gogoflash
Goto Top

Domänencontroller 2003 Clonen

Theoretische Vorgehensweise einen DC zu clonen. Nicht für Produktivsysteme aber zum Spielen bestimmt lustig.

Hallo,

unsere Praktikanten sollen in einer Schulungsumgebung zwei Domänencontroller mit zahlreichen Diensten installieren. Ziel ist es einige Datenbanksysteme zu synchroniseren. Soviel zum Hintergrund.

Die Idee von den Jungs ist banal.

Einen DC mit allem Installieren und dann clonen.
Den geclonten als letzten Domänencontroller aus der Domäne entfernen neue IPs setzen, SID ändern, Namen ändern.
Dann diesen wieder in die Domäne integrieren. Vielleicht macht das DNS ärger.

Vom Grundsätzlichen -abgesehen, dass es eine ziemlich dirty Methode ist- hab ich da keinen Denkfehler gefunden.

Oder irre ich mich da?


Gruß Miguel

PS: Deshalb werde ich die Jungs mal machen lassen und hier mal das Ergebnis posten.

Content-ID: 192618

Url: https://administrator.de/contentid/192618

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

nikoatit
nikoatit 11.10.2012 um 12:55:20 Uhr
Goto Top
Moin,

ich finde hier keine Frage in deinem Text...
Was sagt uns dein Beitrag?

Gruß
goscho
goscho 11.10.2012 um 13:23:11 Uhr
Goto Top
Zitat von @nikoatit:
Moin,
Mahlzeit
ich finde hier keine Frage in deinem Text...
Naja, eine Frage ist schon zu finden:
Oder irre ich mich da?

Was sagt uns dein Beitrag?
Er möchte gern die Bestätigung haben, dass seine Vorgehensweise mit dem Duplizieren der DCs in Ordnung sei.
Ich habe es noch nie gemacht, einen Dc dupliziert und diesen anschließend (nach dem demoten und SID-ändern) als zusätzlichen in die Domäne integriert.
Dani
Dani 11.10.2012 um 13:37:11 Uhr
Goto Top
Moin,
clonen von DCs ist mit Windows Server 2012 supportet. Zitat:
Das Klonen eines vDCs, im Form von Duplizieren der virtuellen Festplatte (z.B. VHD), ist weder supportet und genauso wie ein SnapShot, ein striktes NO-GO! Denn wenn ein Klon in derselben Gesamtstruktur wie das Original online geht, sind die Folgen Katastrophal! Lediglich den Computernamen und die IP-Adresse zu ändern, bringt überhaupt nichts. Denn entscheidend ist der Directory Service Agent-GUID (kurz DSA-GUID), auch bekannt als objectGUID. Dieser lässt sich nicht ändern und ist in der Gesamtstruktur eindeutig.

Ferner existieren doppelte RIDs (Relative Identifiers) und doppelte SIDs. Handelt es sich bei dem geklonten vDC auch noch um den FSMO-Rolleninhaber und speziell um den RID-Master bzw. PDC-Emulator, sind die Probleme viel schlimmer! Der Anruf beim Microsoft Produkt Support Service (MSPSS) ist jedenfalls sicher.

Der RID-Master und sein RID-Pool

Zu Sicherungszwecken ist ein Klon so wie ein Snapshot, ebenfalls ganz und gar nicht geeignet und ist auch nicht supportet! Denn die Problematik ist dieselbe wie beim Rücksichern eines Snapshots. Wird ein Klon wiederhergestellt, versetzt man den vDC zu einem früheren Zustand. Auch hierbei entsteht ein USN Rollback und in einer Umgebung mit mehr als einem DC, stellen die Replikationspartner umgehend die AD-Replikation ein.

Es sollte auch vermieden werden, einen Klon in einer angeblich abgeschotteten Testumgebung zu starten, um verschiedene Tests durchzuführen. Denn das Risiko ist zu groß, das irgendwann einmal die Testumgebung aus welchen Gründen auch immer, doch Verbindung zur Produktivumgebung erhält.
Möchte man sich eine Template-VM erstellen, sollte unbedingt nach der Betriebssysteminstallation SYSPREP (und nicht NEWSID!) ausgeführt werden. Denn erst wenn Sysprep (unter Windows Server 2008 R2 im Verzeichnis %windir%\System32\sysprep) ausgeführt wurde, wird die VM anonymisiert. Erst danach darf das Template geklont werden.

Grüße,
Dani
gogoflash
gogoflash 11.10.2012 aktualisiert um 14:17:12 Uhr
Goto Top
Hallo Dani,

der Domänencontroller wird zwar geklont, und der Clone wird danach demoted. Und später wieder in die Domäne integriert als DC

Das DSA-GUID wird beim promoten neu erstellt. Oder irre ich mich da?


mfG MQ