Cloned virtualized domain controller（克隆虛擬化部署的域控制器）

Cloned virtualized domain controller（克隆虛擬化部署的域控制器）

在Windows Server 2012之前的版本中，在域控制器升級的過程中，添加額外的虛擬域控制器涉及到的數據複製方法有兩種，分別是"複製"網絡、使用IFM媒體。但如果數據庫 (NTDS.DIT)本身比較大，這兩種方法都需要大量時間來複制Active Directory(活動目錄)數據庫。

但在Windows Server 2012中，克隆虛擬域控制器就不再像以前那麼費事了。Server 2012引入了全新的克隆功能，不僅加快了建立新的額外域控制器的過程，還節省了快速部署時配置域控制器的時間。

現在，當Windows Server 2012虛擬域控制器運行在Hyper-V及VMware的vSphere 上時，它會識別出這是一個虛擬化的平臺，這點相比於運行在Windows Server 2008 R2或者更早版本上的虛擬域控制器來說，是一個相當顯著的改進。

運行在虛擬化平臺上的Windows Server 2012域控制器自帶複製和安全恢復的功能，並且這些功能是不能被禁用的。

爲了防止複製錯誤(舊對象)，微軟改良了Hyper-V虛擬機管理程序的代碼，並加入了VM-Generation-ID功能，VM-Generation-ID (VMGID)功能可以讓Windows Server 2012虛擬域控制器被安全、成功的複製。

一、安裝注意事項

虛擬化域控制器不存在任何特殊的角色或功能安裝；所有域控制器都將自動包含克隆和安全還原功能。無法刪除或禁用這些功能。

使用 Windows Server 2012 域控制器要求 Windows Server 2012 AD DS 架構版本 56 或更高版本，以及與 Windows Server 2003 本機或更高版本相等的林功能級別。

可寫和只讀域控制器都支持虛擬化 DC 的所有方面，全局編錄和 FSMO 角色也是如此。

克隆開始時，PDC 模擬器 FSMO 角色所有者必須處於聯機狀態。

二、平臺要求

虛擬化域控制器克隆要求：

Windows Server 2012 DC 上託管的 PDC 模擬器 FSMO 角色

克隆操作期間 PDC 模擬器可用

克隆和安全還原都要求：

Windows Server 2012 虛擬化來賓

虛擬化主機平臺支持 VM 生成 ID (VMGID)

三、虛擬化域控制器克隆

在該過程存在幾個點，你可以在那時選擇如何創建克隆的計算機以及如何添加 xml 文件；下面詳細註明了這些步驟。此過程不可以其他方式更改。

下圖說明了虛擬化域控制器克隆的過程，其中域已經存在。

步驟 1  驗證虛擬機監控程序

通過查看供應商文檔，確保源域控制器在支持的虛擬機監控程序上運行。虛擬化域控制器與虛擬機監控程序無關，且不需要 Hyper-v。

如果虛擬機監控程序是 Microsoft Hyper-V，請確保它在 Windows Server 2012 上運行。你可以使用設備管理對此進行驗證

打開 Devmgmt.msc 並檢查系統設備中的已安裝 Microsoft Hyper-V 設備和驅動程序。虛擬化域控制器需要的特定系統設備是 Microsoft Hyper-V 生成計數器（驅動程序：vmgencounter.sys）

步驟 2  驗證 PDCE FSMO 角色

在嘗試克隆 DC 之前，你必須驗證託管主域控制器模擬器 FSMO 的域控制器運行 Windows Server 2012。PDC 模擬器 (PDCE） 是必需的，原因有多種：

• PDCE 將創建特殊的可克隆的域控制器組，並在域的根上設置其權限以允許域控制器克隆其自身。

• 克隆域控制器將使用 DRSUAPI RPC 協議直接聯繫 PDCE，以便爲克隆 DC 創建計算機對象。

使用 Dsa.msc 管理單元，右鍵單擊域，然後單擊操作主機。注意在 PDC 選項卡上命名的域控制器，然後關閉對話框。

右鍵單擊該 DC 的計算機對象，再單擊屬性，然後驗證操作系統信息。

步驟 3  授予源 DC 權限

添加權限以允許DC被克隆

把需要被複制的域控制器機器賬號加入到Cloneable Domain Controllers組。

步驟 4  刪除不兼容的應用程序或服務（此步驟可選）

在克隆之前，必須刪除任何之前由 Get-ADDCCloningExcludedApplicationList 返回（且未添加到 CustomDCCloneAllowList.xml）的程序或服務。卸載應用程序或服務是建議的方法。

任何未卸載或添加到 CustomDCCloneAllowList.xml 的不兼容程序或服務都會阻止克隆。

使用 Get-AdComputerServiceAccount cmdlet 在域中查找任何獨立的託管服務帳戶 (MSA)，並檢查此計算機是否正在使用其中任何帳戶。如果已安裝任一 MSA，則使用 Uninstall-ADServiceAccount cmdlet 來刪除本地已安裝的服務帳戶。完成第 6 步中使源域控制器脫機的操作後，在服務器重新聯機時，你可以使用 Install-ADServiceAccount 重新添加 MSA。

在 Windows Server 2012 中，已將獨立 MSA（在 Windows Server 2008 R2 中首次發佈）替換爲組 MSA。組 MSA 支持克隆。

檢查當前的服務中不適用於克隆的服務

Get-ADDCCloningExcludedApplicationList

如果有，則排查該服務，並卸載該服務或生成排除文件

Get-ADDCCloningExcludedApplicationList -GenerateXML

未完待續……