Hyper-V AD Umgebung "einfrieren" und später wiederverwenden
Hallo liebe Gemeinde,
ich habe eine Frage zu einer WIN2019 Umgebung, die aus diversen physischen hosts besteht, auf denen mittels Hyper-V eine AD Umgebung (zwei DCs, diverse Accounts, einige GPOs) mit Windows Fileservern und diversen anderen VMs laufen wird. Es gibt irgendwann Tag X bei der Installation bzw. Konfiguration, an dem dieser Stand in irgendeiner Art und Weise gesichert werden soll, um ein halbes Jahr bis Jahr später genau diesen Stand an einem anderen Standort (mit anderen Nutzernamen, sonst bleibt alles gleich) auf identischer Hardware ebenfalls in Produktion übernehmen zu können.
Was wäre hierzu die mit am wenigsten Aufwand beste Vorgehensweise? Ein Windows Image von sämtlichen hosts ziehen (während die VMs runtergefahren sind) und dieses dann zu gegebener Zeit im neuen Standort wieder installieren? Und wird das AD diese lange Verweildauer überleben?
Für input wäre ich sehr dankbar. Auch ganz andere Ansätze, die mir die Sache erleichtern, sind herzlich willkommen.
Servus,
Badde
ich habe eine Frage zu einer WIN2019 Umgebung, die aus diversen physischen hosts besteht, auf denen mittels Hyper-V eine AD Umgebung (zwei DCs, diverse Accounts, einige GPOs) mit Windows Fileservern und diversen anderen VMs laufen wird. Es gibt irgendwann Tag X bei der Installation bzw. Konfiguration, an dem dieser Stand in irgendeiner Art und Weise gesichert werden soll, um ein halbes Jahr bis Jahr später genau diesen Stand an einem anderen Standort (mit anderen Nutzernamen, sonst bleibt alles gleich) auf identischer Hardware ebenfalls in Produktion übernehmen zu können.
Was wäre hierzu die mit am wenigsten Aufwand beste Vorgehensweise? Ein Windows Image von sämtlichen hosts ziehen (während die VMs runtergefahren sind) und dieses dann zu gegebener Zeit im neuen Standort wieder installieren? Und wird das AD diese lange Verweildauer überleben?
Für input wäre ich sehr dankbar. Auch ganz andere Ansätze, die mir die Sache erleichtern, sind herzlich willkommen.
Servus,
Badde
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 585430
Url: https://administrator.de/forum/hyper-v-ad-umgebung-einfrieren-und-spaeter-wiederverwenden-585430.html
Ausgedruckt am: 27.12.2024 um 16:12 Uhr
20 Kommentare
Neuester Kommentar
Hi,
das kann man so machen. Alle DC-VM zusammen herunterfahren und die VM-Dateien zusammen als Satz kopieren.
Dann kann man diese VM-Satz später irgendwo anders wieder hochfahren, egal, wie lange diese inzwischen aus waren. Unter der Voraussetzung, dass diese beiden Instanzen dieser Domäne und der DC sich dann untereinander nicht "sehen" und das auch niemals angedacht ist.
E.
das kann man so machen. Alle DC-VM zusammen herunterfahren und die VM-Dateien zusammen als Satz kopieren.
Dann kann man diese VM-Satz später irgendwo anders wieder hochfahren, egal, wie lange diese inzwischen aus waren. Unter der Voraussetzung, dass diese beiden Instanzen dieser Domäne und der DC sich dann untereinander nicht "sehen" und das auch niemals angedacht ist.
E.
Hallo,
zu den prinzipiellen Problemen eines solchen Vorgehens hatten wir neulich schon mal eine angeregte Diskussion: Active Directory (DC) klonen
Grüße
lcer
zu den prinzipiellen Problemen eines solchen Vorgehens hatten wir neulich schon mal eine angeregte Diskussion: Active Directory (DC) klonen
Grüße
lcer
Hallo,
wie @emeriks richtig schreibt:
Die kopierten VMs haben dann ja alle die SIDs ihrer Originale. Und dass man geklonte Rechner, noch dazu Server und DCs nicht zusammenbringen soll, ist ja hinlänglich bekannt.
Das nächste wäre die Lizenz-Problematik: eine solche "Doppelnutzung" der Server-Lizenzen und CALs dürfte M$ sicher nicht erfreuen.
Jürgen
wie @emeriks richtig schreibt:
dass diese beiden Instanzen dieser Domäne und der DC sich dann untereinander nicht "sehen" und das auch niemals angedacht ist.
Die kopierten VMs haben dann ja alle die SIDs ihrer Originale. Und dass man geklonte Rechner, noch dazu Server und DCs nicht zusammenbringen soll, ist ja hinlänglich bekannt.
Das nächste wäre die Lizenz-Problematik: eine solche "Doppelnutzung" der Server-Lizenzen und CALs dürfte M$ sicher nicht erfreuen.
Jürgen
dd oder ddrescue von einem linux-live-System (z.B. knoppix).
lks
Zitat von @baddeit:
Das ist auch noch ein offenes Thema. Beide hosts greifen auf einen shared storage zu, auf dem die VMs liegen. Wenn nun z. B. host1 aus irgendwelchen Gründen ausfällt (und dann natürlich sämtliche VMs erst einmal nicht mehr erreichbar sind), was wäre der schnellste Weg, die VMs auf host2 gestartet zu haben?
Ein HA-Cluster.Das ist auch noch ein offenes Thema. Beide hosts greifen auf einen shared storage zu, auf dem die VMs liegen. Wenn nun z. B. host1 aus irgendwelchen Gründen ausfällt (und dann natürlich sämtliche VMs erst einmal nicht mehr erreichbar sind), was wäre der schnellste Weg, die VMs auf host2 gestartet zu haben?
Sers,
deine Idee funktioniert nur dann, wenn die Tombstone Lifetime im AD größer ist als die Offline Periode der beiden DCs. Standardmäßig sind das 180 Tage (seit WS2003SP1). Sprich, wenn einer oder beide DCs 181 Tage offline sind und danach wieder hochgefahren werden, dann ist die Vertrauensstellung kaputt und der 2te DC (der ohne FSMO Rollen) muss repariert werden.
Eine Anleitung findest du hier: Fixing a Tombstoned Domain Controller
Deutlich einfacher:
Mit dem ADSIEdit.msc im Namenskontext Konfiguration der Domäne unter CN=Configuration, CN=Services, in den Eigenschaften von CN=Windows NT den Wert "tombstoneLifetime" anpassen.
Nachdem das Tombstone-Lifetime attribute 4 Byte groß ist kannst du theoretisch bis auf 2147483647 Tage hoch gehen. Praktisch ist das natürlich nicht.
1095 würde dir 3 Jahre geben. Bis dann wirst du eine neue Referenz gebaut haben.
Grüße,
Philip
deine Idee funktioniert nur dann, wenn die Tombstone Lifetime im AD größer ist als die Offline Periode der beiden DCs. Standardmäßig sind das 180 Tage (seit WS2003SP1). Sprich, wenn einer oder beide DCs 181 Tage offline sind und danach wieder hochgefahren werden, dann ist die Vertrauensstellung kaputt und der 2te DC (der ohne FSMO Rollen) muss repariert werden.
Eine Anleitung findest du hier: Fixing a Tombstoned Domain Controller
Deutlich einfacher:
Mit dem ADSIEdit.msc im Namenskontext Konfiguration der Domäne unter CN=Configuration, CN=Services, in den Eigenschaften von CN=Windows NT den Wert "tombstoneLifetime" anpassen.
Nachdem das Tombstone-Lifetime attribute 4 Byte groß ist kannst du theoretisch bis auf 2147483647 Tage hoch gehen. Praktisch ist das natürlich nicht.
1095 würde dir 3 Jahre geben. Bis dann wirst du eine neue Referenz gebaut haben.
Grüße,
Philip
Also der welcher dir davon abgeraten hat hatte schlichtweg keine Ahnung oder war stand von 2008.
Hier mal im Blog schauen
https://www.hyper-v-server.de/
Die Jungs von Rachfahl (MVP) haben es echt gut drauf. Da findest bestimmt einen Artikel zu deinem Thema.
Hier mal im Blog schauen
https://www.hyper-v-server.de/
Die Jungs von Rachfahl (MVP) haben es echt gut drauf. Da findest bestimmt einen Artikel zu deinem Thema.
Hab meinen Cluster damals auch mit den Anleitungen von Rachfahl aufgesetzt. Bedenke aber, wenn du einen Shared Storage nutzt, dann kann der auch ausfallen, im schlechtesten Fall brauchst du dann Ewigkeiten um deine VMs aus dem Backup wiederherzustellen, das heißt, auch hier brauchst du Redundanz.
Storages mit interner Redundanz sind relativ teuer, die etwas besseren QNaps und Synology und Konsorten können auch mal ein faulty Update haben wodurch dein zentraler Storage dann ggf. eine Zeit lang tot ist.
Microsoft bietet jede Menge Möglichkeiten, deine Dienste redundant aufzusetzen, ohne zu Clustern, bei Fileservern z.B. Stichwort DFS, bei Domain Controllern solltest du ja sinnvollerwiese immer mehrere haben, bei Exchange dann mit DAG usw. Ist ein komplexes Thema, die eine allgemeingültige Lösung gibts da nicht, es kommt immer auf das Budget an und was damit für ein Service Level inkl. geplanter Ausfallzeiten erreicht werden soll.
Storages mit interner Redundanz sind relativ teuer, die etwas besseren QNaps und Synology und Konsorten können auch mal ein faulty Update haben wodurch dein zentraler Storage dann ggf. eine Zeit lang tot ist.
Microsoft bietet jede Menge Möglichkeiten, deine Dienste redundant aufzusetzen, ohne zu Clustern, bei Fileservern z.B. Stichwort DFS, bei Domain Controllern solltest du ja sinnvollerwiese immer mehrere haben, bei Exchange dann mit DAG usw. Ist ein komplexes Thema, die eine allgemeingültige Lösung gibts da nicht, es kommt immer auf das Budget an und was damit für ein Service Level inkl. geplanter Ausfallzeiten erreicht werden soll.