Alien的博客

Windows server 2012之DC克隆

在windows server 2012里有一个新的特性是借助于hyper-v可以完成DC的克隆,DC克隆功能可以更快的部署DC,免去部署操作系统的时间和手动配置域控的步骤。下面就来演示一下DC克隆的操作方法。

要实施DC克隆,首先要满足3个条件


Hyper-v角色必须运行在Windows server 2012的服务器上(测试环境使用win8也可以)
PDC主机运行在windows server 2012上。
克隆源必须为windows server 2012的域控制器

这里我们演示环境中使用一台运行WS2012活动目录的dc-clone-1,dc-clone-2为克隆生成的DC
因为在实施克隆的过程中源DC需要关机,所以如果在实际生产环境中最起码要保证要有两台以上的DC

DC克隆第一步:DC授权

首先我们要进行DC授权,把要作为克隆源的DC加入到Cloneable Domain Controllers组即可
如下图所示

如果没有找到Cloneable Domain Controllers这个组那可能就是PDC主机没有运行在WS2012的域控上的原因,一般把PDC主机转移到WS2012后该组就会自动创建出来。
下图的命令可以检查PDC主机所运行的域控

DC克隆第二步:创建允许克隆的应用列表

我们这里在DC1上用powershell里的Get-ADDCCloningExcludedApplicationList
命令来查看当前服务器上运行的应用程序或者服务.
如下图

我们需要检查显示的列表里的应用是否支持克隆,如果不支持则必须把该应用程序卸载掉,否则克隆将失败.
注意:以下服务器角色不支持克隆:


动态主机配置协议 (DHCP)
Active Directory 证书服务 (AD CS)
Active Directory 轻型目录服务 (AD LDS)

检查完毕后使用Get-ADDCCloningExcludedApplicationList –GenerateXml命令来创建允许克隆的应用程序的配置文件,创建后的配置文件如下

如果DC1上仅仅安装了活动目录角色,那该列表则为空,那这一步是可以忽略的

DC克隆第三步:创建目标克隆域控所需的配置文件

这个配置文件可以使用powershell来创建,也可以自己手动创建
系统自带了该配置文件的实例文件,这里我们选择手动创建
首先去C:\WINDOWS\SYSTEM32的目录下找到SampleDcCloneConfig.xml文件,把他复制到c:\windows\ntds目录下,并且改名为DcCloneConfig.xml。
接下来用记事本打开DcCloneConfig.xml。
我们根据实际的环境在配置文件填入相应的信息,填写完毕后保存关闭就可以了。
我这里只填了目标域控的主机名,站点和IP地址之类的信息

DC克隆第四步:导出源DC的并创建目标DC的vm。

导出dc的方法有很多种,这里我们选择直接复制源dc的vhd文件。
手动复制的话该虚机是不能存在有快照的。
把源dc进行关机,关机后复制该dc的的vhd文件到其他位置。
之后创建新的虚拟机DC-clone-2,在“连接虚拟磁盘”这一步时选择使用现有虚拟磁盘并选择刚刚复制的那个vhd文件。

这个时候,新创建的虚拟机一定不要启动,因为我们现在的这个测试环境只有一台dc而且处于关机状态,在DC克隆的时候需要联系PDC主机,否则克隆将会失败。
所以我们这里要先启动DC-clone-1,待dc1完全启动后,方可启动dc-clone-2.
启动dc-clone-2后显示域控制器正在克隆

克隆完成后输入域管理员密码就可以登录到dc2上了
登陆后我们可以看到当前域中已经存在两台域控了

这时为了保证域控的安全性,防止克隆被非法利用,这里我们要把Cloneable Domain Controllers这个组中的所有成员删掉。

附:克隆失败后的处理方法

如果在登录的时候出现下图的错误说明DC克隆失败,已经进入的目录恢复模式,所以用域管理员是无法登陆的

这个时候的处理办法是我们在登陆的时候选择其他账户,使用本地管理员和目录恢复模式密码登陆
登陆到目录恢复模式后我们可以通过dcprmom.log日志来查看克隆失败的原因

排除掉导致克隆失败的原因后,使用msconfig命令打开系统配置,并且在“引导”中把“安全引导”勾掉,重启后进行克隆重试的操作