Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma se věnuje:
Důležité informace o instalaci
To zahrnuje požadavky na platformu a další důležitá omezení.
Klonování virtualizovaného řadiče domény
Zde je podrobně vysvětlen celý proces klonování virtualizovaného řadiče domény.
Bezpečné obnovení virtualizovaného řadiče domény
Zde jsou podrobně vysvětlena ověření, která jsou prováděna během bezpečného obnovení virtualizovaného řadiče domény.
Důležité informace o instalaci
Pro virtualizované řadiče domény neexistuje žádná speciální instalace rolí nebo funkcí; Všechny řadiče domény automaticky obsahují možnosti klonování a bezpečného obnovení. Tyto funkce nelze odebrat ani zakázat.
Použití řadičů domény se systémem Windows Server 2012 vyžaduje schéma služby AD DS systému Windows Server 2012 verze 56 nebo vyšší a úroveň funkčnosti doménové struktury stejnou jako Windows Server 2003 Native nebo vyšší.
Řadiče domény s možností zápisu i jen pro čtení podporují všechny aspekty virtualizovaného řadiče domény, stejně jako globální katalogy a role FSMO.
Important
Držitel role FSMO emulátoru primárního řadiče domény musí být při zahájení klonování online.
Požadavky na platformu
Klonování virtualizovaného řadiče domény vyžaduje:
Role FSMO emulátoru primárního řadiče domény hostovaná na řadiči domény se systémem Windows Server 2012
Emulátor primárního řadiče domény je k dispozici během operací klonování
Klonování i bezpečné obnovení vyžadují:
Virtualizovaní hosté se systémem Windows Server 2012
Hostitelská platforma virtualizace podporuje VM-Generation ID (VMGID)
V níže uvedené tabulce naleznete informace o virtualizačních produktech a o tom, zda podporují virtualizované řadiče domény a VM-Generation ID.
| Produkt virtualizace | Podporuje virtualizované řadiče domény a VMGID |
|---|---|
| Microsoft Windows Server 2012 s funkcí Hyper-V | Yes |
| Microsoft Windows Server 2012 Hyper-V Server | Yes |
| Microsoft Windows 8 s funkcí klienta Hyper-V | Yes |
| Windows Server 2008 R2 a Windows Server 2008 | No |
| Virtualizační řešení od jiných výrobců | Obraťte se na dodavatele |
I když společnost Microsoft podporuje systémy Windows 7 Virtual PC, Virtual PC 2007, Virtual PC 2004 a Virtual Server 2005, nemohou spouštět 64bitové hosty ani nepodporují VM-GenerationID.
Pokud potřebujete pomoc s virtualizačními produkty třetích stran a jejich podporou virtualizovaných řadičů domény, obraťte se přímo na tohoto dodavatele.
Další informace naleznete v článku Zásady podpory pro software společnosti Microsoft spuštěný v softwaru pro virtualizaci hardwaru od jiných výrobců.
Kritické výstrahy
Virtualizované řadiče domény nepodporují bezpečné obnovení následujících:
Soubory VHD a VHDX ručně zkopírované přes existující soubory VHD
Soubory VHD a VHDX obnovené pomocí softwaru pro zálohování souborů nebo zálohování celého disku
Note
Soubory VHDX jsou v systému Windows Server 2012 Hyper-V nové.
Žádná z těchto operací není zahrnuta v VM-GenerationID sémantice, a proto nemění ID VM-Generation. Obnovení řadičů domény pomocí těchto metod by mohlo vést buď k vrácení zpět do USN a buď k umístění řadiče domény do karantény, nebo k zavedení přetrvávajících objektů a nutnosti operací čištění v rámci celé doménové struktury.
Warning
Bezpečné obnovení virtualizovaného řadiče domény nenahrazuje zálohování stavu systému a koš služby AD DS.
Po obnovení snímku jsou trvale ztraceny rozdíly dříve nereplikovaných změn pocházejících z tohoto řadiče domény po vytvoření snímku. Bezpečné obnovení implementuje automatizované neautoritativní obnovení, aby se zabránilo náhodnému umístění řadiče domény do karantény.
Další informace o bublinách USN a přetrvávajících objektech naleznete v tématu Řešení potíží s operacemi služby Active Directory, které selžou s chybou 8606: "Nebyly zadány dostatečné atributy pro vytvoření objektu".
Klonování virtualizovaného řadiče domény
Klonování virtualizovaného řadiče domény má několik fází a kroků, bez ohledu na použití grafických nástrojů nebo prostředí Windows PowerShell. Na vysoké úrovni jsou tři fáze:
Připravte prostředí
Krok 1: Ověřte, zda hypervizor podporuje VM-Generation ID, a tedy klonování
Krok 2: Ověřte, zda je role emulátoru primárního řadiče domény hostována řadičem domény se systémem Windows Server 2012 a zda je během klonování online a dosažitelná klonovaným řadičem domény.
Příprava zdrojového řadiče domény
Krok 3: Autorizace zdrojového řadiče domény pro klonování
Krok 4: Odeberte nekompatibilní služby nebo programy nebo je přidejte do souboru CustomDCCloneAllowList.xml.
Krok 5: Vytvořte DCCloneConfig.xml
Krok 6: Přepnutí zdrojového řadiče domény do režimu offline
Vytvoření klonovaného řadiče domény
Krok 7: Zkopírujte nebo exportujte zdrojový virtuální počítač a přidejte XML, pokud již není zkopírován
Krok 8: Vytvoření nového virtuálního počítače z kopie
Krok 9: Spuštění nového virtuálního počítače pro zahájení klonování
Při použití grafických nástrojů, jako je konzola pro správu Hyper-V, nebo nástrojů příkazového řádku, jako je Windows PowerShell, nejsou v operaci žádné procesní rozdíly, takže kroky jsou v obou rozhraních prezentovány pouze jednou. Toto téma obsahuje ukázky prostředí Windows PowerShell, které vám umožní prozkoumat komplexní automatizaci procesu klonování. Nejsou vyžadovány pro žádné kroky. Systém Windows Server 2012 neobsahuje žádný grafický nástroj pro správu virtualizovaných řadičů domény.
V postupu je několik bodů, kde máte na výběr, jak vytvořit klonovaný počítač a jak přidat soubory xml; Tyto kroky jsou uvedeny v podrobnostech níže. Jinak je tento proces nezměnitelný.
Následující diagram znázorňuje proces klonování virtualizovaného řadiče domény, kde doména již existuje.
Krok 1 – Ověření hypervisoru
Ujistěte se, že zdrojový řadič domény běží na podporovaném hypervizoru a to v dokumentaci dodavatele. Virtualizované řadiče domény jsou nezávislé na hypervizoru a nevyžadují technologii Hyper-V.
Pokud je hypervisor Microsoft Hyper-V, ujistěte se, že běží v systému Windows Server 2012 . Tuto možnost můžete ověřit pomocí nástroje Správa zařízení
Otevřete Devmgmt.msc a prozkoumejte systémová zařízení a vyhledejte nainstalovaná zařízení a ovladače Microsoft Hyper-V. Specifickým systémovým zařízením vyžadovaným pro virtualizovaný řadič domény je čítač generace Microsoft Hyper-V ( ovladač: vmgencounter.sys).
Krok 2 – Ověření role FSMO PDCE
Než se pokusíte klonovat řadič domény, musíte ověřit, zda řadič domény, který je hostitelem technologie FSMO emulátoru primárního řadiče domény, používá systém Windows Server 2012. Emulátor primárního řadiče domény (PDCE) je vyžadován z několika důvodů:
Primární řadič domény vytvoří speciální skupinu Cloneable Domain Controllers a nastaví svá oprávnění na kořenový adresář domény, aby umožnil řadiči domény klonovat sám sebe.
Klonovací řadič domény kontaktuje PDCE přímo pomocí protokolu DRSUAPI RPC, aby vytvořil počítačové objekty pro klonovaný řadič domény.
Note
Windows Server 2012 rozšiřuje stávající službu DRS (Directory Replication Service) Remote Protocol (UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2) tak, aby zahrnovala novou metodu RPC IDL_DRSAddCloneDC (Opnum 28). Metoda IDL_DRSAddCloneDC vytvoří nový objekt řadiče domény zkopírováním atributů z existujícího objektu řadiče domény.
Stavy řadiče domény se skládají z počítače, serveru, nastavení NTDS, FRS, DFSR a objektů připojení udržovaných pro každý řadič domény. Při duplikování objektu tato metoda RPC nahradí všechny odkazy na původní řadič domény odpovídajícími objekty nového řadiče domény. Volající musí mít řídicí přístupové právo DS-Clone-Domain-Controller v názvovém kontextu domény.
Použití této nové metody vždy vyžaduje přímý přístup volajícího k řadiči domény emulátoru primárního řadiče domény.
Vzhledem k tomu, že tato metoda RPC je nová, vyžaduje software pro analýzu sítě aktualizované analyzátory, které zahrnovaly pole pro nové Opnum 28 do stávajícího UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2. V opačném případě nebude možné tento provoz analyzovat.
Další informace naleznete v části 4.1.29 IDL_DRSAddCloneDC (Opnum 28).
To také znamená, že při použití neplně směrovaných sítí vyžaduje klonování virtualizovaného řadiče domény síťové segmenty s přístupem k PDCE. Klonovaný řadič domény je po klonování přijatelné přesunout do jiné sítě – stejně jako fyzický řadič domény – pokud pečlivě aktualizujete informace o logické lokalitě služby AD DS.
Important
Při klonování domény, která obsahuje pouze jeden řadič domény, je nutné před zahájením klonovacích kopií zajistit, aby byl zdrojový řadič domény opět online. Provozní doména by měla vždy obsahovat alespoň dva řadiče domény.
Metoda Uživatelé a počítače služby Active Directory
Pomocí modulu snap-in Dsa.msc klikněte pravým tlačítkem myši na doménu a klikněte na Hlavní operační servery. Poznamenejte si řadič domény uvedený na kartě primárního řadiče domény a zavřete dialogové okno.
Klikněte pravým tlačítkem myši na objekt počítače řadiče domény a klikněte na příkaz Vlastnosti a ověřte informace o operačním systému.
Metoda Windows PowerShellu
Kombinací následujících rutin modulu Windows PowerShell služby Active Directory můžete vrátit verzi emulátoru primárního řadiče domény:
Get-adddomaincontroller
Get-adcomputer
Pokud doména zadaná, tyto rutiny převezmou doménu počítače, ve kterém je spuštěn.
Následující příkaz vrátí informace o PDCE a operačním systému:
get-adcomputer(Get-ADDomainController -Discover -Service "PrimaryDC").name -property * | format-list dnshostname,operatingsystem,operatingsystemversion
Následující příklad ukazuje zadání názvu domény a filtrování vrácených vlastností před kanálem Windows PowerShell:
Krok 3 - Autorizace zdrojového řadiče domény
Zdrojový řadič domény musí mít řídicí přístupová práva (CAR) Povolit řadiči domény vytvořit svůj klon na hlavě NC domény. Ve výchozím nastavení má toto oprávnění známá skupina Cloneable Domain Controllers , která neobsahuje žádné členy. Primární řadič domény vytvoří tuto skupinu při přenosu této role FSMO na řadič domény se systémem Windows Server 2012.
Metoda Centra správy služby Active Directory
Spusťte Dsac.exe a přejděte na zdrojový řadič domény a poté otevřete jeho stránku podrobností.
V části Člen oddílu přidejte pro danou doménu skupinu Klonovatelné řadiče domény .
Metoda Windows PowerShellu
Ke skupině Klonovatelné řadiče domény můžete zkombinovat následující rutiny modulu Windows PowerShellu pro Active Directory get-adcomputer a add-adgroupmember:
Get-adcomputer <dc name> | %{add-adgroupmember "cloneable domain controllers" $_.samaccountname}
To například přidá server DC1 do skupiny, aniž by bylo nutné specifikovat rozlišující název člena skupiny:
Obnovení výchozích oprávnění
Pokud toto oprávnění z hlavičky domény odeberete, klonování se nezdaří. Oprávnění můžete znovu vytvořit pomocí Centra správy služby Active Directory nebo prostředí Windows PowerShell.
Metoda Centra správy služby Active Directory
Spusťte nástroj Centrum správy služby Active Directory, klikněte pravým tlačítkem myši na záhlaví domény, klikněte na příkaz Vlastnosti, klikněte na kartu Rozšíření , klikněte na možnost Zabezpečení a poté klikněte na tlačítko Upřesnit. Klikněte pouze na tento objekt.
Klikněte na Přidat v části Zadejte název objektu, který chcete vybrat, zadejte název skupiny Klonovatelné řadiče domény.
V části Oprávnění klikněte na možnost Povolit řadiči domény vytvořit vlastní klon a poté klikněte na tlačítko OK.
Note
Můžete také odebrat výchozí oprávnění a přidat jednotlivé řadiče domény. To však pravděpodobně způsobí problémy s údržbou, protože noví správci o tomto přizpůsobení nevědí. Změna výchozího nastavení nezvyšuje zabezpečení a nedoporučuje se.
Metoda Windows PowerShellu
Ve výzvě konzoly Windows PowerShell se zvýšenými oprávněními správce použijte následující příkazy. Tyto příkazy detekují název domény a přidají zpět výchozí oprávnění:
import-module activedirectory
cd ad:
$domainNC = get-addomain
$dcgroup = get-adgroup "Cloneable Domain Controllers"
$sid1 = (get-adgroup $dcgroup).sid
$acl = get-acl $domainNC
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid1,"ExtendedRight","Allow",$objectguid
$acl.AddAccessRule($ace1)
set-acl -aclobject $acl $domainNC
cd c:
Případně spusťte ukázkovou FixVDCPermissions.ps1 v konzole Windows PowerShellu, kde se konzola spustí jako správce se zvýšenými oprávněními na řadiči domény v ovlivněné doméně. Automaticky se nastaví oprávnění. Ukázka je umístěna v příloze tohoto modulu.
Krok 4 - Odstraňte nekompatibilní aplikace nebo služby (pokud nepoužíváte CustomDCCloneAllowList.xml)
Všechny programy nebo služby, které společnost Get-ADDCCloningExcludedApplicationList dříve vrátila a nepřidala do CustomDCCloneAllowList.xml , musí být před klonováním odstraněny. Doporučenou metodou je odinstalace aplikace nebo služby.
Warning
Jakýkoli nekompatibilní program nebo služba, která nebyla odinstalována nebo přidána do CustomDCCloneAllowList.xml, brání klonování.
Pomocí rutiny Get-AdComputerServiceAccount vyhledejte všechny samostatné účty spravované služby (MSA) v doméně a pokud tento počítač některý z nich používá. Pokud je nainstalovaný nějaký účet MSA, odeberte místně nainstalovaný účet služby pomocí rutiny Uninstall-ADServiceAccount. Až budete s převedením zdrojového řadiče domény do offline režimu v kroku 6, můžete MSA znovu přidat pomocí Install-ADServiceAccount, až bude server opět online. Další informace naleznete v tématu Uninstall-ADServiceAccount.
Important
Samostatné MSA – poprvé vydané v systému Windows Server 2008 R2 – byly v systému Windows Server 2012 nahrazeny skupinovými MSA. Skupinové ODT podporují klonování.
Krok 5 - Vytvořte DCCloneConfig.xml
Soubor DcCloneConfig.xml je vyžadován pro klonování řadičů domény. Jeho obsah umožňuje zadat jedinečné podrobnosti, jako je název nového počítače a IP adresa.
Soubor CustomDCCloneAllowList.xml je volitelný, pokud na zdrojový řadič domény nenainstalujete aplikace nebo potenciálně nekompatibilní služby systému Windows. Soubory vyžadují přesné pojmenování, formátování a umístění; V opačném případě se klonování nezdaří.
Z tohoto důvodu byste měli k vytvoření souborů XML a jejich umístění do správného umístění vždy použít rutiny prostředí Windows PowerShell.
Generování s New-ADDCCloneConfigFile
Modul Windows PowerShell služby Active Directory obsahuje v systému Windows Server 2012 novou rutinu:
New-ADDCCloneConfigFile
Rutinu spustíte na navrhovaném zdrojovém řadiči domény, který chcete klonovat. Rutina podporuje více argumentů a při použití vždy testuje počítač a prostředí, ve kterém je spuštěna, pokud nezadáte argument -offline.
|
ActiveDirectory Cmdlet |
Arguments | Explanation |
|---|---|---|
| New-ADDCCloneConfigFile | <nebyl zadán žádný argument> | Vytvoří prázdný soubor DcCloneConfig.xml v pracovním adresáři DSA (výchozí: %systemroot%\ntds) |
| -CloneComputerName | Určuje název klonovaného počítače řadiče domény. Datový typ String. | |
| -Path | Určuje složku pro vytvoření DcCloneConfig.xml. Pokud není zadáno, zapisuje do pracovního adresáře DSA (výchozí: %systemroot%\ntds). Datový typ String. | |
| -SiteName | Určuje název logického webu AD, který se má připojit během vytváření účtu klonovaného počítače. Datový typ String. | |
| -IPv4Address | Určuje statickou IPv4 adresu klonovaného počítače. Datový typ String. | |
| -IPv4SubnetMask | Určuje statickou masku podsítě IPv4 klonovaného počítače. Datový typ String. | |
| -IPv4DefaultGateway | Určuje adresu statické výchozí brány IPv4 klonovaného počítače. Datový typ String. | |
| -IPv4DNSResolver | Určuje statické položky DNS IPv4 klonovaného počítače v seznamu odděleném čárkami. Datový typ pole Mohou být zadány až čtyři záznamy. | |
| -PreferredWINSServer | Určuje statickou adresu IPv4 primárního serveru WINS. Datový typ String. | |
| -AlternateWINSServer | Určuje statickou adresu IPv4 sekundárního serveru WINS. Datový typ String. | |
| -IPv6DNSResolver | Určuje statické položky DNS IPv6 klonovaného počítače v seznamu odděleném čárkami. Neexistuje žádný způsob, jak nastavit statické informace IPv6 při klonování virtualizovaného řadiče domény. Datový typ pole | |
| -Offline | Neprovede ověřovací testy a přepíše všechny existující dccloneconfig.xml. Nemá žádné parametry. | |
| -Static | Vyžaduje se, pokud zadáváte statické argumenty IP IPv4SubnetMask, IPv4SubnetMask nebo IPv4DefaultGateway. Nemá žádné parametry. |
Testy prováděné při spuštění v online režimu:
Emulátor primárního řadiče domény je Windows Server 2012 nebo novější
Zdrojový řadič domény je členem skupiny Cloneable Domain Controllers
Zdrojový řadič domény neobsahuje žádné vyloučené aplikace ani služby
Zdrojový řadič domény již neobsahuje DcCloneConfig.xml na zadané cestě
Krok 6 - Přepněte zdrojový řadič domény do režimu offline
Spuštěný zdrojový řadič domény nelze zkopírovat. Musí být elegantně vypnuta. Neklonujte řadič domény, který byl zastaven bezchybnou ztrátou napájení.
Grafická metoda
Použijte tlačítko pro vypnutí v běžícím řadiči domény nebo tlačítko pro vypnutí aplikace Hyper-V Manager.
Metoda Windows PowerShellu
Virtuální počítač můžete vypnout pomocí některé z následujících rutin:
Stop-computer
Stop-vm
Stop-computer je rutina, která podporuje vypínání počítačů bez ohledu na virtualizaci a je obdobou staršího nástroje Shutdown.exe. Stop-vm je nová rutina v modulu Windows Server 2012 Hyper-V Windows PowerShell a je ekvivalentní možnostem napájení v aplikaci Hyper-V Manager. To druhé je užitečné v laboratorních prostředích, kde řadič domény často pracuje v privátní virtualizované síti.
Krok 7 - Kopírování disků
Ve fázi kopírování je vyžadována volba správce:
Zkopírujte disky ručně, bez Hyper-V
Exportujte virtuální počítač pomocí Hyper-V
Exportujte sloučené disky pomocí Hyper-V
Musí být zkopírovány všechny disky virtuálního počítače, nejen systémový disk. Pokud zdrojový řadič domény používá rozdílové disky a vy máte v úmyslu přesunout klonovaný řadič domény na jiného Hyper-V hostitele, je nutné provést export.
Pokud má zdrojový řadič domény jenom jednu jednotku, doporučuje se ruční kopírování disků. Export/import se doporučuje pro virtuální počítače s více než jednou jednotkou nebo jinými složitými virtualizovanými hardwarovými přizpůsobeními, jako je více síťových karet.
Pokud kopírujete soubory ručně, odstraňte před kopírováním všechny snímky. Pokud exportujete virtuální počítač, odstraňte snímky před exportem nebo je odstraňte z nového virtuálního počítače po importu.
Warning
Snímky jsou rozdílové disky, které mohou vrátit řadič domény do předchozího stavu. Pokud byste naklonovali řadič domény a poté obnovili jeho snímek před klonováním, skončili byste s duplicitními řadiči domény v doménové struktuře. V předchozích snímcích na nově naklonovaném řadiči domény není žádná hodnota.
Ruční kopírování disků
Metoda správce Hyper-V
Pomocí modulu snap-in Hyper-V Manager určete, které disky jsou přidruženy ke zdrojovému řadiči domény. Pomocí možnosti Zkontrolovat ověřte, zda řadič domény používá rozdílové disky (což vyžaduje, abyste zkopírovali také nadřazený disk)
Chcete-li odstranit snímky, vyberte virtuální počítač a odstraňte podstrom snímku.
Soubory VHD nebo VHDX pak můžete ručně zkopírovat pomocí Průzkumníka Windows, Xcopy.exenebo Robocopy.exe. Nejsou nutné žádné speciální kroky. Nejlepším postupem je změnit názvy souborů i v případě, že je přesunete do jiné složky.
Note
Při kopírování mezi hostitelskými počítači v síti LAN (1 Gbit nebo vyšší) zkopíruje možnostXcopy.exe /J soubory VHD/VHDX výrazně rychleji než jakýkoli jiný nástroj za cenu mnohem většího využití šířky pásma.
Metoda Windows PowerShellu
Pokud chcete určit disky pomocí prostředí Windows PowerShell, použijte moduly Hyper-V:
Get-vmidecontroller
Get-vmscsicontroller
Get-vmfibrechannelhba
Get-vmharddiskdrive
Všechny pevné disky IDE můžete například vrátit z virtuálního počítače s názvem DC2 pomocí následující ukázky:
Pokud cesta k disku odkazuje na soubor AVHD nebo AVHDX, jedná se o snímek. Pokud chcete odstranit snímky přidružené k disku a sloučit je do skutečného virtuálního pevného disku nebo VHDX, použijte rutiny:
Get-VMSnapshot
Remove-VMSnapshot
Pokud například chcete odstranit všechny snímky z virtuálního počítače s názvem DC2-SOURCECLONE:
Pokud chcete soubory zkopírovat pomocí prostředí Windows PowerShell, použijte následující rutinu:
Copy-Item
Kombinujte s rutinami virtuálních počítačů v kanálech a usnadněte automatizaci. Potrubí je kanál používaný mezi několika rutinními moduly k předávání dat. Chcete-li například zkopírovat jednotku offline zdrojového řadiče domény s názvem DC2-SOURCECLONE na nový disk s názvem c:\temp\copy.vhd, aniž byste museli znát přesnou cestu k jeho systémové jednotce:
Get-VMIdeController dc2-sourceclone | Get-VMHardDiskDrive | select-Object {copy-item -path $_.path -destination c:\temp\copy.vhd}
Important
Průchozí disky nemůžete použít s klonováním, protože nepoužívají soubor virtuálního disku, ale skutečný pevný disk.
Note
Další informace o dalších operacích Windows PowerShellu s kanály najdete v tématu Piping a Pipeline v prostředí Windows PowerShell.
Export virtuálního počítače
Jako alternativu ke kopírování disků můžete exportovat celý Hyper-V virtuální počítač jako kopii. Při exportu se automaticky vytvoří složka pojmenovaná podle virtuálního počítače, která obsahuje všechny disky a informace o konfiguraci.
Metoda správce Hyper-V
Export virtuálního počítače pomocí nástroje Hyper-V Manager:
Klikněte pravým tlačítkem myši na zdrojový řadič domény a klikněte na Exportovat.
Vyberte existující složku jako kontejner pro export.
Počkejte, až sloupec Stav přestane zobrazovat export.
Metoda Windows PowerShellu
Pokud chcete exportovat virtuální počítač pomocí modulu Windows PowerShell Hyper-V, použijte rutinu:
Export-vm
Chcete-li například exportovat virtuální počítač s názvem DC2-SOURCECLONE do složky s názvem C:\VM:
Note
Windows Server 2012 Hyper-V podporuje nové funkce exportu a importu, které jsou mimo rozsah tohoto školení. Další informace naleznete na webu TechNet.
Export sloučených disků pomocí Hyper-V
Poslední možností je použít možnosti slučování a převodu disků v Hyper-V. Ty vám umožní vytvořit kopii existující struktury disku - i když jsou zahrnuty soubory AVHD/AVHDX snímků - na jeden nový disk. Podobně jako scénář ručního kopírování disku je i tento primárně určen pro jednodušší virtuální počítače, které používají pouze jednu jednotku, například C:\. Jeho jedinou výhodou je, že na rozdíl od ručního kopírování nevyžaduje, abyste snímky nejprve mazali. Tato operace je nutně pomalejší než prosté mazání snímků a kopírování disků.
Metoda správce Hyper-V
Vytvoření sloučeného disku pomocí aplikace Hyper-V Manager:
Klikněte na Upravit disk.
Vyhledejte nejnižší podřízený disk. Pokud například používáte rozdílový disk, je podřízený disk nejnižším podřízeným diskem. Pokud má virtuální počítač snímek (nebo více snímků), je aktuálně vybraný snímek nejnižším podřízeným diskem.
Vyberte možnost Sloučit a vytvořte jeden disk z celé struktury nadřazený-podřízený.
Vyberte nový virtuální pevný disk a zadejte cestu. Tím se stávající soubory VHD/VHDX sloučí do jedné nové přenosné jednotky, které nehrozí riziko obnovení předchozích snímků.
Metoda Windows PowerShellu
Chcete-li vytvořit sloučený disk ze složité sady nadřazených disků pomocí modulu Hyper-V Windows PowerShell, použijte rutinu:
Convert-vm
Můžete například exportovat celý řetězec snímků disku virtuálního počítače (tentokrát bez rozdílových disků) a nadřazeného disku do nového jediného disku s názvem DC4-CLONED. VHDX:
Přidání XML na systémový disk offline
Pokud jste Dccloneconfig.xml zkopírovali na spuštěný zdrojový řadič domény, musíte nyní zkopírovat aktualizovaný soubor dccloneconfig.xml na offline zkopírovaný/exportovaný systémový disk. V závislosti na nainstalovaných aplikacích zjištěných v Get-ADDCCloningExcludedApplicationList dříve, může být také nutné zkopírovat soubor CustomDCCloneAllowList.xml na disk.
Soubor DcCloneConfig.xml mohou obsahovat následující umístění:
Pracovní adresář DSA
%windir%\NTDS
Vyjímatelná média pro čtení/zápis, v pořadí podle písmene jednotky, v kořenovém adresáři jednotky
Tyto cesty nelze konfigurovat. Po zahájení klonování klonování zkontroluje klonování tato umístění v daném pořadí a použije první nalezený DcCloneConfig.xml soubor bez ohledu na obsah druhé složky.
Soubor CustomDCCloneAllowList.xml mohou obsahovat následující umístění:
HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters
AllowListFolder (REG_SZ)
Pracovní adresář DSA
%windir%\NTDS
Vyjímatelná média pro čtení/zápis, v pořadí podle písmene jednotky, v kořenovém adresáři jednotky
Můžete spustit New-ADDCCloneConfigFile pomocí argumentu -offline (označovaného také jako offline režim) a vytvořit DcCloneConfig.xml soubor a umístit ho do správného umístění. Následující příklady ukazují, jak spustit New-ADDCCloneConfigFile v režimu offline.
Chcete-li vytvořit klonovaný řadič domény s názvem CloneDC1 v režimu offline, v lokalitě nazvané "REDMOND" se statickou adresou IPv4, zadejte:
New-ADDCCloneConfigFile -Offline -CloneComputerName CloneDC1 -SiteName REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -Static -Path F:\Windows\NTDS
Chcete-li vytvořit klonovaný řadič domény s názvem Clone2 v režimu offline se statickým protokolem IPv4 a statickým nastavením protokolu IPv6, zadejte:
New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -Path F:\Windows\NTDS
Chcete-li vytvořit klonovaný řadič domény v režimu offline se statickým nastavením protokolu IPv4 a dynamického protokolu IPv6 a zadat více serverů DNS pro nastavení překladače DNS, zadejte:
New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @( "10.0.0.1","10.0.0.2" ) -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS
Chcete-li vytvořit klonovaný řadič domény s názvem Clone1 v režimu offline s dynamickým protokolem IPv4 a statickým nastavením protokolu IPv6, zadejte:
New-ADDCCloneConfigFile -Offline -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName "REDMOND" -Path F:\Windows\NTDS
Chcete-li vytvořit klonovaný řadič domény v režimu offline s dynamickým nastavením protokolu IPv4 a dynamického protokolu IPv6, zadejte:
New-ADDCCloneConfigFile -Offline -IPv4DNSResolver "10.0.0.1" -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS
Metoda Průzkumníka Windows
Windows Server 2012 nyní nabízí grafickou možnost připojení souborů VHD a VHDX. To vyžaduje instalaci funkce Možnosti práce s počítačem v systému Windows Server 2012.
Klikněte na nově zkopírovaný soubor VHD/VHDX, který obsahuje systémovou jednotku zdrojového řadiče domény nebo složku umístění pracovního adresáře DSA, a potom klepněte na tlačítko Připojit z nabídky Nástroje bitových kopií disku .
Na právě připojené jednotce zkopírujte soubory XML do platného umístění. Může se zobrazit výzva k zadání oprávnění ke složce.
Klepněte na připojenou jednotku a klepněte na tlačítko Vysunout z nabídky Nástroje disku .
Metoda Windows PowerShellu
Případně můžete připojit offline disk a zkopírovat soubor XML pomocí rutin prostředí Windows PowerShell:
mount-vhd
get-disk
get-partition
get-volume
Add-PartitionAccessPath
Copy-Item
To vám umožní úplnou kontrolu nad procesem. Jednotku lze například připojit s určitým písmenem jednotky, zkopírovat soubor a odpojit jednotku.
mount-vhd <disk path> -passthru -nodriveletter | get-disk | get -partition | get-volume | get-partition | where {$_.partition number -eq 2} | Add-PartitionAccessPath -accesspath <drive letter>
copy-item <xml file path><destination path>\dccloneconfig.xml
dismount-vhd <disk path>
Například:
Alternativně můžete k připojení souboru VHD (nebo ISO) použít novou rutinu Mount-DiskImage .
Krok 8 - Vytvoření nového virtuálního počítače
Posledním krokem konfigurace před zahájením procesu klonování je vytvoření nového virtuálního počítače, který používá disky ze zkopírovaného zdrojového řadiče domény. V závislosti na výběru provedeném ve fázi kopírování disků máte dvě možnosti:
Přidružení nového virtuálního počítače ke zkopírovanému disku
Import exportovaného virtuálního počítače
Přidružení nového virtuálního počítače ke zkopírovaným diskům
Pokud jste systémový disk zkopírovali ručně, musíte pomocí zkopírovaného disku vytvořit nový virtuální počítač. Hypervizor automaticky nastaví ID VM-Generation při vytvoření nového virtuálního počítače. Ve virtuálním počítači ani Hyper-V hostiteli nejsou vyžadovány žádné změny konfigurace.
Metoda správce Hyper-V
Vytvořte nový virtuální počítač.
Zadejte název virtuálního počítače, paměť a síť.
Na stránce Připojit virtuální pevný disk zadejte zkopírovaný systémový disk.
Dokončete průvodce a vytvořte virtuální počítač.
Pokud bylo více disků, síťových adaptérů nebo jiných vlastních nastavení, nakonfigurujte je před spuštěním řadiče domény. Metoda kopírování disků "Export-Import" se doporučuje pro složité virtuální stroje.
Metoda Windows PowerShellu
Modul Hyper-V Windows PowerShell můžete použít k automatizaci vytváření virtuálních počítačů v systému Windows Server 2012 pomocí následující rutiny:
New-VM
Tady se například vytvoří virtuální počítač DC4-CLONEDFROMDC2 pomocí 1 GB paměti RAM, spuštěním ze souboru c:\vm\dc4-systemdrive-clonedfromdc2.vhd a pomocí virtuální sítě 10.0:
Import virtuálního počítače
Pokud jste dříve exportovali svůj virtuální počítač, musíte jej nyní importovat zpět jako kopii. Tím se exportovaný kód XML použije k opětovnému vytvoření počítače s použitím všech předchozích nastavení, jednotek, sítí a nastavení paměti.
Pokud máte v úmyslu vytvořit další kopie ze stejného exportovaného virtuálního počítače, vytvořte tolik kopií exportovaného virtuálního počítače, kolik je potřeba. Poté použijte Import pro každou kopii.
Important
Je důležité použít možnost Kopírovat , protože export zachovává všechny informace ze zdroje; import serveru pomocí funkce Přesunout nebo Místo způsobí kolize informací, pokud jsou provedeny na stejném hostitelském serveru Hyper-V.
Metoda správce Hyper-V
Import pomocí modulu snap-in Hyper-V Manager:
Klikněte na Importovat virtuální počítač
Na stránce Najít složku vyberte exportovaný definiční soubor virtuálního počítače pomocí tlačítka Procházet.
Na stránce Vybrat virtuální počítač klikněte na zdrojový počítač.
Na stránce Zvolit typ importu klikněte na možnost Kopírovat virtuální počítač (vytvořit nové jedinečné ID) a poté klikněte na tlačítko Dokončit.
Přejmenujte importovaný virtuální počítač, pokud importujete na stejném Hyper-V hostiteli. Bude mít stejný název jako exportovaný zdrojový řadič domény.
Nezapomeňte odstranit všechny importované snímky pomocí modulu snap-in Správa Hyper-V:
Warning
Odstranění všech importovaných snímků je kriticky důležité; pokud by byly použity, vrátily by klonovaný řadič domény do stavu předchozího – a případně živého – řadiče domény, což by vedlo k selhání replikace, duplicitním informacím IP a dalším narušením.
Metoda Windows PowerShellu
Modul Hyper-V Windows PowerShell můžete použít k automatizaci importu virtuálních počítačů v systému Windows Server 2012 pomocí následujících rutin:
Import-VM
Rename-VM
Zde se například importuje exportovaný DC2-CLONED virtuálního počítače pomocí automaticky určeného souboru XML a poté se okamžitě přejmenuje na nový název virtuálního počítače DC5-CLONEDFROMDC2:
Nezapomeňte odebrat všechny importované snímky pomocí následujících rutin:
Get-VMSnapshot
Remove-VMSnapshot
Například:
Warning
Ujistěte se, že při importu počítače nebyly zdrojovému řadiči domény přiřazeny statické adresy MAC. Pokud dojde ke klonování zdrojového počítače se statickou adresou MAC, nebudou tyto zkopírované počítače správně odesílat ani přijímat žádný síťový provoz. V takovém případě nastavte novou jedinečnou statickou nebo dynamickou adresu MAC. To, zda virtuální počítač používá statické adresy MAC, můžete zjistit pomocí příkazu:
Get-VM -VMNametest-vm | Get-VMNetworkAdapter | fl \*
Krok 9 – Naklonujte nový virtuální počítač
Před zahájením klonování můžete volitelně restartovat zdrojový řadič domény pro offline klonování. Ujistěte se, že je emulátor primárního řadiče domény bez ohledu na to online.
Chcete-li zahájit klonování, jednoduše spusťte nový virtuální počítač. Proces se spustí automaticky a řadič domény se po dokončení klonování automaticky restartuje.
Important
Nedoporučuje se nechávat řadiče domény vypnuté po delší dobu, a pokud se klon připojuje ke stejné lokalitě jako zdrojový řadič domény, může vytvoření počáteční topologie replikace v rámci lokality a mezi lokalitami trvat déle, pokud je zdrojový řadič domény offline.
Pokud ke spuštění virtuálního počítače používáte prostředí Windows PowerShell, nová rutina modulu Hyper-V je:
Start-VM
Například:
Jakmile se počítač po dokončení klonování restartuje, jedná se o řadič domény a můžete se normálně přihlásit a potvrdit tak normální provoz. Pokud dojde k nějakým chybám, server se nastaví tak, aby se spustil v režimu obnovení adresářových služeb pro účely vyšetřování.
Ochrana virtualizace
Na rozdíl od klonování virtualizovaného řadiče domény nemají zabezpečení virtualizace systému Windows Server 2012 žádné kroky konfigurace. Tato funkce funguje bez zásahu, pokud splníte několik jednoduchých podmínek:
Hypervizor podporuje VM-Generation ID
Existuje platný partnerský řadič domény, ze kterého může obnovený řadič domény neautoritativně replikovat změny.
Ověření hypervisoru
Ujistěte se, že zdrojový řadič domény běží na podporovaném hypervizoru a to v dokumentaci dodavatele. Virtualizované řadiče domény jsou nezávislé na hypervizoru a nevyžadují technologii Hyper-V.
Projděte si předchozí část Požadavky na platformu , kde najdete podporu známých VM-Generation ID.
Pokud migrujete virtuální počítače ze zdrojového hypervisoru do jiného cílového hypervisoru, bezpečnostní opatření virtualizace se mohou, ale nemusí aktivovat v závislosti na tom, zda hypervizory podporují VM-Generation ID, jak je vysvětleno v následující tabulce.
| Zdrojový hypervisor | Cílový hypervisor | Result |
|---|---|---|
| Podporuje VM-Generation ID | Nepodporuje VM-Generation ID | Ochranná opatření nejsou aktivována (pokud je k dispozici DCCloneConfigFile.xml, řadič domény se spustí v režimu obnovení adresářových služeb) |
| Nepodporuje VM-Generation ID | Podporuje VM-Generation ID | Aktivované záruky |
| Podporuje VM-Generation ID | Podporuje VM-Generation ID | Ochranná opatření se neaktivují, protože definice virtuálního počítače se nezměnila, což znamená, že VM-Generation ID zůstává stejné |
Ověření topologie replikace
Ochranná opatření virtualizace iniciují neautoritativní příchozí replikaci pro rozdílovou replikaci služby Active Directory a také neautoritativní opětovnou synchronizaci veškerého obsahu adresáře SYSVOL. Tím je zajištěno, že se řadič domény vrátí ze snímku s plnou funkčností a nakonec bude konzistentní se zbytkem prostředí.
S touto novou schopností přichází několik požadavků a omezení:
Obnovený řadič domény musí být schopen kontaktovat zapisovatelný řadič domény
Všechny řadiče domény v doméně nesmí být obnoveny současně
Všechny změny pocházející z obnoveného řadiče domény, které ještě nebyly replikovány odchozí od pořízení snímku, budou navždy ztraceny
I když se tyto scénáře zabývají částí řešení potíží, níže uvedené podrobnosti zajišťují, že nevytvoříte topologii, která by mohla způsobit problémy.
Dostupnost řadiče domény s možností zápisu
Pokud je řadič domény obnoven, musí mít připojení k řadiči domény s možností zápisu. Řadič domény jen pro čtení nemůže odesílat rozdílové aktualizace. Topologie je pro to pravděpodobně již správná, protože řadič domény s možností zápisu vždy potřeboval partnera s možností zápisu. Pokud se však všechny řadiče domény s možností zápisu obnovují současně, žádný z nich nemůže najít platný zdroj. Totéž platí, pokud jsou zapisovatelné řadiče domény offline z důvodu údržby nebo jinak nedostupné prostřednictvím sítě.
Souběžné obnovení
Neobnovujte všechny řadiče domény v jedné doméně současně. Pokud se obnoví všechny snímky najednou, replikace služby Active Directory funguje normálně, ale replikace adresáře SYSVOL se zastaví. Architektura obnovení Služby replikace souborů (FRS) a DFSR vyžaduje nastavení instance repliky do neautoritativního režimu synchronizace. Pokud se obnoví všechny řadiče domény najednou a každý řadič domény se označí jako neautoritativní pro adresář SYSVOL, všechny se pak pokusí synchronizovat zásady skupiny a skripty od autoritativního partnera. V tomto bodě jsou však všichni partneři také neautoritativní.
Important
Pokud se obnoví všechny řadiče domény najednou, pomocí následujících článků nastavte jeden řadič domény – obvykle emulátor primárního řadiče domény – jako autoritativní, aby se ostatní řadiče domény mohly vrátit k normálnímu provozu:
Použití klíče registru BurFlags k opětovné inicializaci sad replik Služby replikace souborů
Warning
Nespouštějte všechny řadiče domény v doménové struktuře nebo doméně na stejném hostiteli hypervisoru. To představuje jediný bod selhání, který oslabuje služby AD DS, Exchange, SQL a další podnikové operace pokaždé, když hypervisor přejde do režimu offline. To se nijak neliší od použití pouze jednoho řadiče domény pro celou doménu nebo doménovou strukturu. Více řadičů domény na více platformách pomáhá zajistit redundanci a odolnost proti chybám.
Po vytvoření snímku replikace
Neobnovujte snímky, dokud se všechny změny provedené od vytvoření snímku nereplikují odchozí. Všechny původní změny jsou navždy ztraceny, pokud je jiné řadiče domény již neobdržely prostřednictvím replikace.
Pomocí Repadmin.exe můžete zobrazit všechny nereplikované odchozí změny mezi řadičem domény a jeho partnery:
Vraťte názvy partnerů řadiče domény a identifikátory GUID objektů DSA pomocí:
Repadmin.exe /showrepl <DC Name of the partner> /repstoVraťte čekající příchozí replikaci partnerského řadiče domény do řadiče domény, který chcete obnovit:
Repadmin.exe /showchanges < Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare>
Případně můžete zobrazit počet nereplikovaných změn:
Repadmin.exe /showchanges <Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare> /statistics
Například (s upraveným výstupem pro čitelnost a důležité položky kurzívou), tady se podíváte na partnerství replikace DC4:
C:\>repadmin.exe /showrepl dc4.corp.contoso.com /repsto
Default-First-Site-Name\DC4
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 5d083398-4bd3-48a4-a80d-fb2ebafb984f
DSA invocationID: 730fafec-b6d4-4911-88f2-5b64e48fc2f1
==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\DC3 via RPC
DSA object GUID: f62978a8-fcf7-40b5-ac00-40aa9c4f5ad3
Last attempt @ 2011-11-11 15:04:12 was successful.
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 3019137e-d223-4b62-baaa-e241a0c46a11
Last attempt @ 2011-11-11 15:04:15 was successful.
Nyní víte, že se replikuje s řadiči DC2 a DC3. Poté zobrazíte seznam změn, o kterých DC2 uvádí, že stále nemá z DC4, a uvidíte, že existuje jedna nová skupina:
C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com
==== SOURCE DSA: (null) ====
Objects returned: 1
(0) add CN=newgroup4,CN=Users,DC=corp,DC=contoso,DC=com
1> parentGUID: 55fc995a-04f4-4774-b076-d6a48ac1af99
1> objectGUID: 96b848a2-df1d-433c-a645-956cfbf44086
2> objectClass: top; group
1> instanceType: 0x4 = ( WRITE )
1> whenCreated: 11/11/2011 3:03:57 PM Eastern Standard Time
Také byste otestovali druhého partnera, abyste se ujistili, že již nebyl replikován.
Případně pokud vás nezajímá, které objekty se nereplikovaly a pouze se staraly o nevyřízených objektů, můžete použít možnost /statistics :
C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com /statistics
***********************************************
********* Grand total *************************
Packets: 1
Objects: 1Object Additions: 1Object Modifications: 0Object Deletions: 0Object Moves: 0Attributes: 12Values: 13
Important
Otestujte všechny zapisovatelné partnery, pokud zaznamenáte nějaké chyby nebo nevyřízenou replikaci. Pokud je konvergován alespoň jeden, je obecně bezpečné snímek obnovit, protože tranzitivní replikace nakonec sladí ostatní servery.
Nezapomeňte si poznamenat všechny chyby v replikaci zobrazené parametrem /showchanges a nepokračujte, dokud nebudou opraveny.
Rutiny snímků prostředí Windows PowerShell
Následující rutiny modulu Windows PowerShell Hyper-V poskytují možnosti snímků v systému Windows Server 2012:
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot