Виртуализированные контроллеры домена Windows Server 2012

Опубликовано: 8 Апреля, 2023


Введение


Контроллеры домена сильно отличаются от компьютеров, не являющихся контроллерами домена в вашей сети, и это делает их дублирование или клонирование несколько проблематичным. Контроллеры домена представляют собой важные аспекты безопасности, и виртуализация контроллеров домена требует осторожности. Windows Server 2012 значительно упрощает развертывание защищенных виртуализированных контроллеров домена и управление ими. В этой статье мы обсудим некоторые связанные с этим вопросы.


Проблемы и решения


Одним из примеров проблем, с которыми вы можете столкнуться, является наличие двух контроллеров домена в одном лесу с одинаковым именем, идентификатором вызова и идентификатором безопасности; это точно не сработает. Во всех операционных системах старше Windows Server 2012 для каждого виртуализированного контроллера домена требовалось пройти ручной процесс продвижения машины в качестве специально созданной виртуальной машины в вашей сети.


В Windows Server 2012 теперь предоставляется возможность выполнять клонирование контроллера домена. Это означает, что вам больше не придется вручную развертывать виртуальную машину с образом сервера и файл диска, а затем выполнять ручные процессы для повышения роли машины до контроллера домена. В Windows Server 2012 клонированный контроллер домена будет выполнять ряд действий, которые выполнял бы sysprep, и продвигать виртуальную машину с существующими локальными данными Active Directory DS в качестве установочного носителя, используя преимущества предоставленных администратором параметров, таких как имя машины и IP-адресация. Информация. Это значительно ускоряет развертывание новых контроллеров домена в производственных или тестовых лабораториях, упрощает аварийное восстановление и дает возможность горизонтального масштабирования в сценариях хостинга и филиалов.


Еще одна серьезная проблема, с которой вы могли столкнуться, если пытались виртуализировать контроллеры домена, связанные со схемами репликации на основе часов, — это потенциальные проблемы, с которыми вы столкнетесь при откате виртуальных машин контроллера домена. Виртуализация выявляет некоторые особые проблемы, связанные с распределенными рабочими нагрузками с несколькими мастерами, которые зависят от логических схем репликации на основе часов. Репликация Active Directory DS использует увеличивающийся номер транзакции, который назначается каждой транзакции на каждом контроллере домена. Это известно как порядковый номер обновления или USN. В сценарии, когда контроллер домена «откатывает» время после применения моментального снимка для устранения какой-либо проблемы, порядковый номер обновления может снова использоваться в совершенно другой транзакции.


В результате репликация Active Directory DS не может конвергировать, поскольку другие контроллеры домена считают, что они уже получили обновление. Если с вами когда-либо случалось подобное, вы знаете, что результаты не очень хороши!


Снимки


Как вы, наверное, знаете, Microsoft Hyper-V включает в себя несколько очень полезных и мощных возможностей моментальных снимков. Эти моментальные снимки позволяют сохранять состояние контроллера домена в любой момент времени. Обычно вы делаете эти снимки, когда все работает так, как вы хотите. Затем вы можете восстановить моментальный снимок, когда в вашем центре обработки данных что-то пойдет не так и вам потребуется быстрое исправление. При восстановлении моментального снимка отменяются все изменения, внесенные с момента создания моментального снимка, а в операционных системах, предшествующих Windows Server 2012, контроллер домена вынужден помещать себя в карантин с помощью метода, называемого «защита от отката USN».


Что делает защита от отката USN? Что происходит, так это то, что, как только защита от отката USN установлена, контроллер домена больше не будет реплицироваться снова и, следовательно, должен быть либо вручную понижен в должности, либо вручную восстановлен без полномочий. Оба являются ручными процессами, поэтому не лучший из всех возможных миров для частного облака, которое живет или умирает в зависимости от способности к автоматизации. Другая проблема с восстановлением моментальных снимков контроллеров домена заключается в том, что в случаях, когда контроллер домена имеет источник изменений с момента создания моментального снимка, это также может привести к устаревшим объектам в базе данных Active Directory.


Теперь с Windows Server 2012 вы можете получить помощь операционной системы, чтобы она обнаруживала откаты, происходящие при восстановлении моментального снимка. Виртуализированный контроллер домена неавторизованно синхронизирует все изменения между контроллером домена и его партнерами для AD DS и SYSVOL. Это позволяет вам использовать моментальные снимки, не беспокоясь о плохих вещах, как это было раньше. Вам не придется сталкиваться с проблемами, связанными с необратимым сбоем контроллеров домена и необходимостью выполнять принудительное понижение уровня вручную, очистку метаданных и повторное повышение их уровня. К сожалению, эти новые функции не решают всех проблем с виртуализированными контроллерами домена и восстановлением моментальных снимков.


Например, есть некоторые другие потенциальные проблемы, с которыми вы можете столкнуться при восстановлении из моментального снимка, такие как несогласованные базы данных для других технологий и приложений. Однако когда дело доходит до восстановления самих контроллеров домена и технологий Active Directory DS, с Windows Server 2012 дела обстоят намного лучше.


Клонирование


Что Windows Server 2012 может предложить администратору Active Directory, когда речь идет о клонировании контроллеров домена? Windows Server 2012 реализует клонирование, добавляя дополнительные возможности к существующим процессам виртуализации и повышения роли контроллера домена. Теперь в Windows Server 2012 вы можете создать файл DcCloneConfig.xml, содержащий конкретные параметры конфигурации сервера, и скопировать его в рабочий каталог DSA (местоположение, в котором находится база данных Active Directory DS, по умолчанию это C:WindowsNTDS). ) вместо того, чтобы создавать подготовленные системой копии компьютеров рабочей группы и затем вручную повышать их уровень (с помощью диспетчера серверов или с помощью PowerShell).


Теперь вы можете отключить виртуальную машину, авторизованную администратором домена, и скопировать ее диск или экспортировать машину. Затем вы можете создать новую виртуальную машину — используя скопированный или экспортированный компьютер — без каких-либо других изменений, и сервер автоматически продвинет ее как уникальный контроллер домена, используя данные предыдущего контроллера домена в качестве исходного носителя. Что может быть лучше?


Другой подход, который вы можете использовать для клонирования контроллеров домена, заключается в подключении автономного диска и добавлении XML-файлов, что позволяет создать тип автоматизации, необходимый для настоящего частного облака. Конечно, для этого вам придется использовать параметры Windows PowerShell, включенные в Windows Server 2012, так что это не будет легко или быстро; но хорошая новость заключается в том, что если вам не нужна такая автоматизация, возможность и процесс клонирования контроллера домена очень просты и увлекательны!


Исправление проблем


Этот процесс также отлично подходит для поиска потенциальных проблем, таких как конфликты имен или IP-адресов в сети, которые могут привести к печали. Например, если есть дублирование имени компьютера или IP-адреса, процесс заблокирует продвижение, и клонированный контроллер домена перейдет в режим восстановления DS, чтобы определить источник проблемы. Однако вы можете настроить все так, чтобы не сталкиваться с такого рода проблемами, и сделать клонирование полностью автоматическим, что включает в себя правильное создание имени и IP-адресацию с помощью DHCP.


Преимущества виртуализации контроллеров домена с помощью Windows Server 2012


Итак, что вы получаете, виртуализируя контроллер домена с помощью Windows Server 2012? Вот некоторые из них:



  • Развертывайте контроллеры домена в доменах и лесах быстрее, чем когда-либо
  • Используйте автоматизацию для динамического масштабирования контроллеров домена в гибком частном облаке, чтобы удовлетворить сетевые требования для доменных служб.
  • Планирование и выполнение аварийного восстановления и обеспечения непрерывности бизнеса проще выполнять, поскольку все, что вам нужно, — это один уцелевший контроллер домена, позволяющий быстро восстановить центр обработки данных в любой точке мира.
  • Получите тестовые лаборатории, которым требуется, чтобы доменная служба Active Directory работала быстрее, чем когда-либо

Разделение ролей


Большое изменение, которое вам, вероятно, понравится в Windows Server 2012, заключается в том, что существует совершенно отдельное и отчетливое разделение ролей между администраторами домена и администраторами виртуализации, связанными с процессом клонирования. В модели Windows Server 2012 Hyper-V администраторы облачной инфраструктуры не могут просто развернуть реплики контроллеров домена, просто скопировав виртуальные машины из одного места в другое. Вместо этого администраторы домена должны авторизовать выбранные контроллеры домена для клонирования, прежде чем их можно будет копировать и клонировать. На этом этапе администраторы инфраструктуры виртуализации развертывают авторизованные клоны. Это очень важно с точки зрения безопасности, поскольку гарантирует, что администраторы, не являющиеся администраторами домена, не смогут создавать новые неавторизованные контроллеры домена. Создание контроллеров домена должно быть ограничено только администраторами домена в безопасном развертывании.


Конечно, вы всегда должны знать и осознавать, что любой, у кого есть разрешение на администрирование инфраструктуры виртуализации (облачной инфраструктуры), должен пользоваться доверием, проверяться и проверяться как само собой разумеющееся. Для этого есть много причин, одна из которых заключается в том, что у них все еще есть возможность создавать копии контроллеров домена, которые можно использовать для проведения атак в автономном режиме или передавать или продавать злонамеренным инсайдерам или посторонним.


Безопасное восстановление


Поэтому вам может быть интересно: как работает безопасное восстановление виртуализированных контроллеров домена Windows Server 2012? Коротко о том, что безопасное восстановление виртуализированного контроллера домена Windows Server 2012 сбрасывает идентификатор вызова контроллера домена. После этого сброса другие контроллеры домена не узнают новый идентификатор вызова и сделают вывод, что они еще не видели эти номера USN, и примут обновления, что позволит каталогу слиться. Это решает проблему сходимости, о которой мы упоминали ранее. Кроме того, контроллер домена отбрасывает дублированный локальный пул относительных идентификаторов (RID) и неавторизованно восстанавливает папку SYSVOL. Это означает, что случайное восстановление моментального снимка больше не является небезопасной операцией на контроллерах домена.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023