方法都需要大量时间来复制Active Directory(活动目录)数据库。
但在Windows Server 2012中,克隆虚拟域控制器就不再像以前那么费事了。Server2012引入了全新的克隆功能,不仅加快了建立新的额外域控制器的过程,还节省了快速部署时配置域控制器的时间。
现在,当Windows Server 2012虚拟域控制器运行在Hyper-V及VMware的vSphere上时,它会识别出这是一个虚拟化的平台,这点相比于运行在Windows Server 2008R2或者更早版本上的虚拟域控制器来说,是一个相当显著的改进。
运行在虚拟化平台上的Windows Server 2012域控制器自带复制和安全恢复的功能,并且这些功能是不能被禁用的。
为了防止复制错误(旧对象),微软改良了Hyper-V虚拟机管理程序的代码,并加入了VM-Generation-ID功能,VM-Generation-ID(VMGID)功能可以让Windows Server 2012虚拟域控制器被安全、成功的复制。
环境:
Windows Server 2012
Hyper-V 3.0
Active Directory及相关组件
过程:
1、添加权限以允许DC被克隆
把需要被复制的域控制器机器账号加入到Cloneable Domain Controllers组
2、检查当前服务器并生成配置文件
检查当前的服务中不适用于克隆的服务
Get-ADDCCloningExcludedApplicationList
如果有,则排查该服务,并卸载该服务或生成排除文件
Get-ADDCCloningExcludedApplicationList -GenerateXML
生成克隆配置文件
New-ADDCCloneConfigFile –CloneComputerName "Name_of_New_DC"-SiteName "Name_of_AD_Site" –Static -IPv4Address"IP_Address_of_New_DC" -IPv4SubnetMask "Subnet_Mask_for_New_DC"-IPv4DefaultGateway "Gateway_For_New_DC" -IPv4DNSResolver"IP_Address_of_DNS_Server"
运行结果
PS C:> New-ADDCCloneConfigFile -CloneComputerName "CloneDC"-Static -IPv4Address "192.168.5.202" -IPv4SubnetMask"255.255.255.0" -IPv4DefaultGateway "192.168.5.1" -IPv4DNSResolver"192.168.5.201"
在“本地”模式下运行。
正在开始 PDC 测试: 验证承载 PDC FSMO 角色的域控制器是否正在运行 Windows Server 2012或更高版本...
已通过: 承载 PDC FSMO 角色的域控制器(DC.contoso.cn)已找到,并且正在运行 Windows Server2012 或更高版本。
正在验证身份验证: 检查此域控制器是否是“可克隆的域控制器”组的成员...
找到本地域控制器: (DC.contoso.cn)。
正在查询“可克隆的域控制器”组...
通过: 本地域控制器是“可克隆的域控制器”组的成员。
正在开始测试: 验证克隆是否允许列表。
未检测到任何已排除的应用程序。
通过: 未检测到任何排除的应用程序。
在所有受支持的位置均找不到任何有效的克隆配置文件。
所有初步验证检查已通过。
正在开始创建克隆配置文件...
正在查找指向目录服务数据库的路径...
已在以下位置生成克隆配置文件:
C:WindowsNTDSDCCloneConfig.xml
正在生成克隆配置文件内容...
克隆配置文件已创建。
New-ADDCCloneConfigFile命令可以重复运行,但不会覆盖现有的DCCloneConfig.xml文件,需要到%SystemRoot%NTDS目录下进行手动删除
DCCloneConfig.xml和CustomDCCloneAllowList.XML文件将会保存在%SystemRoot%NTDS 目录下。
3、克隆DC虚拟机文件
导出域控制器虚拟机
按照正常导出功能进行导出,把域控制器虚拟机导出到一个临时目录,步骤此处略
导入并复制域控制器虚拟机
按照正常导入功能进行导入,但导入类型选择为复制虚拟机,并选择最终放置路径
选择克隆域控制器虚拟机文件的放置路径
导入完成后先启动原有的域控制器虚拟机,再启动克隆域控制器虚拟机
完成克隆的过程中不需要手工干预,需要自动重启2次,完成后即可登录克隆域控制器,最终效果如下
4、后续步骤
删除Cloneable Domain Controllers组中的计算机账号(可选)
在Hyper-V管理器中,克隆DC的虚拟机名称与原有的一样,建议重命名新的名称
使用常规手段检查域的健康情况
