Windows Server 8–Virtualized Domain Controller

#server-2012 edit this page

In bisherigen Version von Windows Server und Active Directory hatte das Betreiben von virtuellen DCs einige Nachteile im Vergleich zu anderen virtuellen Servern. So konnten Domain Controller z.B. nicht von der Snapshot Fähigkeit des Hypervisors profitieren, das zurücksetzen eines DCs auf einen Snapshot hatte fatale Auswirkungen auf die Gesamtstruktur.

VDC Safe Restore

Im Active Direcotry Replikationsmodell wird jede Transaktion mit einer fortlaufenden Nummer (Update Sequence Number) versehen. Domain Controller “merken” sich diese Nummern sowie eine eindeutige ID des Replikationspartners (Invocation ID) von dem sie die jeweilige Änderung erhalten haben. Wird ein DC auf einen früheren Zeitpunkt zurückgesetzt (Snapshot) könnte er bereits verwendete USNs wiederverwenden, seine Replikationspartner akzeptieren diese Transaktionen nicht mehr, sie haben diese bereits erhalten. Der wiederhergestellte DC kann nicht mehr replizieren und wird in den sogenannten “USN Rollback Protection” Status gesetzt. Der DC muss jetzt manuell aus dem AD entfernt werden.

In Windows Server 8 Active Directory gibt es ein Feature das dieses Problem verhindern soll. Über die ACPI Table stellt der Hypervisor die VM-Generation ID zur Verfügung, diese wird im RAM des jeweiligen Domain Controllers gespeichert.

Wird ein Snapshot angewandt, wird diese VM-Generation ID zurückgesetzt, so merkt der Domain Controller dass er wiederhergestellt wurde.

image image

Der wiederhergestellte DC setzt seine Invocation ID zurück und da seine Replikationspartner diese ID noch nicht kennen kann die Replikation wieder aufgenommen werden. Außerdem wird der SYSVOL Ordner “nicht autorisierend” wiederhergestellt und folgendes Ereignis wird im “Directory Service” Event Log protokolliert.

image

Folgendes Active Directory Attribut wird für die VM-Generation ID verwendet. Hier geht’s zum entsprechenden Eintrag im MSDN.

ms-DS-Generation-Id

image

VDC Safe Restore muss (und kann) nicht konfiguriert werden, sofern der Hypervisor das VM-Generation ID Feature unterstützt ist es automatisch aktiv. Aktuell unterstützt nur Windows Server 8 Hyper-V dieses Feature, andere Herstellen werden hoffentlich bald nachziehen.

Achtung, dieses Feature soll die USN Rollback Problematik lösen, es ist auf keinem Fall ein Ersatz für ein konsistentes Backup! Der DC wird “nicht autorisierend” wiederhergestellt.

 

so long,

tom