品牌:Microsoft/微软 | 型号:Windows server | 货号:2008/2012/2016/2019 |
上市时间:2018 | 软件类型:系统软件 | 充值卡类型:年卡 |
支持用户数:5用户 | 运行环境:windows 2008 | 发票:提供发票 |
售后服务:全国联保 | 包装清单:正版光盘,正版激活码 | 软件形式:简装版 |
Mircosoft Win Server 开放式许可价格
克隆详细的处理
下图显示了初始克隆操作和克隆重试操作的体系结构。 稍后,本主题将对这些过程进行详细说明。
初始克隆操作
克隆重试操作
以下步骤详细介绍了该过程:
现有的虚拟机域控制器在支持 VM 生成 ID 的虚拟机监控程序中启动。
a. 升级后,此 VM 未在其 AD DS 计算机对象上设置任何现有 VM 生成 ID 值。
b. 即使它为 null,接下来的计算机创建将意味着它仍可克隆,因为新的 VM 生成 ID 将不匹配。
c. 将在 DC 下次重新启动后设置 VM 生成 ID,而且不会进行复制。
然后,虚拟机将读取 VMGenerationCounter 驱动程序提供的 VM 生成 ID。 它将比较这两个 VM 生成 ID。
. 如果这两个 ID 匹配,则表明它不是新虚拟机,将不会继续克隆。 如果存在 DCCloneConfig.xml 文件,则域控制器将使用时间/日期戳重命名该文件以阻止克隆。 服务器将继续正常启动。 此即 Windows Server 2012 中任一虚拟域控制器每次重新启动的运行方式。
a. 如果这两个 ID 不匹配,则表示它是新虚拟机,其中包含来自之前域控制器的 NTDS.DIT(或者它是还原的快照)。 如果存在 DCCloneConfig.xml 文件,则域控制器将继续执行克隆操作。 如果不存在,则它将继续执行快照还原操作。 请参阅 Virtualized domain controller safe restore architecture。
b. 如果虚拟机监控程序没有提供用于比较的 VM 生成 ID,但存在一个 DCCloneConfig.xml 文件,则来宾将重命名该文件,然后启动进入 DSRM 以防网络受重复域控制器的影响。 如果不存在 dccloneconfig.xml 文件,则来宾将正常启动(网络上可能会有重复的域控制器)。 有关如何回收此重复域控制器的详细信息,请参阅 Microsoft 知识库文章 2742970。
NTDS 服务会检查 VDCisCloning DWORD 注册表值名称(在 HKEY_Local_Machine\System\CurrentControlSet\Services\Ntds\Parameters 下)的值。
. 如果不存在,则这是此虚拟机的***次克隆尝试。 来宾将实现 VDC 对象复制安全措施,这些措施使本地 RID 池失效并为域控制器设置新的复制调用 ID。
a. 如果已将它设置为 0x1,则这是一次“重试”克隆尝试,其中之前的克隆操作已失败。 因为 VDC 对象复制安全措施必须在之前已运行一次且可能会不必要地多次改变来宾,所以不会采取这些措施。
IsClone DWORD 注册表值名称将写入(在 Hkey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters 下)
NTDS 服务更改来宾启动标志,以使任何以后的重新启动在 DS 修复模式下启动。
NTDS 服务尝试在三个接受的位置之一(DSA 工作目录、%windir%\ntds 或可移动读/写媒体,按驱动器号的顺序排列,位于驱动器的根目录)读取 DcCloneConfig.xml。
. 如果任何***位置中不存在该文件,则来宾将检查复制的 IP 地址。 如果 IP 地址不重复,则服务器将正常启动。 如果存在重复的 IP 地址,则计算机将启动进入 DSRM,以防网络受重复域控制器的影响。
a. 如果文件位于某个***位置,则 NTDS 服务将验证其设置。 如果该文件为空(或任何特定的设置为空),则 NTDS 将为这些设置配置自动值。
b. 如果 DcCloneConfig.xml 存在,但包含任何无效的条目或不可读,则克隆失败,而且来宾将启动进入目录服务还原模式 (DSRM)。
来宾禁用所有 DNS 自动注册,以防止对源计算机名称和 IP 地址的意外劫持。
来宾停止 Netlogon 服务,以阻止来自客户端的网络 AD DS 请求的任何播发或应答。
NTDS 将验证安装的服务或程序都是 DefaultDCCloneAllowList.xml 或 CustomDCCloneAllowList.xml 中的一部分
. 如果安装的服务或程序没有包含在默认排除允许列表或自定义排除允许列表中,则克隆失败且来宾将启动进入 DSRM,以防止网络受重复域控制器的影响。
a. 如果没有不兼容问题,则克隆将继续。
如果由于空白 DCCloneConfig.xml 网络设置将使用自动 IP 寻址,则来宾在将网络适配器上启用 DHCP,以获得 IP 地址租用、网络路由和名称解析信息。
来宾定位并联系运行 PDC 模拟器 FSMO 角色的域控制器。 这将使用 DNS 和 DCLocator 协议。 它建立 RPC 连接并调用 IDL_DRSAddCloneDC 方法,以克隆域控制器计算机对象。
. 如果来宾的源计算机对象保留“允许 DC 创建其自身的克隆”的域标头扩展权限,则克隆将继续。
a. 如果来宾的源计算机对象不保留此扩展权限,则克隆失败且来宾将启动进入 DSRM,以防网络受重复域控制器的影响。
将 AD DS 计算机对象名称设置为与 DCCloneConfig.xml 中***的名称(如果有的话)相匹配,否则将在 PDCE 上自动生成名称。 NTDS 为相应的 Active Directory 逻辑站点创建正确的 NTDS 设置对象。
. 如果这是 PDC 克隆,则来宾将重命名本地计算机并重新启动。 重新启动后,它将再次经历步骤 1-10,然后转到步骤 13。
a. 如果这是副本 DC 克隆,则在此阶段无需重新启动。
来宾向 DS 角色服务器服务提供了升级设置,它将开始升级。
DS 角色服务器服务将停止所有 AD DS 的相关服务(NTDS、NTFRS/DFSR、KDC、DNS)。
来宾强制与另一个域控制器进行 NT5DS (Windows NTP) 时间同步(在默认 Windows 时间服务层次结构中,这意味着使用 PDCE)。 来宾与 PDCE 取得联系。 刷新所有现有 Kerberos 票证。
来宾将 DFSR 或 NTFRS 服务配置为自动运行。 来宾将删除所有现有 DFSR 和 NTFRS 数据库文件 (默认: c:\windows\ntfrs 和 c:\system 卷 information\dfsr\
已重命名来宾。 来宾上的 DS 角色服务器服务开始进行 AD DS 配置(升级),将现有的 NTDS.DIT 数据库文件用作源,而不是同普通升级一样使用 c:\windows\system32 中包含的模板数据库作为源。
来宾将联系 RID 主机 FSMO 角色所有者以获取新的 RID 池分配。
升级过程将创建一个新的调用 ID 并重新创建克隆的域控制器的 NTDS 设置对象(不考虑克隆,这是使用现有 NTDS.DIT 数据库时域升级的一部分)。
NTDS 将在伙伴域控制器中缺失、较新或版本更高的对象中进行复制。 NTDS.DIT 中已包含源域控制器脱机时的对象,并且为了限度地减少复制流量入站而尽可能使用这些对象。 将填充全局编录分区。
DFSR 或 FRS 服务将启动,而且因为没有数据库,所以 SYSVOL 将从复制伙伴进行非***同步入站。 此过程重新使用 SYSVOL 文件夹中预先存在的数据,以尽量减少网络复制流量。
既然该计算机已具有的名称并已联网,来宾将重新启用 DNS 客户端注册。
来宾运行由 DefaultDCCloneAllowList.xml 元素***的 SYSPREP 模块,以清理出对之前计算机名称和 SID 的引用。
克隆升级已完成。
. 来宾将删除 DSRM 启动标志,以便下次可以正常重新启动。
a. 来宾将使用追加的日期时间戳重命名 DCCloneConfig.xml,以便下次启动时不会再次读取它。
b. 来宾将删除 HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters 下的 VdcIsCloning DWORD 注册表值名称。
c. 来宾将 HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters 下的“VdcCloningDone”DWORD 注册表值名称设置为 0x1。 Windows 不会使用此值,但会将它提供为用于第三方的标记。
来宾将在其自身的克隆域控制器对象上更新 msDS-GenerationID 属性,以匹配当前来宾 VM 生成 ID。
来宾将重新启动。 现在这是一个正常的、正在进行播发的域控制器。