Bereitstellung und Konfiguration virtualisierter DomänencontrollerVirtualized Domain Controller Deployment and Configuration

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dieses Thema behandelt Folgendes:This topic covers:

Überlegungen zur InstallationInstallation Considerations

Es gibt keine spezielle Rollen- oder Featureinstallation für virtualisierte Domänencontroller, sondern alle Domänencontroller enthalten automatisch Funktionen für das Klonen und die sichere Wiederherstellung.There is no special role or feature installation for virtualized domain controllers; all domain controllers automatically contain cloning and safe restore capabilities. Sie können diese Funktionen nicht entfernen oder deaktivieren.You cannot remove or disable these capabilities.

Für die Verwendung von Windows Server 2012-Domänencontrollern sind die Windows Server 2012 AD DS-Schemaversion 56 oder höher und eine Windows Server 2003 Native oder höher entsprechende Gesamtstrukturfunktionsebene erforderlich.Use of Windows Server 2012 domain controllers requires a Windows Server 2012 AD DS Schema version 56 or higher and forest functional level equal to Windows Server 2003 Native or higher.

Sowohl beschreibbare als auch schreibgeschützte Domänencontroller unterstützen alle Aspekte von virtualisierten Domänencontrollern, so wie globale Kataloge und FSMO-Rollen.Both writable and read-only domain controllers support all aspects of virtualized DC, as do Global Catalogs and FSMO roles.

Wichtig

Der Halter der FSMO-Rolle für den Emulator des primären Domänencontrollers (PDC) muss online sein, wenn das Klonen beginnt.The PDC Emulator FSMO role holder must be online when cloning begins.

Platt Form AnforderungenPlatform Requirements

Für das Klonen von virtualisierten Domänencontrollern ist Folgendes erforderlich:Virtualized Domain Controller cloning requires:

  • FSMO-Rolle für den PDC-Emulator, gehostet auf einem Windows Server 2012-DomänencontrollerPDC emulator FSMO role hosted on a Windows Server 2012 DC

  • Verfügbarkeit des PDC-Emulators während des KlonensPDC emulator available during cloning operations

Für das Klonen und die sichere Wiederherstellung ist Folgendes erforderlich:Both cloning and safe restore require:

  • Virtualisierte Windows Server 2012-GästeWindows Server 2012 virtualized guests

  • Virtualisierunghostplattform mit Unterstützung für VM-Generations-ID (VMGID)Virtualization host platform supports VM-Generation ID (VMGID)

Sehen Sie sich die Tabelle unten an, in der Sie Virtualisierungsprodukte finden und erfahren, ob diese virtualisierte Domänencontroller und die VM-Generations-ID unterstützen.Review the table below for virtualization products and whether they support virtualized domain controllers and VM-Generation ID.

VirtualisierungsproduktVirtualization Product Unterstützung für virtualisierte Domänencontroller und VMGIDSupports virtualized domain controllers and VMGID
Microsoft Windows Server 2012-Server mit Hyper-V-FeatureMicrosoft Windows Server 2012 server with Hyper-V Feature JaYes
Microsoft Windows Server 2012 Hyper-V-ServerMicrosoft Windows Server 2012 Hyper-V Server JaYes
Microsoft Windows 8 mit Hyper-V-ClientfeatureMicrosoft Windows 8 with Hyper-V Client Feature JaYes
Windows Server 2008 R2 und Windows Server 2008Windows Server 2008 R2 and Windows Server 2008 NeinNo
Nicht von Microsoft stammende VirtualisierungslösungenNon-Microsoft virtualization solutions Hersteller kontaktierenContact vendor

Zwar unterstützt Microsoft Windows 7 Virtual PC, Virtual PC 2007, Virtual PC 2004 und Virtual Server 2005, aber diese bieten keine Unterstützung für die Ausführung von 64-Bit-Gästen und die VM-Generations-ID.Even though Microsoft supports Windows 7 Virtual PC, Virtual PC 2007, Virtual PC 2004, and Virtual Server 2005, they cannot run 64-bit guests, nor do they support VM-GenerationID.

Für Hilfe mit Virtualisierungsprodukten von Drittanbietern und deren Unterstützung für virtualisierte Domänencontroller wenden Sie sich direkt an den Anbieter.For help with third party virtualization products and their support stance with virtualized domain controllers, contact that vendor directly.

Weitere Informationen finden Sie in der Supportrichtlinie für Microsoft-Software, die in Hardwarevirtualisierungssoftware ausgeführt wird, die nicht von Microsoft stammt.For more information, review Support policy for Microsoft software running in non-Microsoft hardware virtualization software.

Wichtige EinschränkungenCritical Caveats

Virtualisierte Domänencontroller bieten keine Unterstützung für die sichere Wiederherstellung von folgenden Elementen:Virtualized domain controllers do not support safe restore of the following:

  • VHD- und VHDX-Dateien, die manuell über vorhandene VHD-Dateien kopiert werdenVHD and VHDX files manually copied over existing VHD files

  • VHD- und VHDX-Dateien, die mit Software für Dateisicherungen oder vollständige Festplattensicherungen wiederhergestellt wurdenVHD and VHDX files restored using file backup or full disk backup software

Hinweis

VHDX-Dateien, die neu für Windows Server 2012 Hyper-V sindVHDX files are new to Windows Server 2012 Hyper-V.

Keiner dieser Vorgänge ist unter der Semantik der VM-Generations-ID abgedeckt, deshalb wird die VM-Generations-ID nicht geändert.Neither of these operations is covered under VM-GenerationID semantics and therefore do not change the VM-Generation ID. Die Wiederherstellung von Domänencontrollern über die Methoden kann entweder zu einem USN-Rollback oder einer Quarantäne für den Domänencontroller führen oder zu veralteten Objekten und der Anforderung für gesamtstrukturweite Bereinigungsvorgänge führen.Restoring domain controllers using these methods could either result in a USN rollback and either quarantine the domain controller or introduce lingering objects and the need for forest wide cleanup operations.

Warnung

Die sichere Wiederherstellung des virtualisierten Domänencontrollers ist kein Ersatz für Systemstatussicherungen und den AD DS-Papierkorb.Virtualized domain controller safe restore is not a replacement for system state backups and the AD DS Recycle Bin.

Nach der Wiederherstellung einer Momentaufnahme gehen die Deltas von zuvor nicht replizierten Änderungen, die nach der Momentaufnahme von diesem Domänencontroller stammen, gehen dauerhaft verloren.After restoring a snapshot, the deltas of previously un-replicated changes originating from that domain controller after the snapshot are permanently lost. Die sichere Wiederherstellung implementiert eine automatisierte nicht autoritative Wiederherstellung, nur um eine versehentliche Domänencontrollerquarantäne zu vermeiden.Safe restore implements automated non-authoritative restoration to prevent accidental domain controller quarantine only.

Weitere Informationen zu USN-Blasen und veralteten Objekten finden Sie unter Problembehandlung für Active Directory-Vorgänge, bei denen der Fehler 8606 „Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen“ auftritt.For more information about USN bubbles and lingering objects, see Troubleshooting Active Directory operations that fail with error 8606: "Insufficient attributes were given to create an object".

Klonen von virtualisierten DomänencontrollernVirtualized Domain Controller Cloning

Es gibt eine Reihe von Phasen und Schritten für das Klonen eines virtualisierten Domänencontrollers, unabhängig von der Verwendung grafischer Tools oder der Windows PowerShell.There are a number of stages and steps to cloning a virtualized domain controller, regardless of using graphical tools or Windows PowerShell. Allgemein gesagt, gibt es die drei folgenden Phasen:At a high level, the three stages are:

Vorbereiten der UmgebungPrepare the environment

  • Schritt 1: Vergewissern Sie sich, dass der Hypervisor die VM-Generations-ID und damit das Klonen unterstützt.Step 1: Validate that the hypervisor supports VM-Generation ID and therefore, cloning

  • Schritt 2: Überprüfen Sie, ob die PDC-Emulatorrolle von einem Domänen Controller gehostet wird, auf dem Windows Server 2012 ausgeführt wird und der während des Klonens Online und erreichbar ist.Step 2: Verify the PDC emulator role is hosted by a domain controller that runs Windows Server 2012 and that it is online and reachable by the cloned domain controller during cloning.

Vorbereiten des QuelldomänencontrollersPrepare the source domain controller

  • Schritt 3: Autorisieren Sie den Quelldomänencontroller für das Klonen.Step 3: Authorize the source domain controller for cloning

  • Schritt 4: Entfernen Sie inkompatible Dienste oder Programme, oder fügen Sie diese zur Datei CustomDCCloneAllowList.xml hinzu.Step 4: Remove incompatible services or programs or add them to the CustomDCCloneAllowList.xml file.

  • Schritt 5: Erstellen Sie die Datei „DCCloneConfig.xml“Step 5: Create DCCloneConfig.xml

  • Schritt 6: Nehmen Sie den Quelldomänencontroller offline.Step 6: Take the source domain controller offline

Erstellen des geklonten DomänencontrollersCreate the cloned domain controller

  • Schritt 7: Kopieren oder exportieren Sie den virtuellen Quellcomputer, und fügen Sie die XML hinzu, wenn sie nicht bereits kopiert wurde.Step 7: Copy or export the source VM and add the XML if not already copied

  • Schritt 8: Erstellen Sie einen neuen virtuellen Computer aus der Kopie.Step 8: Create a new virtual machine from the copy

  • Schritt 9: Starten Sie den neuen virtuellen Computer, um das Klonen zu beginnen.Step 9: Start the new virtual machine to commence cloning

Da es keine Unterschiede bei der Vorgehensweise gibt, wenn Sie grafische Tools wie die Hyper-V-Verwaltungskonsole oder Befehlszeilentools wie Windows PowerShell verwenden, werden die Schritte nur einmal mit beiden Oberflächen dargestellt.There are no procedural differences in the operation when using graphical tools such as the Hyper-V Management Console or command-line tools such as Windows PowerShell, so the steps are presented only once with both interfaces. In diesem Thema werden Windows PowerShell-Beispiele bereitgestellt, mit denen Sie die End-to-End-Automatisierung des Klonprozesses erkunden können. Für die einzelnen Schritte sind die Beispiele nicht erforderlich.This topic provides Windows PowerShell samples for you to explore end-to-end automation of the cloning process; they are not required for any steps. In Windows Server 2012 ist kein grafisches Verwaltungstool für virtualisierte Domänencontroller enthalten.There is no graphical management tool for virtualized domain controllers included in Windows Server 2012.

Es gibt verschiedene Punkte im Verfahren, an denen Sie Optionen haben, wie Sie den geklonten Computer erstellen und die XML-Dateien hinzufügen. Diese Schritte sind in den Details unten erwähnt.There are several points in the procedure where you have choices for how to create the cloned computer and how you add the xml files; these steps are noted in the details below. Ansonsten ist der Prozess unveränderbar.The process is otherwise unalterable.

Im folgenden Diagramm ist der Prozess für das Klonen des virtualisierten Domänencontrollers dargestellt, bei dem die Domäne bereits vorhanden ist.The following diagram illustrates the virtualized domain controller cloning process, where the domain already exists.

Diagramm, das den virtualisierten Domänen Controller-Klonprozess veranschaulicht, bei dem die Domäne bereits vorhanden ist.

Schritt 1: Überprüfen des HypervisorsStep 1 - Validate the Hypervisor

Stellen Sie sicher, dass der Quelldomänencontroller auf einem unterstützten Hypervisor ausgeführt wird, indem Sie die Dokumentation des Anbieters durchsehen.Ensure the source domain controller is running on a supported hypervisor by reviewing vendor documentation. Virtualisierte Domänencontroller sind hypervisorunabhängig, was bedeutet, dass Hyper-V nicht erforderlich ist.Virtualized domain controllers are hypervisor-independent and do not require Hyper-V.

Wenn der Hypervisor Microsoft Hyper-V ist, stellen Sie sicher, dass er unter Windows Server 2012 ausgeführt wird.If the hypervisor is Microsoft Hyper-V, ensure it is running on Windows Server 2012 . Sie können dies über die Geräteverwaltung überprüfen.You can validate this using Device Management

Öffnen Sie Devmgmt.msc, und sehen Sie sich die Systemgeräte für installierte Microsoft Hyper-V-Geräte und -Treiber.Open Devmgmt.msc and examine System Devices for installed Microsoft Hyper-V devices and drivers. Für einen virtualisierten Domänencontroller ist spezifisch der Microsoft Hyper-V Generation Counter (Treiber: vmgencounter.sys) erforderlich.The specific system device required for a virtualized domain controller is the Microsoft Hyper-V Generation Counter (driver: vmgencounter.sys).

Screenshot, der die Details für den Microsoft Hyper-V Generierungs Zählers anzeigt.

Schritt 2: Überprüfen der PDCE FSMO-RolleStep 2 - Verify the PDCE FSMO role

Bevor Sie versuchen, einen Domänencontroller zu klonen, müssen Sie überprüfen, ob auf dem Domänencontroller, der die FSMO-Rolle für den Emulator des primären Domänencontrollers hostet, Windows Server 2012 ausgeführt wird.Before you attempt to clone a DC, you must validate that the domain controller hosting the Primary Domain Controller Emulator FSMO runs Windows Server 2012. Der PDC-Emulator (PDCE) ist aus verschiedenen Gründen erforderlich:The PDC emulator (PDCE) is required for several reasons:

  1. Der PDCE erstellt die spezielle Gruppe Klonbare Domänencontroller und legt die Berechtigungen dafür auf den Stamm der Domäne fest, damit ein Domänencontroller sich selbst klonen kann.The PDCE creates the special Cloneable Domain Controllers group and sets its permission on the root of the domain to allow a domain controller to clone itself.

  2. Der klonende Domänencontroller kontaktiert den PDCE direkt über das DRSUAPI RPC-Protokoll, um Computerobjekte für den geklonten Domänencontroller zu erstellen.The cloning domain controller contacts the PDCE directly using the DRSUAPI RPC protocol, in order to create computer objects for the clone DC.

    Hinweis

    Windows Server 2012 erweitert das vorhandene Remoteprotokoll für den Verzeichnisreplikationsdienst (Directory Replication Service, DRS) (UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2), um die neue RPC-Methode IDL_DRSAddCloneDC (Opnum 28) einzuschließen.Windows Server 2012 extends the existing Directory Replication Service (DRS) Remote Protocol (UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2) to include a new RPC method IDL_DRSAddCloneDC (Opnum 28). Die IDL_DRSAddCloneDC-Methode erstellt ein neues Domänencontrollerobjekt durch das Kopieren von Attributen von einem vorhandenen Domänencontrollerobjekt.The IDL_DRSAddCloneDC method creates a new domain controller object by copying attributes from an existing domain controller object.

    Die Status eines Domänencontrollers setzen sich aus Computer, Server, NTDS-Einstellungen, FRS, DFSR und Verbindungsobjekten zusammen, die für jeden Domänencontroller beibehalten werden.The states of a domain controller are composed of computer, server, NTDS settings, FRS, DFSR, and connection objects maintained for each domain controller. Bei der Duplizierung eines Objekts ersetzt diese RPC-Methode alle Referenzen zum ursprünglichen Domänencontroller durch entsprechende Objekte des neuen Domänencontrollers.When duplicating an object, this RPC method replaces all references to the original domain controller with corresponding objects of the new domain controller. Der Anrufer muss über das Zugriffsrecht „DS-Clone-Domain-Controller“ im Domänennamenskontext verfügen.The caller must have the control access right DS-Clone-Domain-Controller on the domain naming context.

    Für die Verwendung dieser neuen Methode ist immer ein direkter Zugriff auf den PDC-Emulatordomänencontroller vom Anrufer erforderlich.Use of this new method always requires direct access to the PDC emulator domain controller from the caller.

    Da diese RPC-Methode neu ist, benötigt Ihre Netzwerkanalysesoftware aktualisierte Parser, um Felder für das neue Opnum 28 in die vorhandene UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2 einzuschließen.Because this RPC method is new, your network analysis software requires updated parsers to include fields for the new Opnum 28 in the existing UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2. Andernfalls können Sie diesen Datenverkehr nicht analysieren.Otherwise, you cannot parse this traffic.

    Weitere Informationen finden Sie unter 4.1.29 IDL_DRSAddCloneDC (Opnum 28).For more information, see 4.1.29 IDL_DRSAddCloneDC (Opnum 28).

*Dies bedeutet auch, dass bei Verwendung nicht vollständig gerouteter Netzwerke das Klonen virtualisierter Domänen Controller Netzwerksegmente mit Zugriff auf die PDCE _ erfordert.*This also means when using non-fully routed networks, virtualized domain controller cloning requires network segments with access to the PDCE _. Es ist akzeptabel, einen geklonten Domänencontroller nach dem Klonen – wie einen physischen Domänencontroller – in ein anderes Netzwerk zu verschieben, solange Sie darauf achten, die Informationen zum logischen AD DS-Standort zu aktualisieren.It is acceptable to move a cloned domain controller to a different network after cloning - just like a physical domain controller - as long as you are careful to update the AD DS logical site information.

Wichtig

Beim Klonen einer Domäne, die nur einen einzigen Domänencontroller enthält, müssen Sie sicherstellen, dass der Quelldomänencontroller wieder online ist, bevor Sie die Klonkopien starten.When cloning a domain that contains only a single domain controller, you must ensure the source DC is back online before starting the clone copies. Eine Produktionsdomäne sollte immer mindestens zwei Domänencontroller enthalten.A production domain should always contain at least two domain controllers.

Methode mit Active Directory-Benutzern und -ComputernActive Directory Users and Computers Method

  1. Klicken Sie mit dem DSA. msc-Snap-in mit der rechten Maustaste auf die Domäne, und klicken Sie auf _ * Betriebs Master * *.Using the Dsa.msc snap-in, right click the domain and click _*Operations Masters**. Notieren Sie den auf der Registerkarte PDC benannten Domänencontroller, und schließen Sie das Dialogfeld.Note the domain controller named on the PDC tab and close the dialog.

  2. Klicken Sie mit der rechten Maustaste auf das Computerobjekt dieses Domänencontrollers, und klicken auf Eigenschaften. Überprüfen Sie dann die Betriebssysteminformationen.Right-click that DC's computer object and click Properties, and then validate the Operating System info.

Windows PowerShell-MethodeWindows PowerShell Method

Sie können die folgenden Cmdlets des Active Directory Windows PowerShell-Moduls verwenden, um die Version des PDC-Emulators zurückzugeben:You can combine the following Active Directory Windows PowerShell Module cmdlets to return the version of the PDC emulator:

Get-adddomaincontroller
Get-adcomputer

Wenn diesen Cmdlets die Domain nicht bereitgestellt wird, gehen sie von der Domäne des Computers aus, auf denen sie ausgeführt werden.If not provided the domain, these cmdlets assume the domain of the computer where run.

Der folgende Befehl gibt PDCE- und Betriebssysteminformationen zurück:The following command returns PDCE and Operating System info:

get-adcomputer(Get-ADDomainController -Discover -Service "PrimaryDC").name -property * | format-list dnshostname,operatingsystem,operatingsystemversion

Im unten stehenden Beispiel wird das Angeben des Domänennamens und Filtern der zurückgegebenen Eigenschaften vor der Windows PowerShell-Pipeline dargestellt:This example below demonstrates specifying the domain name and filtering the returned properties before the Windows PowerShell pipeline:

Screenshot eines Terminal Fensters, das das Angeben des Domänen Namens und das Filtern der zurückgegebenen Eigenschaften vor der Windows PowerShell-Pipeline veranschaulicht.

Schritt 3: Autorisieren eines QuelldomänencontrollersStep 3 - Authorize a Source DC

Der Quelldomänencontroller muss über das Zugriffsrecht Domänencontroller die Erstellung eines Klons von sich selbst erlauben auf dem Namenskontextkopf der Domäne verfügen.The source domain controller must have the control access right (CAR) Allow a DC to create a clone of itself on the domain NC head. Standardmäßig verfügt die bekannte Gruppe Klonbare Domänencontroller über diese Berechtigung und enthält keine Mitglieder.By default, the well-known group Cloneable Domain Controllers has this permission and contains no members. Der PDCE erstellt diese Gruppe, wenn diese FSMO-Rolle an einen Windows Server 2012-Domänencontroller übertragen wird.The PDCE creates this group when that FSMO role transfers to a Windows Server 2012 domain controller.

Methode mit dem Active Directory-VerwaltungscenterActive Directory Administrative Center Method

  1. Starten Sie Dsac.exe, und navigieren Sie zum Quelldomänencontroller. Öffnen Sie dann die Detailseite.Start Dsac.exe and navigate to the source DC, then open its detail page.

  2. Fügen Sie im Abschnitt Mitglied von die Gruppe Klonbare Domänencontroller für die Domäne hinzu.In the Member Of section, add the Cloneable Domain Controllers group for that domain.

Windows PowerShell-MethodeWindows PowerShell Method

Sie können die Cmdlets get-adcomputer und add-adgroupmember des Active Directory Windows PowerShell-Moduls kombinieren, um einen Domänencontroller zur Gruppe Klonbare Domänencontroller hinzuzufügen:You can combine the following Active Directory Windows PowerShell Module cmdlets get-adcomputer and add-adgroupmember to add a domain controller to the Cloneable Domain Controllers group:

Get-adcomputer <dc name> | %{add-adgroupmember "cloneable domain controllers" $_.samaccountname}

Damit wird beispielsweise der Server DC1 zur Gruppe hinzugefügt, ohne dass Sie den Distinguished Name des Gruppenmitglieds angeben müssen:For instance, this adds server DC1 to the group, without the need to specify the distinguished name of the group member:

Screenshot eines Terminal Fensters mit dem Befehl zum Hinzufügen eines Servers zu einer GruppeScreenshot of a terminal window that shows the command for adding a server to a group

Neuerstellung der StandardberechtigungenRebuilding Default Permissions

Wenn Sie diese Berechtigung vom Domänenkopf entfernen, schlägt das Klonen fehl.If you remove this permission from the domain head, cloning fails. Sie die Berechtigung über das Active Directory-Verwaltungscenter oder Windows PowerShell erneut erstellen.You can recreate the permission using the Active Directory Administrative Center or Windows PowerShell.

Methode mit dem Active Directory-VerwaltungscenterActive Directory Administrative Center Method
  1. Öffnen Sie das Active Directory-Verwaltungscenter, klicken Sie mit der rechten Maustaste auf den Domänenkopf, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Erweiterungen, klicken Sie auf Sicherheit, und klicken Sie dann auf Erweitert.Open Active Directory Administrative Center, right-click the domain head, click Properties, click the Extensions tab, click Security, and then click Advanced. Klicken Sie auf Nur dieses Objekt.Click This Object Only.

  2. Klicken Sie auf Hinzufügen, und geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Gruppennamen Klonbare Domänencontrollers ein.Click Add, under Enter the object name to select, type the group name Cloneable Domain Controllers.

  3. Klicken Sie unter Berechtigungen auf Domänencontroller die Erstellung eines Klons von sich selbst erlauben, und klicken Sie dann auf OK.Under Permissions, click Allow a DC to create a clone of itself, and then click OK.

Hinweis

Sie können auch die Standardberechtigung entfernen und individuelle Domänencontroller hinzufügen.You can also remove the default permission and add individual domain controllers. Da wird wahrscheinlich jedoch fortlaufende Wartungsprobleme nach sich ziehen, bei denen neuen Administratoren diese Anpassung nicht bewusst ist.Doing so is likely to cause ongoing maintenance problems however, where new administrators are unaware of this customization. Das Ändern der Standardeinstellung sorgt nicht für mehr Sicherheit und wird nicht empfohlen.Changing the default setting does not increase security and is discouraged.

Windows PowerShell-MethodeWindows PowerShell Method

Verwenden Sie die folgenden Befehle an einer Eingabeaufforderung mit Administratorrechten der Windows PowerShell-Konsole.Use the following commands in an administrator-elevated Windows PowerShell console prompt. Diese Befehle erkennen den Domänennamen und fügen ihn zurück die Standardberechtigungen ein:These commands detect the domain name and add back in the default permissions:

import-module activedirectory
cd ad:
$domainNC = get-addomain
$dcgroup = get-adgroup "Cloneable Domain Controllers"
$sid1 = (get-adgroup $dcgroup).sid
$acl = get-acl $domainNC
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid1,"ExtendedRight","Allow",$objectguid
$acl.AddAccessRule($ace1)
set-acl -aclobject $acl $domainNC
cd c:

Alternativ können Sie das Beispiel FixVDCPermissions.ps1 in einer Windows PowerShell-Konsole, woraufhin die Konsole einen erweiterten Administrator auf einem Domänencontroller in der betroffenen Domäne startet.Alternatively, run the sample FixVDCPermissions.ps1 in a Windows PowerShell console, where the console starts as an elevated administrator on a domain controller in the affected domain. Die Berechtigungen werden automatisch festgelegt.It automatically set the permissions. Das Beispiel befindet sich im Anhang dieses Moduls.The sample is located in the appendix of this module.

Schritt 4: Entfernen inkompatibler Anwendungen oder Dienste (wenn CustomDCCloneAllowList.xml nicht verwendet wird)Step 4 - Remove Incompatible applications or services (if not using CustomDCCloneAllowList.xml)

Alle Programme oder Dienste, die zuvor von Get-ADDCCloningExcludedApplicationList zurückgegeben und nicht zu CustomDCCloneAllowList.xml hinzugefügt wurden, müssen vor dem Klonen entfernt werden.Any programs or services previously returned by Get-ADDCCloningExcludedApplicationList - and not added to the CustomDCCloneAllowList.xml - must be removed prior to cloning. Die empfohlene Methode ist das Deinstallieren der Anwendung oder des Diensts.Uninstalling the application or service is the recommended method.

Warnung

Alle inkompatiblen Programme oder Dienste, die nicht deinstalliert oder zu CustomDCCloneAllowList.xml hinzugefügt werden, verhindern das Klonen.Any incompatible program or service not uninstalled or added to the CustomDCCloneAllowList.xml prevents cloning.

Verwenden Sie das Cmdlet Get-AdComputerServiceAccount, um nach eigenständigen verwalteten Dienstkonten in der Domäne zu suchen und festzustellen, ob dieser Computer diese verwendet.Use the Get-AdComputerServiceAccount cmdlet to locate any standalone Managed Service Accounts (MSAs) in the domain and if this computer is using any of them. Wenn verwaltete Dienstkonten installiert sind, verwenden Sie das Cmdlet Uninstall-ADServiceAccount, um das lokal installierte Dienstkonto zu entfernen.If any MSA is installed, use the Uninstall-ADServiceAccount cmdlet to remove the locally installed service account. Wenn Sie Schritt 6 abgeschlossen und den Quelldomänencontroller offline gestellt haben, können Sie den MSA über Install-ADServiceAccount erneut hinzufügen, wenn der Server wieder online ist.Once you are done with taking the source domain controller offline in step 6, you can re-add the MSA using Install-ADServiceAccount when the server is back online. Weitere Informationen finden Sie unter Uninstall-ADServiceAccount.For more information, see Uninstall-ADServiceAccount.

Wichtig

Eigenständige MSAs, die zuerst in Windows Server 2008 R2 eingeführt wurden, wurden in Windows Server 2012 durch Gruppen-MSAs ersetzt.Standalone MSAs - first released in Windows Server 2008 R2 - were replaced in Windows Server 2012 with group MSAs. Gruppen-MSAs unterstützen das Klonen.Group MSAs support cloning.

Schritt 5: Erstellen der Datei DCCloneConfig.xmlStep 5 - Create DCCloneConfig.xml

Die Datei DcCloneConfig.xml ist für das Klonen von Domänencontrollern erforderlich.The DcCloneConfig.xml file is required for cloning Domain controllers. Ihre Inhalte ermöglichen Ihnen, eindeutige Details wie den Namen und die IP-Adresse des neuen Computers anzugeben.Its contents allow you to specify unique details like the new computer name and IP address.

Die Datei CustomDCCloneAllowList.xml ist optional, solange Sie keine Anwendungen oder potenziell inkompatiblen Windows-Dienste auf dem Quelldomänencontroller installieren.The CustomDCCloneAllowList.xml file is optional unless you install applications or potentially incompatible Windows services on the source domain controller. Für die Dateien ist eine präzise Benennung, Formatierung und Platzierung erforderlich, da andernfalls das Klonen fehlschlägt.The files require precise naming, formatting, and placement; otherwise, cloning fails.

Aus diesem Grund sollten Sie immer die Windows PowerShell-Cmdlets verwenden, um die XML-Dateien zu erstellen und am korrekten Standort zu platzieren.For that reason, you should always use the Windows PowerShell cmdlets to create the XML files and place them in the correct location.

Generieren mit New-ADDCCloneConfigFileGenerating with New-ADDCCloneConfigFile

Das Active Directory Windows PowerShell-Modul enthält ein neues Cmdlet in Windows Server 2012:The Active Directory Windows PowerShell module contains a new cmdlet in Windows Server 2012:

New-ADDCCloneConfigFile

Sie führen das Cmdlet auf dem vorgeschlagenen Quelldomänencontroller aus, den Sie klonen möchten.You run the cmdlet on the proposed source domain controller that you intend to clone. Das Cmdlet unterstützt mehrere Argumente und testet bei Verwendung immer den Computer und die Umgebung, auf dem bzw. in der es ausgeführt wurde, es sei denn, Sie geben das -offline-Argument an.The cmdlet supports multiple arguments and when used, always tests the computer and environment where it is run unless you specify the -offline argument.

ActiveDirectoryActiveDirectory

CmdletCmdlet

ArgumenteArguments ErklärungExplanation
New-ADDCCloneConfigFileNew-ADDCCloneConfigFile Erstellt eine leere „DcCloneConfig.xml“-Datei im DSA-Arbeitsverzeichnis (Standard: %systemroot%\ntds)Creates a blank DcCloneConfig.xml file in the DSA Working Directory (default: %systemroot%\ntds)
-CloneComputerName-CloneComputerName Gibt den Computernamen des geklonten Domänencontrollers an.Specifies the clone DC computer name. String-DatentypString data type.
-Path-Path Gibt den Ordner für die Erstellung der DcCloneConfig.xml-Datei an.Specifies the folder to create the DcCloneConfig.xml. Falls nicht angegeben, wird die Datei in das DSA-Arbeitsverzeichnis (Standard: %systemroot%\ntds) geschrieben.If not specified, writes to the DSA Working Directory (default: %systemroot%\ntds). String-DatentypString data type.
-SiteName-SiteName Gibt den logischen AD-Standortnamen an, dem während der Erstellung des geklonten Computerkontos beigetreten wird.Specifies the AD logical site name to join during cloned computer account creation. String-DatentypString data type.
-IPv4Address-IPv4Address Gibt die statische IPv4-Adresse des geklonten Computers an.Specifies the static IPv4 address of the cloned computer. String-DatentypString data type.
-IPv4SubnetMask-IPv4SubnetMask Gibt die statische IPv4-Subnetzmaske des geklonten Computers an.Specifies the static IPv4 subnet mask of the cloned computer. String-DatentypString data type.
-IPv4DefaultGateway-IPv4DefaultGateway Gibt die statische IPv4-Standardgatewayadresse des geklonten Computers an.Specifies the static IPv4 default gateway address of the cloned computer. String-DatentypString data type.
-IPv4DNSResolver-IPv4DNSResolver Gibt die statischen IPv4-DNS-Einträge des geklonten Computers in einer durch Trennzeichen getrennten Liste an.Specifies the static IPv4 DNS entries of the cloned computer in a comma-separated list. Arraydatentyp.Array data type. Bis zu vier Einträge können bereitgestellt werden.Up to four entries can be provided.
-PreferredWINSServer-PreferredWINSServer Gibt die statische IPv4-Adresse des primären WINS-Computers an.Specifies the static IPv4 address of the primary WINS server. String-DatentypString data type.
-AlternateWINSServer-AlternateWINSServer Gibt die statische IPv4-Adresse des sekundären WINS-Computers an.Specifies the static IPv4 address of the secondary WINS server. String-DatentypString data type.
-IPv6DNSResolver-IPv6DNSResolver Gibt die statischen IPv6-DNS-Einträge des geklonten Computers in einer durch Trennzeichen getrennten Liste an.Specifies the static IPv6 DNS entries of the cloned computer in a comma-separated list. Es gibt keine Möglichkeit, um statische IPv6-Informationen beim Klonen von virtualisierten Domänencontrollern festzulegen.There is no way to set Ipv6 static information in virtualized domain controller cloning. Arraydatentyp.Array data type.
-Offline-Offline Führt keine Validierungstests durch und überschreibt jede vorhandene dccloneconfig.xml-Datei.Does not perform the validation tests and overwrites any existing dccloneconfig.xml. Hat keine Parameter.Has no parameters.
-Statisch-Static Erforderlich, wenn die statischen IP-Argumente IPv4SubnetMask, IPv4SubnetMask oder IPv4DefaultGateway angegeben werden.Required if specifying static IP arguments IPv4SubnetMask, IPv4SubnetMask, or IPv4DefaultGateway. Hat keine Parameter.Has no parameters.

Bei Ausführung im Onlinemodus durchgeführte Tests:Tests performed when run in online mode:

  • PDC-Emulator ist Windows Server 2012 oder höherPDC Emulator is Windows Server 2012 or later

  • Quelldomänencontroller ist Mitglied der Gruppe „Klonbare Domänencontroller“Source domain controller is a member of Cloneable Domain Controllers group

  • Quelldomänencontroller enthält keine ausgeschlossenen Anwendungen oder DiensteSource domain controller does not include any excluded applications or services

  • Quelldomänencontroller enthält noch keine DcCloneConfig.xml-Datei am angegebenen PfadSource domain controller does not already contain a DcCloneConfig.xml at the specified path

Screenshot eines Terminal Fensters, in dem die Tests angezeigt werden, die ausgeführt werden.

Schritt 6: Quelldomänencontroller offline nehmenStep 6 - Take the Source Domain Controller Offline

Sie können keinen laufenden Quelldomänencontroller kopieren, sondern er muss ordnungsgemäß heruntergefahren werden.You cannot copy a running source DC; it must be shutdown gracefully. Sie sollten niemals einen Domänencontroller klonen, der durch einen nicht ordnungsgemäßen Stromverlust angehalten wurde.Do not clone a domain controller stopped by graceless power loss.

Grafische MethodeGraphical Method

Verwenden Sie die Schaltfläche zum Herunterfahren im ausgeführten Domänencontroller oder die Schaltfläche zum Herunterfahren im Hyper-V-Manager.Use the shutdown button within the running DC, or the Hyper-V Manager shutdown button.

Screenshot, der die Schaltfläche Herunterfahren im laufenden DC anzeigt

Screenshot, der die Schaltfläche "Herunterfahren" des Hyper-V-Managers anzeigt

Windows PowerShell-MethodeWindows PowerShell Method

Sie können einen virtuellen Computer über eins der folgenden Cmdlets herunterfahren:You can shut down a virtual machine using either of the following cmdlets:

Stop-computer
Stop-vm

Stop-computer ist ein Cmdlet, das das Herunterfahren von Computern unabhängig von der Virtualisierung unterstützt, und entspricht dem Vorversionsdienstprogramm Shutdown.exe.Stop-computer is a cmdlet that supports shutting down computers regardless of virtualization, and is analogous to the legacy Shutdown.exe utility. Stop-vm ist ein neues Cmdlet im Windows Server 2012 Hyper-V Windows PowerShell-Modul, das den Energieoptionen im Hyper-V-Manager entspricht.Stop-vm is a new cmdlet in the Windows Server 2012 Hyper-V Windows PowerShell module, and is equivalent to the power options in Hyper-V Manager. Letztere Option ist nützlich in Laborumgebungen, in denen Domänencontroller oft in einem privaten virtualisierten Netzwerk betrieben werden.The latter is useful in lab environments where the domain controller often operates on a private virtualized network.

Screenshot eines Terminal Fensters, das zeigt, wie das Cmdlet "-Cmdlet" beendet wird.

Screenshot eines Terminal Fensters, das zeigt, wie das Cmdlet "stoppt-VM" verwendet wird.

Schritt 7: Kopieren von DatenträgernStep 7 - Copy Disks

In der Kopierphase ist eine administrative Entscheidung erforderlich:An administrative choice is required in the copying phase:

  • Manuelles Kopieren der Datenträger ohne Hyper-VCopy the disks manually, without Hyper-V

  • Exportieren des virtuellen Computers mithilfe von Hyper-VExport the VM, using Hyper-V

  • Exportieren der zusammengeführten Datenträger mithilfe von Hyper-VExport the merged disks, using Hyper-V

Alle Datenträger eines virtuellen Computers müssen kopiert werden, nicht nur das Systemlaufwerk.All of a virtual machine's disks must be copied, not just the system drive. Wenn der Quelldomänencontroller verschiedene Datenträger verwendet und Sie planen, Ihren geklonten Domänencontroller auf einen anderen Hyper-V-Host zu verschieben, müssen Sie exportieren.If the source domain controller uses differencing disks and you plan to move your cloned domain controller to another Hyper-V host, you must export.

Das manuelle Kopieren von Datenträgern wird empfohlen, wenn der Domänencontroller nur über ein Laufwerk verfügt.Copying disks manually is recommended if the source domain controller has only one drive. Das Exportieren/Importieren wird für virtuelle Computer mit mehreren Laufwerken oder anderen komplexen virtuellen Hardwareanpassungen wie mehreren NICs empfohlen.Export/Import is recommended for VMs with more than one drive or other complex virtualized hardware customizations like multiple NICs.

Wenn Sie Dateien manuell kopieren, löschen Sie vor dem Kopieren alle Momentaufnahmen.If copying files manually, delete any snapshots prior to copying. Wenn Sie den virtuellen Computer exportieren, löschen Sie Momentaufnahmen vor dem Exportieren oder nach dem Importieren von dem neuen virtuellen Computer.If exporting the VM, delete snapshots prior to exporting or delete them from the new VM after importing.

Warnung

Momentaufnahmen sind unterschiedliche Datenträger, die einen Domänencontroller in einen früheren Status zurücksetzen können.Snapshots are differencing disks that can return a domain controller to previous state. Wenn Sie einen Domänencontroller klonen und dann seine Momentaufnahme vor dem Klonen wiederherstellen würden, hätten Sie duplizierte Domänencontroller in der Gesamtstruktur.If you were to clone a domain controller and then restore its pre-cloning snapshot, you would end up with duplicate domain controllers in the forest. Frühere Momentaufnahmen auf einem neu geklonten Domänencontroller haben keinen Nutzen.There is no value in prior snapshots on a newly cloned domain controller.

Manuelles Kopieren von DatenträgernManually Copying Disks

Methode mit dem Hyper-V-ManagerHyper-V Manager Method

Verwenden Sie das Hyper-V-Manager-Snap-In, um zu ermitteln, welche Datenträger mit dem Quelldomänencontroller verbunden sind.Use the Hyper-V Manager snap-in to determine which disks are associated with the source domain controller. Verwenden Sie Überprüfungsoption, um zu prüfen, ob der Domänencontroller unterschiedliche Datenträger verwendet (dann müssten Sie auch den übergeordneten Datenträger kopieren).Use the Inspect option to validate if the domain controller uses differencing disks (which requires that you copy the parent disk also)

Screenshot, der zeigt, wie die Option "überprüfen" verwendet wird.

Zum Lösungen von Momentaufnahmen wählen Sie einen virtuellen Computer aus und löschen die Momentaufnahmeunterstruktur.To delete snapshots, select a VM and delete the snapshot subtree.

Screenshot, der zeigt, wie eine Momentaufnahme gelöscht wird.

Sie können dann die VHD- oder VHDX-Dateien über Windows Explorer, Xcopy.exe oder Robocopy.exe manuell kopieren.You can then manually copy the VHD or VHDX files using Windows Explorer, Xcopy.exe, or Robocopy.exe. Es sind keine speziellen Schritte erforderlich.No special steps are required. Als bewährte Methode sollten Sie die Dateinamen ändern, selbst wenn Sie die Dateien in einen anderen Ordner verschieben.It is a best practice to change the file names even if moving to another folder.

Hinweis

Wenn Sie zwischen Hostcomputern in einem LAN (1-GBit oder größer) kopieren, kopiert die Option Xcopy.exe /J VHD-/VHDX-Dateien deutlich schneller als jedes andere Tool, allerdings zum Preis einer wesentlich höheren Bandbreitennutzung.If copying between host computers on a LAN (1-Gbit or greater), the Xcopy.exe /J option copies VHD/VHDX files considerably faster than any other tool, at the cost of much greater bandwidth usage.

Windows PowerShell-MethodeWindows PowerShell Method

Zum Ermitteln der Datenträger, die Windows PowerShell verwenden, benutzen Sie die Hyper-V-Module:To determine the disks using Windows PowerShell, use the Hyper-V Modules:

Get-vmidecontroller
Get-vmscsicontroller
Get-vmfibrechannelhba
Get-vmharddiskdrive

Sie können beispielsweise mit dem folgenden Beispiel alle IDE-Festplattenlaufwerke von einem virtuellen Computer mit dem Namen DC2 zurückgeben:For example, you can return all IDE hard drives from a VM named DC2 with the following sample:

Screenshot, der zeigt, wie Sie alle IDE-Festplattenlaufwerke von einem virtuellen Computer mit dem Namen DC2 zurückgeben.

Wenn der Datenträgerpfad auf eine AVHD- oder AVHDX-Datei verweist, handelt es sich um eine Momentaufnahme.If the disk path points to an AVHD or AVHDX file, it is a snapshot. Zum Löschen der mit einem Datenträger verbundenen Momentaufnahmen und Zusammenführen der realen VHD- oder VHDX-Dateien verwenden Sie die Cmdlets:To delete the snapshots associated with a disk and merge in the real VHD or VHDX, use cmdlets:

Get-VMSnapshot
Remove-VMSnapshot

So löschen Sie beispielsweise alle Momentaufnahmen von einem virtuellen Computer namens DC2-SOURCECLONE:For example, to delete all snapshots from a VM named DC2-SOURCECLONE:

Screenshot, der zeigt, wie alle Momentaufnahmen von einem virtuellen Computer mit dem Namen DC2-sourceclone gelöscht werden.

Verwenden Sie zum Kopieren der Dateien mithilfe von Windows PowerShell das folgende Cmdlet:To copy the files using Windows PowerShell, use the following cmdlet:

Copy-Item

Kombinieren Sie dies mit Cmdlets des virtuellen Computers in Pipelines, um die Automatisierung zu unterstützen.Combine with VM cmdlets in pipelines to aid automation. Pipelines sind Kanäle zur Datenübergabe zwischen mehreren Cmdlets.The pipeline is a channel used between multiple cmdlets to pass data. So können Sie beispielsweise das Laufwerk eines Offline-Quelldomänencontrollers namens DC2-SOURCECLONE auf einen neuen Datenträger namens c:\temp\copy.vhd kopieren, ohne des exakten Pfad zu seinem Systemlaufwerk kennen zu müssen:For example, to copy the drive of an offline source domain controller named DC2-SOURCECLONE to a new disk called c:\temp\copy.vhd without the need to know the exact path to its system drive:

Get-VMIdeController dc2-sourceclone | Get-VMHardDiskDrive | select-Object {copy-item -path $_.path -destination c:\temp\copy.vhd}

Screenshot, der zeigt, wie das Laufwerk eines Offline-Quell Domänen Controllers namens DC2-sourceclone auf einen neuen Datenträger namens c:\temp\copy.VHD kopieren kopiert wird, ohne dass der exakte Pfad zum Systemlaufwerk bekannt sein muss.

Wichtig

Sie können beim Klonen Passthru-Datenträger verwenden, da diese keine virtuelle Datenträgerdatei, sondern eine tatsächliche Festplatte benutzen.You cannot use passthru disks with cloning, as they do not use a virtual disk file but instead an actual hard disk.

Hinweis

Weitere Informationen zu Windows PowerShell-Vorgängen mit Pipelines finden Sie unter Piping und die Pipeline in Windows PowerShell.For more information about more Windows PowerShell operations with pipelines, see Piping and the Pipeline in Windows PowerShell.

Exportieren des virtuellen ComputersExporting the VM

Alternativ zum Kopieren der Datenträger können Sie den gesamten virtuellen Hyper-V-Computer als Kopie exportieren.As an alternative to copying the disks, you can export the entire Hyper-V VM as a copy. Beim Exportieren wird automatisch ein für den virtuellen Computer benannter Ordner erstellt, der alle Datenträger und Konfigurationsinformationen enthält.Exporting automatically creates a folder named for the VM and containing all disks and configuration information.

Screenshot, der zeigt, wo Sie den gesamten virtuellen Hyper-V-Computer als Kopie exportieren können

Methode mit dem Hyper-V-ManagerHyper-V Manager Method

So exportieren Sie einen virtuellen Computer mit Hyper-V-Manager:To export a VM with Hyper-V Manager:

  1. Klicken Sie mit der rechten Maustaste auf den Domänencontroller, und klicken Sie auf Exportieren.Right-click the source domain controller and click Export.

  2. Wählen Sie einen vorhandenen Ordner als Exportcontainer aus.Select an existing folder as the export container.

  3. Warten Sie, bis in der Statusspalte nicht mehr Wird exportiert angezeigt wird.Wait for the Status column to stop showing Exporting.

Windows PowerShell-MethodeWindows PowerShell Method

Verwenden Sie zum Exportieren eines virtuellen Computers mit dem Hyper-V Windows PowerShell-Modul das Cmdlet:To export a VM using the Hyper-V Windows PowerShell module, use cmdlet:

Export-vm

So exportieren Sie beispielsweise einen virtuellen Computer namens DC2-SOURCECLONE an einen Ordner namens C:\VM:For example, to export a VM named DC2-SOURCECLONE to a folder named C:\VM:

Screenshot, der zeigt, wie Sie einen virtuellen Computer namens DC2-sourceclone in einen Ordner namens c:\vmexportieren.

Hinweis

Windows Server 2012 Hyper-V unterstützt neue Export- und Importfunktionen, die über den Rahmen dieses Trainings hinausgehen.Windows Server 2012 Hyper-V supports new export and import capabilities that are outside the scope of this training. Weitere Informationen finden Sie auf der TechNet-Website.Review TechNet for more information.

Exportieren der zusammengeführten Datenträger mithilfe von Hyper-VExporting merged disks, using Hyper-V

Die letzte Option besteht darin, die Datenträgerzusammenführungs- und Konvertierungsoptionen in Hyper-V zu verwenden.The final option is to use the disk merge and conversion options within Hyper-V. Damit können Sie eine Kopie einer vorhanden Datenträgerstruktur auf einem einzigen neue Datenträger erstellen, selbst wenn AVHD-/AVHDX-Momentaufnahmendateien enthalten sind.These allow you to make a copy of an existing disk structure - even when including snapshot AVHD/AVHDX files - into a single new disk. Wie beim manuellen Datenträger Kopier Szenario ist dies hauptsächlich für einfachere virtuelle Computer vorgesehen, die nur ein einziges Laufwerk verwenden, z. b. "C:" \ .Like the manual disk copy scenario, this is primarily intended for simpler virtual machines that only use a single drive, such as C:\. Der einzige Vorteil ist, dass Sie hier im Gegensatz zum manuellen Kopieren nicht erst Momentaufnahmen löschen müssen.Its lone advantage is that, unlike manually copying, it does not require you to first delete snapshots. Dieser Vorgang ist natürlich langsamer als das einfache Löschen der Momentaufnahmen und das Kopieren von Datenträgern.This operation is necessarily slower than simply deleting the snapshots and copying disks.

Methode mit dem Hyper-V-ManagerHyper-V Manager Method

So erstellen Sie einen zusammengeführten Datenträger mit Hyper-V-Manager:To create a merged disk using Hyper-V Manager:

  1. Klicken Sie auf Datenträger Bearbeiten.Click Edit Disk.

  2. Suchen Sie nach dem niedrigsten untergeordneten Datenträger.Browse for the lowest child disk. Wenn Sie beispielsweise einen differenzierenden Datenträger verwenden, die der untergeordnete Datenträger der niedrigste untergeordnete Datenträger.For example, if you are using a differencing disk, the child disk is the lowest child. Wenn der virtuelle Computer über eine Momentaufnahme (oder mehrere) verfügt, ist die aktuell ausgewählte Momentaufnahme der niedrigste untergeordnete Datenträger.If the virtual machine has a snapshot (or multiple ones), the currently selected snapshot is the lowest child disk.

  3. Wählen Sie die Option Zusammenführen aus, um aus der gesamten Struktur aus übergeordneten und untergeordneten Datenträgern einen einzigen Datenträger zu erstellen.Select the Merge option to create a single disk out of the entire parent-child structure.

  4. Wählen Sie eine neue virtuelle Festplatte aus, und geben Sie einen Pfad an.Select a new virtual hard disk and provide a path. Damit werden die vorhandenen VHD-/VHDX-Dateien ein eine einzige neue portable Einheit aufgelöst, bei der kein Risiko besteht, dass frühere Momentaufnahmen wiederhergestellt werden.This reconciles the existing VHD/VHDX files into a single new portable unit that is not at risk of restoring previous snapshots.

Windows PowerShell-MethodeWindows PowerShell Method

Verwenden Sie zum Erstellen eines zusammengeführten Datenträgers aus einer komplexen Sammlung von übergeordneten Datenträgern mithilfe des Hyper-V Windows PowerShell-Moduls das Cmdlet:To create a merged disk from a complex set of parents using the Hyper-V Windows PowerShell module, use cmdlet:

Convert-vm

So exportieren Sie beispielsweise die gesamte Kette der Festplattenmomentaufnahmen eines virtuellen Computers (dieses Mal ohne differenzierende Datenträger) und den übergeordneten Datenträger an einen neuen einzelnen Datenträger namens DC4-CLONED.VHDX:For example, to export the entire chain of a VM's disk snapshots (this time not including any differencing disks) and parent disk into a new single disk named DC4-CLONED.VHDX:

Screenshot eines Terminal Fensters, das zeigt, wie die gesamte Kette der Datenträger Momentaufnahmen und des übergeordneten Datenträgers eines virtuellen Computers in einen neuen einzelnen Datenträger namens DC4-geklont exportiert wird. VHDX

Hinzufügen der XML zum OfflinesystemdatenträgerAdding XML to the Offline System Disk

Wenn Sie die Datei Dccloneconfig.xml auf den ausgeführten Quelldomänencontroller kopiert haben, müssen Sie jetzt die aktualisierte dccloneconfig.xml-Datei an den kopierten/exportierten Offlinesystemdatenträger kopieren.If you did copy the Dccloneconfig.xml to the running source DC, you must copy the updated dccloneconfig.xml file to the offline copied/exported system disk now. Je nachdem, welche installierten Anwendungen zuvor mit Get-ADDCCloningExcludedApplicationList erkannt wurden, müssen Sie möglicherweise auch die Datei CustomDCCloneAllowList.xml auf den Datenträger kopieren.Depending on installed applications detected with Get-ADDCCloningExcludedApplicationList earlier, you may also need to copy the CustomDCCloneAllowList.xml file to the disk.

Die Datei DcCloneConfig.xml kann sich an den folgenden Speicherorten befinden:The following locations can contain the DcCloneConfig.xml file:

  1. DSA-ArbeitsverzeichnisDSA Working Directory

  2. %windir%\NTDS%windir%\NTDS

  3. Lese-/Schreib-Wechselmedien in der Reihenfolge des Laufwerkbuchstabens, im Stamm des LaufwerksRemovable read/write media, in order of drive letter, at the root of the drive

Diese Pfade sind nicht konfigurierbar.These paths are not configurable. Wenn das Klonen begonnen hat, werden diese Speicherorte in dieser spezifischen Reihenfolge überprüft und die zuerst gefundene DcCloneConfig.xml-Datei wird verwendet, unabhängig von Inhalten der anderen Ordner.After cloning begins, the cloning checks these locations in that specific order and uses the first DcCloneConfig.xml file found, regardless of the other folder's contents.

Die Datei CustomDCCloneAllowList.xml kann sich an den folgenden Speicherorten befinden:The following locations can contain the CustomDCCloneAllowList.xml file:

  1. HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\ParametersHKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters

    AllowListFolder (REG_SZ)AllowListFolder (REG_SZ)

  2. DSA-ArbeitsverzeichnisDSA Working Directory

  3. %windir%\NTDS%windir%\NTDS

  4. Lese-/Schreib-Wechselmedien in der Reihenfolge des Laufwerkbuchstabens, im Stamm des LaufwerksRemovable read/write media, in order of drive letter, at the root of the drive

Sie können New-ADDCCloneConfigFile mit dem Argument -offline ausführen (das auch als Offlinemodus bezeichnet wird), um die Datei DcCloneConfig.xml zu erstellen und an einem korrekten Speicherort zu platzieren.You can run New-ADDCCloneConfigFile with the -offline argument (also known as offline mode) to create the DcCloneConfig.xml file and place it in a correct location. Im folgenden Beispiel ist gezeigt, wie Sie New-ADDCCloneConfigFile im Offlinemodus ausführen.The following examples show how to run New-ADDCCloneConfigFile in offline mode.

Um einen geklonten Domänen Controller mit dem Namen CloneDC1 im Offline Modus zu erstellen, geben Sie an einer Website mit dem Namen "Redmond" mit statischer IPv4-AdresseTo create a clone domain controller named CloneDC1 in offline mode, in a site called "REDMOND" with static IPv4 address, type:

New-ADDCCloneConfigFile -Offline -CloneComputerName CloneDC1 -SiteName REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -Static -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen %%amp;quot;Clone2%%amp;quot; im Offlinemodus mit statischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:To create a clone domain controller named Clone2 in offline mode with static IPv4 and static IPv6 settings, type:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask "255.255.0.0" -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers im Offlinemodus mit statischen IPv4- und dynamischen IPv6-Einstellungen und zum Angeben mehrerer DNS-Server für die DNS-Auflösungseinstellungen geben Sie Folgendes ein:To create a clone domain controller in offline mode with static IPv4 and dynamic IPv6 settings and specify multiple DNS servers for the DNS resolver settings, type:

New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask "255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @( "10.0.0.1","10.0.0.2" ) -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers mit dem Namen %%amp;quot;Clone1%%amp;quot; im Offlinemodus mit statischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:To create a clone domain controller named Clone1 in offline mode with dynamic IPv4 and static IPv6 settings, type:

New-ADDCCloneConfigFile -Offline -Static -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName "REDMOND" -Path F:\Windows\NTDS

Zum Erstellen eines geklonten Domänencontrollers im Offlinemodus mit dynamischen IPv4- und IPv6-Einstellungen geben Sie Folgendes ein:To create a clone domain controller in offline mode with dynamic IPv4 and dynamic IPv6 settings, type:

New-ADDCCloneConfigFile -Offline -IPv4DNSResolver "10.0.0.1" -IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS

Windows Explorer-MethodeWindows Explorer Method

Windows Server 2012 bietet jetzt eine grafische Option für das Bereitstellen von VHD- und VHDX-Dateien.Windows Server 2012 now offers a graphical option for mounting VHD and VHDX files. Dafür ist die Installation des Desktopdarstellungsfeatures in Windows Server 2012 erforderlich.This requires installation of the Desktop Experience feature on Windows Server 2012.

  1. Klicken Sie auf die neu kopierte VHD-/VHDX-Datei, die das Systemlaufwerk des Quelldomänencontrollers oder den Speicherortordner des DSA-Arbeitsverzeichnisses enthält, und klicken Sie dann im Menü Datenträgerimagetools auf Bereitstellen.Click the newly copied VHD/VHDX file that contains the source DC's system drive or DSA Working Directory location folder, and then click Mount from the Disc Image Tools menu.

  2. Kopieren Sie im jetzt bereitgestellten Laufwerk die XML-Dateien an einen gültigen Speicherort.In the now-mounted drive, copy the XML files to a valid location. Möglicherweise werden Sie aufgefordert, Berechtigungen für den Ordner zu bestätigen.You may be prompted for permissions to the folder.

  3. Klicken Sie auf das bereitgestellte Laufwerk, und klicken Sie im Menü Datenträgertools auf Auswerfen.Click the mounted drive and click Eject from the Disk Tools menu.

Screenshot, der das eingebundene Festplattenlaufwerk anzeigt

Screenshot, der die Details der bereitgestellten Festplatte anzeigt

Screenshot, der die ausworfene Festplatte anzeigt

Windows PowerShell-MethodeWindows PowerShell Method

Alternativ können Sie das Offlinelaufwerk bereitstellen und die XML-Datei über die folgenden Windows PowerShell-Cmdlets kopieren:Alternatively, you can mount the offline disk and copy the XML file using the Windows PowerShell cmdlets:

mount-vhd
get-disk
get-partition
get-volume
Add-PartitionAccessPath
Copy-Item

Damit erhalten Sie die vollständige Kontrolle über den Prozess.This allows you complete control over the process. Sie können beispielsweise das Laufwerk mit einem bestimmten Laufwerksbuchstaben bereitstellen, die Datei kopieren und die Bereitstellung des Laufwerks aufheben.For instance, the drive can be mounted with a specific drive letter, the file copied, and the drive dismounted.

mount-vhd <disk path> -passthru -nodriveletter | get-disk | get -partition | get-volume | get-partition | where {$_.partition number -eq 2} | Add-PartitionAccessPath -accesspath <drive letter>

copy-item <xml file path><destination path>\dccloneconfig.xml

dismount-vhd <disk path>

Beispiel:For example:

Screenshot, der zeigt, wie ein Laufwerk mit einem bestimmten Laufwerk Buchstaben, der kopierten Datei und dem Aufheben der Bereitstellung des Laufwerks bereitgestellt werden kann.

Alternativ können Sie mit dem neuen Cmdlet Mount-DiskImage eine VHD-Datei (oder ISO-Datei) bereitstellen.Alternatively, you can use the new Mount-DiskImage cmdlet to mount a VHD (or ISO) file.

Schritt 8: Erstellen des neuen virtuellen ComputersStep 8 - Create the New Virtual Machine

Der letzte Konfigurationsschritt vor Beginn des Klonprozesses ist das Erstellen eines neuen virtuellen Computers, der die Datenträger aus dem kopierten Quelldomänencontroller verwendet.The final configuration step before starting the cloning process is creating a new VM that uses the disks from the copied source domain controller. Je nach Ihrer Auswahl beim Kopieren der Datenträger haben Sie zwei Optionen:Depending on the selection made in the copying disks phase, you have two options:

  1. Zuordnen eines neuen virtuellen Computers zum kopierten DatenträgerAssociate a new VM with the copied disk

  2. Importieren des exportierten virtuellen ComputersImport the exported VM

Zuordnen eines neuen virtuellen Computers zu kopierten DatenträgernAssociating a New VM with Copied Disks

Wenn Sie die Systemdatenträger manuell kopiert haben, müssen Sie einen neuen virtuellen Computer unter Verwendung des kopierten Datenträgers erstellen.If you copied the system disk manually, you must create a new virtual machine using the copied disk. Der Hypervisor legt die VM-Generations-ID bei der Erstellung eines neuen virtuellen Computers automatisch fest, sodass keine Konfigurationsänderungen im virtuellen Computer oder dem Hyper-V-Host erforderlich sind.The hypervisor automatically sets the VM-Generation ID when a new VM is created; no configuration changes are required in the VM or Hyper-V host.

Screenshot, der zeigt, wie Sie einen neuen virtuellen Computer mithilfe des kopierten Datenträgers erstellen.

Methode mit dem Hyper-V-ManagerHyper-V Manager Method
  1. Erstellen Sie einen neuen virtuellen Computer.Create a new virtual machine.

  2. Geben Sie den Namen, den Arbeitsspeicher und das Netzwerk für den virtuellen Computer an.Specify the VM name, memory, and network.

  3. Geben Sie auf der Seite zum Verbinden der virtuellen Festplatte den kopierten Systemdatenträger an.On the Connect Virtual Hard Disk page, specify the copied system disk.

  4. Schließen Sie den Assistenten ab, um den virtuellen Computer zu erstellen.Complete the wizard to create the VM.

Wenn mehrere Datenträger, Netzwerkadapter oder andere Anpassungen vorhanden waren, konfigurieren Sie diese, bevor Sie den Domänencontroller starten.If there were multiple disks, network adapters, or other customizations, configure them before starting the domain controller. Für komplexe virtuelle Computer wird die Export-Import-Methode für das Kopieren von Datenträgern empfohlen.The "Export-Import" method of copying disks is recommended for complex VMs.

Windows PowerShell-MethodeWindows PowerShell Method

Sie können das Hyper-V Windows PowerShell-Modul verwenden, um die Erstellung eines virtuellen Computers in Windows Server 2012 mit dem folgenden Cmdlet zu automatisieren:You can use the Hyper-V Windows PowerShell module to automate VM creation in Windows Server 2012, using the following cmdlet:

New-VM

Hier wird beispielsweise der virtuelle Computer DC4-CLONEDFROMDC2 VM mit 1 GB RAM erstellt, der von der Datei c:\vm\dc4-systemdrive-clonedfromdc2.vhd gestartet wird und das virtuelle Netzwerk 10.0 verwendet:For example, here the DC4-CLONEDFROMDC2 VM is created, using 1GB of RAM, booting from the c:\vm\dc4-systemdrive-clonedfromdc2.vhd file, and using the 10.0 virtual network:

Screenshot, der die Details der VM "DC4-CLONEDFROMDC2" anzeigt.

VM importierenImport VM

Wenn Sie Ihren virtuellen Computer zuvor exportiert haben, müssen Sie ihn jetzt als Kopie zurück importieren.If you previously exported your VM, you now need to import it back in as a copy. Dabei wird die exportierte XML-Datei verwendet, um den Computer mit allen vorherigen Einstellungen, Laufwerken, Netzwerken und Arbeitsspeichereinstellungen erneut zu erstellen.This uses the exported XML to recreate the computer using all the previous settings, drives, networks, and memory settings.

Wenn Sie beabsichtigen, zusätzliche Kopien von demselben exportierten virtuellen Computer zu erstellen, erstellen Sie so viele Kopien des virtuellen Computers wie erforderlich.If you intend to create additional copies from the same exported VM, make as many copies of the exported VM as necessary. Verwenden Sie dann den Importvorgang für jede Kopie.Then use Import for each copy.

Wichtig

Es ist wichtig, die Option Kopieren zu verwenden, da beim Exportieren all Informationen von der Quelle beibehalten werden. Wenn Sie den Server mit Verschieben oder Überschreiben importieren, kommt es bei Ausführung auf dem Hyper-V-Hostserver zu einer Informationskollision.It is important to use the Copy option, as export preserves all information from the source; importing the server with Move or In Place causes information collision if done on the same Hyper-V host server.

Methode mit dem Hyper-V-ManagerHyper-V Manager Method

So importieren Sie mit dem Hyper-V-Manager-Snap-In:To import using the Hyper-V Manager snap-in:

  1. Klicken Sie auf Virtuellen Computer importieren.Click Import Virtual Machine

  2. Wählen Sie auf der Seite Ordner suchen die Definitionsdatei des exportierten virtuellen Computers über die Schaltfläche zum Durchsuchen aus.On the Locate Folder page, select the exported VM definition file using the Browse button

  3. Klicken Sie auf der Seite Virtuellen Computer auswählen auf den Quellcomputer.On the Select Virtual Machine page, click the source computer.

  4. Klicken Sie auf der Seite Importtyp auswählen auf Virtuellen Computer kopieren (neue eindeutige ID erstellen), und klicken Sie dann auf Fertig stellen.On the Choose Import Type page, click Copy the virtual machine (create a new unique ID), then click Finish.

  5. Benennen Sie den importierten virtuellen Computer um, wenn Sie auf demselben Hyper-V-Host importieren, da er denselben Namen hat wie der exportierte Quelldomänencontroller.Rename the imported VM if importing on the same Hyper-V host; it will have the same name as the exported source domain controller.

Screenshot, der anzeigt, wo der Ordner zu finden ist, in dem der virtuelle Computer installiert ist.

Screenshot, der zeigt, wie die zu importierende VM ausgewählt wird.

Screenshot, der zeigt, wie der Importtyp ausgewählt wird.

Denken Sie daran, alle importierten Momentaufnahme über das Hyper-V-Verwaltungs-Snap-In zu entfernen:Remember to remove any imported snapshots, using the Hyper-V Management snap-in:

Screenshot, der zeigt, wie Momentaufnahmen entfernt werden.

Warnung

Das Löschen aller importierten Momentaufnahmen ist äußerst wichtig, da sie bei Anwendung den geklonten Domänencontroller in den Status eines früheren, möglicherweise Livedomänencontrollers zurücksetzen würden, was zu Replikationsfehlern, doppelten IP-Informationen und anderen Unterbrechungen führen würde.Deleting any imported snapshots is critically important; if applied, they would return the cloned domain controller to the state of a previous - and possibly live - DC, leading to replication failure, duplicate IP information, and other disruptions.

Windows PowerShell-MethodeWindows PowerShell Method

Sie können das Hyper-V Windows PowerShell-Modul verwenden, um das Importieren eines virtuellen Computers in Windows Server 2012 mit den folgenden Cmdlets zu automatisieren:You can use the Hyper-V Windows PowerShell module to automate VM import in Windows Server 2012, using the following cmdlets:

Import-VM
Rename-VM

Hier wird beispielsweise der exportierte virtuelle Computer VM DC2-CLONED mit seiner automatisch ermittelten XML-Datei importiert und dann unmittelbar in seinen neuen virtuellen Computernamen DC5-CLONEDFROMDC2 umbenannt:For example, here the exported VM DC2-CLONED is imported using its automatically determined XML file, then renamed immediately to its new VM name DC5-CLONEDFROMDC2:

Screenshot eines Terminal Fensters, in dem die umbenannte Datei angezeigt wird.

Denken Sie daran, alle importierten Momentaufnahme über die folgenden Cmdlets zu entfernen:Remember to remove any imported snapshots, using the following cmdlets:

Get-VMSnapshot
Remove-VMSnapshot

Beispiel:For example:

Screenshot eines Terminal Fensters, das zeigt, wie alle importierten Momentaufnahmen entfernt werden.

Warnung

Stellen Sie sicher, dass dem Quelldomänencontroller beim Importieren des Computers keine statischen MAC-Adressen zugewiesen wurden.Ensure that, when importing the computer, static MAC addresses were not assigned to the source domain controller. Wenn ein Quellcomputer mit einer statischen MAC-Adresse geklont wird, können diese kopierten Computer Netzwerkdatenverkehr nicht ordnungsgemäß senden oder empfangen.If a source computer with a static MAC is cloned, those copied computers will not correctly send or receive any network traffic. Legen Sie in diesem Fall eine neue eindeutige statische oder dynamische MAC-Adresse fest.Set a new unique static or dynamic MAC address if this is the case. Sie können mit dem folgenden Befehl anzeigen, ob ein virtueller Computer eine statische MAC-Adresse verwendet:You can see if a VM uses static MAC addresses with the command:

Get-VM-VMName Test-VM | Get-VMNetworkAdapter | FL\*Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl \*

Schritt 9: Klonen des neuen virtuellen ComputersStep 9 - Clone the New Virtual Machine

Starten Sie optional vor Beginn des Klonprozesses den geklonten Offline-Quelldomänencontroller neu.Optionally, before you begin cloning, restart the offline clone source domain controller. Stellen Sie sicher, dass der PDC-Emulator unabhängig davon online ist.Ensure that the PDC emulator is online, regardless.

Zum Beginnen des Klonprozess starten Sie einfach den neuen virtuellen Computer.To begin cloning, simply start the new virtual machine. Der Prozess wird automatisch initiiert, und der Domänencontroller wird nach Abschluss des Klonens automatisch neu gestartet.The process initiates automatically and the domain controller reboots automatically after cloning is complete.

Wichtig

Sie sollten Domänencontroller nicht für einen längeren Zeitraum ausgeschaltet lassen, und wenn der Klon demselben Standort hinzugefügt wird wie der Quelldomänencontroller, dauert der Aufbau der anfänglichen internen und standortübergreifenden Replikationstopologie möglicherweise länger, wenn der Quelldomänencontroller offline ist.Keeping domain controllers turned off for an extended period of time is not recommended and if the clone is joining the same site as its source DC, the initial intra and inter-site replication topology may take longer to build if the source domain controller is offline.

Wenn Sie Windows PowerShell zum Starten eines virtuellen Computers verwenden, wird das folgende Cmdlet verwendet:If using Windows PowerShell to start a VM, the new Hyper-V Module cmdlet is:

Start-VM

Beispiel:For example:

Virtualisierte DC-Bereitstellung

Wenn der Computer nach dem Klonen neu gestartet wird, ist er ein Domänencontroller, und Sie können sich normal anmelden, um den ordnungsgemäßen Betrieb zu bestätigen.Once the computer restarts after cloning completes, it is a domain controller and you can logon on normally to confirm normal operation. Falls Fehler auftreten, ist der Server dafür eingerichtet, im Verzeichnisdienst-Wiederherstellungsmodus zu starten, um die Fehler zu untersuchen.If there are any errors, the server is set to start in Directory Services Restore Mode for investigation.

VirtualisierungssicherheitsmaßnahmenVirtualization safeguards

Im Gegensatz zum Klonen virtualisierter Domänencontroller haben die Windows Server 2012-Virtualisierungssicherheitsmaßnahmen keine Konfigurationsschritte.Unlike virtualized domain controller cloning, Windows Server 2012 virtualization safeguards have no configuration steps. Das Feature funktioniert ohne Eingriffe, solange Sie einige einfache Bedingungen einhalten:The feature works without intervention as long as you meet some simple conditions:

  • Der Hypervisor unterstützt die VM-Generations-ID.The hypervisor supports VM-Generation ID

  • Es gibt einen gültigen Partnerdomänencontroller, von dem ein wiederhergestellter Domänencontroller nicht autoritativ Änderungen replizieren kann.There is a valid partner domain controller that a restored domain controller can replicate changes from non-authoritatively.

Überprüfen des HypervisorsValidate the Hypervisor

Stellen Sie sicher, dass der Quelldomänencontroller auf einem unterstützten Hypervisor ausgeführt wird, indem Sie die Dokumentation des Anbieters durchsehen.Ensure the source domain controller is running on a supported hypervisor by reviewing vendor documentation. Virtualisierte Domänencontroller sind hypervisorunabhängig, was bedeutet, dass Hyper-V nicht erforderlich ist.Virtualized domain controllers are hypervisor-independent and do not require Hyper-V.

Sehen Sie sich den vorherigen Abschnitt Plattformanforderungen für bekannte VM-Generations-ID-Unterstützung noch einmal an.Review the previous Platform Requirements section for known VM-Generation ID support.

Wenn Sie virtuelle Computer von einem Quellhypervisor zu einem anderen Zielhypervisor migrieren, werden möglicherweise Virtualisierungssicherheitsmaßnahmen ausgelöst oder nicht, je nachdem, ob die Hypervisors die VM-Generations-ID unterstützt, wie in der folgenden Tabelle erklärt.If you are migrating VMs from a source hypervisor to a different target hypervisor, virtualization safeguards may or may not be triggered depending on whether the hypervisors support VM-Generation ID, as explained in the following table.

QuellhypervisorSource hypervisor ZielhypervisorTarget hypervisor ErgebnisResult
Unterstützung für VM-Generations-IDSupports VM-Generation ID Keine Unterstützung für VM-Generations-IDDoes not support VM-Generation ID Keine Auslösung von Sicherheitsmaßnahmen (wenn eine DCCloneConfigFile.xml-Datei vorhanden ist, wird der Domänencontroller im DSRM gestartet)Safeguards not triggered (if a DCCloneConfigFile.xml is present, DC will boot into DSRM)
Keine Unterstützung für VM-Generations-IDDoes not support VM-Generation ID Unterstützung für VM-Generations-IDSupports VM-Generation ID Auslösung von SicherheitsmaßnahmenSafeguards triggered
Unterstützung für VM-Generations-IDSupports VM-Generation ID Unterstützung für VM-Generations-IDSupports VM-Generation ID Keine Auslösung von Sicherheitsmaßnahmen, da sich die Definition des virtuellen Computer nicht geändert hat, was bedeutet, dass die VM-Generations-ID dieselbe bleibtSafeguards not triggered because VM definition has not changed, which means so VM-Generation ID remains the same

Überprüfen der ReplikationstopologieValidate the Replication Topology

Virtualisierungssicherheitsmaßnahmen initiieren eine nicht autoritative eingehende Replikation für das Delta der Active Directory-Replikation sowie eine nicht autoritative erneute Synchronisierung aller SYSVOL-Inhalte.Virtualization safeguards initiate non-authoritative inbound replication for the delta of Active Directory replication as well as non-authoritative resynchronization of all SYSVOL contents. Damit wird sichergestellt, dass der Domänencontroller mit voller Funktionalität aus einer Momentaufnahme zurückkehrt und letztendlich konsistent mit der restlichen Umgebung ist.This ensures the domain controller returns from a snapshot with full functionality and is eventually consistent with the rest of the environment.

Diese neue Funktion zieht einige Anforderungen und Einschränkungen nach sich:With this new capability come several requirements and limitations:

  • Ein wiederhergestellter Domänencontroller muss einen beschreibbaren Domänencontroller kontaktieren können.A restored domain controller must be able to contact a writable DC

  • Es dürfen nicht alle Domänencontroller in einer Domäne wiederhergestellt werden.All domain controllers in a domain must not be restored simultaneously

  • Alle Änderungen, die von einem wiederhergestellten Domänencontroller stammen und seit Erstellung der Momentaufnahme noch nicht ausgehend repliziert wurden, sind für immer verloren.Any changes originating from a restored domain controller that have not yet replicated outbound since the snapshot was taken are lost forever

Zwar werden diese Szenarien auch im Abschnitt zur Fehlerbehandlung dargestellt, aber die Details unten stellen sicher, dass Sie keine Topologie erstellen, die Probleme verursachen kann.While the troubleshooting section covers these scenarios, details below ensure you do not create a topology that could cause problems.

Verfügbarkeit eines beschreibbaren DomänencontrollersWritable Domain Controller Availability

Bei einer Wiederherstellung muss ein Domänencontroller eine Verbindung zu einem beschreibbaren Domänencontroller haben, da ein schreibgeschützter Domänencontroller das Delta der Aktualisierungen nicht senden kann.If restored, a domain controller must have connectivity to a writable domain controller; a read-only domain controller cannot send the delta of updates. Die Topologie ist wahrscheinlich bereits korrekt dafür eingerichtet, da ein beschreibbaren Domänencontroller immer einen beschreibbaren Partner benötigt.The topology is likely correct for this already, as a writable domain controller always needed a writable partner. Wenn jedoch alle beschreibbaren Domänencontroller gleichzeitig wiederhergestellt werden, findet keiner eine gültige Quelle.However, if all writable domain controllers are restoring simultaneously, none of them can find a valid source. Gleiches gilt, wenn die beschreibbaren Domänencontroller für Wartungszwecke offline oder aus anderen Gründen nicht über das Netzwerk erreichbar sind.The same goes if the writable domain controllers are offline for maintenance or otherwise unreachable through the network.

Gleichzeitige WiederherstellungSimultaneous Restore

Stellen Sie niemals alle Domänencontroller in einer einzigen Domäne gleichzeitig wieder her.Do not restore all domain controllers in a single domain simultaneously. Wenn alle Momentaufnahmen gleichzeitig wiederhergestellt werden, funktioniert zwar die Active Directory-Replikation normal, aber die SYSVOL-Replikation hält an.If all snapshots restore at once, Active Directory replication works normally but SYSVOL replication halts. Die Wiederherstellungsarchitektur von FRS und DFSR verlangt, dass die Replikatinstanz in einen nicht autoritativen Synchronisierungsmodus gesetzt wird.The restore architecture of FRS and DFSR require setting their replica instance to non-authoritative sync mode. Wenn alle Domänencontroller auf einmal wiederhergestellt werden, und sich jeder Domänencontroller für SYSVOL als nicht autoritativ kennzeichnet, versuchen alle, Gruppenrichtlinien und Skripts von einem autoritativen Partner zu synchronisieren, aber an diesem Punkt sind auch alle Partner nicht autoritativ.If all domain controllers restore at once, and each domain controller marks itself non-authoritative for SYSVOL, they all will then try to synchronize group policies and scripts from an authoritative partner; at that point, though, all partners are also non-authoritative.

Wichtig

Wenn alle Domänencontroller auf einmal wiederhergestellt werden, verwenden Sie die Informationen in den folgenden Artikeln, um einen Domänencontroller, normalerweise den PDC-Emulator als autoritativ festzulegen, damit die anderen Domänencontroller zu einem normalen Betrieb zurückkehren können:If all domain controllers are restored at once, use the following articles to set one domain controller - typically the PDC emulator - as authoritative, so that the other domain controllers can return to normal operation:

Verwenden des BurFlags-Registrierungsschlüssels zum erneuten Initialisieren des Replikatsatzes des DateireplikationsdienstesUsing the BurFlags registry key to reinitialize File Replication Service replica sets

Erzwingen einer autoritativen und nicht autoritativen Synchronisierung für DFSR-repliziertes SYSVOL (wie „D4/D2“ für FRS)How to force an authoritative and non-authoritative synchronization for DFSR-replicated SYSVOL (like "D4/D2" for FRS)

Warnung

Führen Sie nicht alle Domänencontroller in einer Gesamtstruktur oder einer Domäne auf demselben Hypervisorhost aus.Do not run all domain controllers in a forest or domain on the same hypervisor host. Damit wird eine einzelne Fehlerquelle eingeführt, die jedes mal, wenn der Hypervisor offline genommen wird, AD DS-, Exchange-, SQL- und andere Unternehmensvorgänge lahmlegt.That introduces a single point of failure that cripples AD DS, Exchange, SQL, and other enterprise operations each time the hypervisor goes offline. Das ist nicht anders als die Verwendung von nur einem Domänencontroller für eine gesamte Domäne oder Gesamtstruktur.This is no different from using only one domain controller for an entire domain or forest. Mehrere Domänencontroller auf mehreren Plattformen tragen zu Redundanz und Fehlertoleranz bei.Multiple domain controllers on multiple platforms help provide redundancy and fault tolerance.

Replikation nach der MomentaufnahmePost-Snapshot Replication

Stellen Sie keine Momentaufnahmen wieder her, bis alle Änderungen lokalen Ursprungs, die seit der Erstellung der Momentaufnahme vorgenommen wurden, ausgehend repliziert wurden.Do not restore snapshots until all locally originating changes made since snapshot creation have replicated outbound. Alle ursprünglichen Änderungen sind unwiderruflich verloren, wenn andere Domänencontroller sie noch nicht über eine Replikation erhalten haben.Any originating changes are lost forever if other domain controllers did not already receive them through replication.

Verwenden Sie Repadmin.exe, um alle nicht replizierten ausgehenden Änderungen zwischen einem Domänencontroller und seinen Partnern anzuzeigen:Use Repadmin.exe to show any un-replicated outbound changes between a domain controller and its partners:

  1. Geben Sie mit dem folgenden Befehl die Namen der Domänencontrollerpartner und die DSA-Objekt-GUIDs zurück:Return the DC's partner names and DSA Object GUIDs with:

    Repadmin.exe /showrepl <DC Name of the partner> /repsto
    
  2. Geben Sie die ausstehende eingehende Replikation des Partnerdomänencontrollers an den wiederherzustellenden Domänencontroller zurück:Return the pending inbound replication of the partner domain controller to the domain controller to be restored:

    Repadmin.exe /showchanges < Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare>
    

Alternativ können Sie nur die Anzahl der nicht replizierten Änderungen anzeigen:Alternatively, just to see the count of un-replicated changes:

Repadmin.exe /showchanges <Name of partner DC><DSA Object GUID of the domain controller being restored><naming context to compare> /statistics

Wenn Sie z. b. die Ausgabe für Lesbarkeit und wichtige Einträge *kursiv Schrift _ geändert haben, betrachten Sie die Replikations Partnerschaften von DC4:For example (with output modified for readability and important entries *italicized _), here you look at the replication partnerships of DC4:

C:\>repadmin.exe /showrepl dc4.corp.contoso.com /repsto

Default-First-Site-Name\DC4
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 5d083398-4bd3-48a4-a80d-fb2ebafb984f
DSA invocationID: 730fafec-b6d4-4911-88f2-5b64e48fc2f1

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

DC=corp,DC=contoso,DC=com
    Default-First-Site-Name\DC3 via RPC
        DSA object GUID: f62978a8-fcf7-40b5-ac00-40aa9c4f5ad3
        Last attempt @ 2011-11-11 15:04:12 was successful.
    Default-First-Site-Name\DC2 via RPC
        DSA object GUID: 3019137e-d223-4b62-baaa-e241a0c46a11
        Last attempt @ 2011-11-11 15:04:15 was successful.

Sie wissen jetzt, dass dieser mit DC2 und DC3 repliziert.Now you know that it is replicating with DC2 and DC3. Sie zeigen dann die Liste der Änderungen an, für die DC2 angibt, dass er sie immer noch nicht von DC4 erhalten hat, und sehen, dass eine neue Gruppe vorhanden ist:You then show the list of changes that DC2 states it still does not have from DC4, and see that there is one new group:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com

==== SOURCE DSA: (null) ====
Objects returned: 1
(0) add CN=newgroup4,CN=Users,DC=corp,DC=contoso,DC=com
    1> parentGUID: 55fc995a-04f4-4774-b076-d6a48ac1af99
    1> objectGUID: 96b848a2-df1d-433c-a645-956cfbf44086
    2> objectClass: top; group
    1> instanceType: 0x4 = ( WRITE )
    1> whenCreated: 11/11/2011 3:03:57 PM Eastern Standard Time

Sie würden auch den anderen Partner testen, um sicherzustellen, dass dieser noch nicht bereits repliziert hat.You would also test the other partner to ensure that it had not already replicated.

Wenn Sie nicht wissen möchten, welche Objekte nicht repliziert wurden, und nur die ausstehender Verwendung von Objekten behandelt haben, können Sie alternativ die Option _ /Statistics* verwenden:Alternatively, if you did not care which objects had not replicated and only cared that any objects were outstanding, you can use the _ /statistics* option:

C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-fb2ebafb984f dc=corp,dc=contoso,dc=com /statistics

***********************************************
********* Grand total *************************
Packets:              1
Objects:              1Object Additions:     1Object Modifications: 0Object Deletions:     0Object Moves:         0Attributes:           12Values:               13

Wichtig

Testen Sie alle beschreibbaren Partner, falls Sie Fehler oder eine ausstehende Replikation sehen.Test all writable partners if you see any failures or outstanding replication. Solange mindestens einer konvergiert ist, ist eine Wiederherstellung der Momentaufnahme im Allgemeinen sicher, da eine transitive Replikation die anderen Server letztendlich abstimmt.As long as at least one is converged, it is generally safe to restore the snapshot, as transitive replication eventually reconciles the other servers.

Achten Sie darauf, von /showchanges angezeigte Fehler in der Replikation zu notieren, und fahren Sie nicht fort, bis diese behoben sind.Be sure to note any errors in replication shown by /showchanges and do not proceed until they are fixed.

Windows PowerShell-Momentaufnahmen-CmdletsWindows PowerShell Snapshot Cmdlets

Die folgenden Cmdlets des Windows PowerShell Hyper-V-Moduls stellen Momentaufnahmefunktionen in Windows Server 2012 bereit:The following Windows PowerShell Hyper-V module cmdlets provide snapshot capabilities in Windows Server 2012:

Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot