Logo faq-o-matic.net
Logo faq-o-matic.net

Ist Active Directory in Windows Server 2012 wirklich virtualisierungsfest?

von veröffentlicht am11. September 2013, 06:27 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Virtualisierung, Windows Server 2012   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Mit Windows Server 2012 hat Microsoft für Active Directory eine neue Funktion namens “VM Generation ID” eingeführt (siehe hier und hier). Diese Funktion soll es erleichtern, einen Domänencontroller (DC) zu klonen, und gleichzeitig soll die Funktion in bestimmten Situationen AD-Fehler verhindern, die auf VM-Snapshots und ähnliche Vorgänge zurückzuführen sind. In vielen Quellen wird seither behauptet, ein DC unter Windows Server 2012 sei nicht mehr anfällig für das Risiko des “USN Rollback”, und damit sei es quasi völlig gefahrlos, auf Cloning, VM-Snapshots, VM-Kopien usw. zu setzen.

Leider ist das aber nicht so.

Tatsächlich hilft die “VM Generation ID” nur in ganz bestimmten Situationen – und zwar dann, wenn der Hypervisor, unter dem ein virtueller DC läuft, von der jeweiligen Situation weiß und diese ID ändert. Gemäß der Spezifikation dieser neuen Funktion ist das aber eben längst nicht in allen Situationen der Fall, in denen es bisher schon zu einem “USN Rollback” kommen konnte. Sander Berkouwer und Joe Richards haben dies in ein paar Artikeln sehr schön dargestellt:

[joeware » Windows Server 2012 AD VM-Generation ID functionality is not…]
http://blog.joeware.net/2013/02/20/2675/

[The things that are better left unspoken: Cases where VM-GenerationID doesn’t help make Active Directory virtualization-safe, Part 1]
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/08/28/cases-where-vm-generationid-doesn-t-help-make-active-directory-virtualization-safe-part-1.aspx

[The things that are better left unspoken: Cases where VM-GenerationID doesn’t help make Active Directory virtualization-safe, Part 2]
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/08/29/cases-where-vm-generationid-doesn-t-help-make-active-directory-virtualization-safe-part-2.aspx

Als Fazit bleibt festzuhalten: “VM Generation ID” ist eine interessante Technik. Sie hilft aber nur in wenigen speziellen Situationen (und ist dafür auch noch sehr “teuer” erkauft, weil sehr aufwändig). Es bleibt dabei, dass man von Snapshots, Kopien und Images bei Domänencontrollern besser die Finger lässt …

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!