Logo faq-o-matic.net
Logo faq-o-matic.net

Ist Active Directory in Windows Server 2012 wirklich virtualisierungsfest?

11 Sep 2013
von veröffentlicht am11. September 2013, 06:27 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Virtualisierung, Windows Server 2012   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Mit Windows Server 2012 hat Microsoft für Active Directory eine neue Funktion namens “VM Generation ID” eingeführt (siehe hier und hier). Diese Funktion soll es erleichtern, einen Domänencontroller (DC) zu klonen, und gleichzeitig soll die Funktion in bestimmten Situationen AD-Fehler verhindern, die auf VM-Snapshots und ähnliche Vorgänge zurückzuführen sind. In vielen Quellen wird seither behauptet, ein DC unter Windows Server 2012 sei nicht mehr anfällig für das Risiko des “USN Rollback”, und damit sei es quasi völlig gefahrlos, auf Cloning, VM-Snapshots, VM-Kopien usw. zu setzen.

Leider ist das aber nicht so.

Tatsächlich hilft die “VM Generation ID” nur in ganz bestimmten Situationen – und zwar dann, wenn der Hypervisor, unter dem ein virtueller DC läuft, von der jeweiligen Situation weiß und diese ID ändert. Gemäß der Spezifikation dieser neuen Funktion ist das aber eben längst nicht in allen Situationen der Fall, in denen es bisher schon zu einem “USN Rollback” kommen konnte. Sander Berkouwer und Joe Richards haben dies in ein paar Artikeln sehr schön dargestellt:

[joeware » Windows Server 2012 AD VM-Generation ID functionality is not…]
http://blog.joeware.net/2013/02/20/2675/

[The things that are better left unspoken: Cases where VM-GenerationID doesn’t help make Active Directory virtualization-safe, Part 1]
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/08/28/cases-where-vm-generationid-doesn-t-help-make-active-directory-virtualization-safe-part-1.aspx

[The things that are better left unspoken: Cases where VM-GenerationID doesn’t help make Active Directory virtualization-safe, Part 2]
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/08/29/cases-where-vm-generationid-doesn-t-help-make-active-directory-virtualization-safe-part-2.aspx

Als Fazit bleibt festzuhalten: “VM Generation ID” ist eine interessante Technik. Sie hilft aber nur in wenigen speziellen Situationen (und ist dafür auch noch sehr “teuer” erkauft, weil sehr aufwändig). Es bleibt dabei, dass man von Snapshots, Kopien und Images bei Domänencontrollern besser die Finger lässt …

Verwandte Beiträge:

  1. Carmen: Query Active Directory Using SQL Syntax
    My script-based query tool “Carmen” for Active Directory has been downloaded more than 10,000 times since its release. Now I...
  2. Fallen und Auswege beim Recovery von Active Directory
    Der Microsoft-Supportmitarbeiter Herbert Mauerer hat einen sehr lesenswerten Artikel zum Disaster Recovery für Active Directory geschrieben. Er bezieht sich insbesondere...
  3. vSphere 5.1 jetzt auch mit Support für Windows Server 2012
    Vor kurzem hat VMware die Voraussetzungen erfüllt, um seine aktuelle Virtualiserungsplattform vSphere 5.1 in Microsofts “Server Virtualization Validation Program (SVVP)”...
  4. Windows 8 und Windows Server 2012 sind fertig!
    Das bedeutet nicht, dass ihr es jetzt direkt herunterladen könnt. Es bedeutet, dass der Code nun zur Produktion freigegeben ist...
  5. Windows Server 2008: Snapshots des Active Directory
    (Dies ist die am 28. Februar 2009 überarbeitete Fassung des Artikels, der ursprünglich auf der Beta 3 von Windows Server...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=5281
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!