Seit Windows Server 2012 bzw. Windows Server 2012 R2 “weiß” ein Domaincontroller nun, dass er virtualisiert betrieben wird, sodass mittlerweile die Möglichkeit besteht, u.a. Snapshots zu erstellen. Des Weiteren kann ein Domaincontroller nun geklont werden.
Allerdings tritt bei einem deutschen Server-System während der Vorbereitung ein Fehler auf, der die weitere Durchführung verhindert.
Das folgende Szenario wurde mit einer Windows Server 2012 R2 Standard-Edition, deutsche Sprachversion und aktuellen Updates durchgeführt.
So muss der zu klonenden Domaincontroller Mitglied der globalen Gruppe “Klonbare Domänencontroller” sein.
Genau hier tritt aber später das Problem auf. Zunächst muss mittels dem PowerShell-Befehl Get-ADDCCloningExcludedApplicationList
geprüft werden, ob Abhängigkeiten zu Serverrollen bestehen, die nicht geklont werden können (z.B. DHCP-Server, ggf. mit Parameter -GenerateXML
ignorieren).
Anschließend führt man den folgenden Befehl aus, um den bestehenden Domaincontroller (hier: DC1) für den Klonvorgang vorzubereiten:
New-ADDCCloneConfigFile -Static -IPv4Address 10.0.0.2 -IPv4DNSResolver 10.0.0.1 -IPv4DefaultGateway 10.0.0.1 -IP
v4SubnetMask 255.255.255.0 -CloneComputerName DC2 -SiteName Standort1
Und hier stößt man nun auf einen Fehler: Der PowerShell-Befehl kann nicht erfolgreich durchgeführt werden, weil angeblich die Gruppe “Klonbare Domänencontroller” nicht existiere.
Der lokale Domänencontroller wurde gefunden: (DC1.contoso.com).
Gruppe "Klonbare Domänencontroller" wird abgefragt...
New-ADDCCloneConfigFile : Unter "DC=contoso,DC=com" kann kein Objekt mit der ID "Cloneable Domain Controllers"
gefunden werden.
WARNUNG: Die Gruppe "Klonbare Domänencontroller" kann nicht abgefragt werden.
WARNUNG: Der lokale Domänencontroller ist kein Mitglied der Gruppe "Klonbare Domänencontroller".
Es handelt sich anscheinend um einen undokumentierten Bug in deutschen Serversystemen. Weder im TechNet noch auf anderen einschlägigen Seiten findet sich ein entsprechender Hinweis, da man einfach die englische Bezeichnung ins Deutsche übersetzt hat.
Lösung – oder besser Workaround
Mit folgendem Trick (den ich letzte Woche kennengelernt habe, danke Henning!) lässt sich ein deutscher Domaincontroller aber dennoch für den Klonvorgang vorbereiten:
Und zwar müsst ihr dazu im „Active Directory Verwaltungscenter“ (oder old-fashioned über „Active Directory Benutzer und Computer“) die Gruppe “Klonbare Domänencontroller” in “Cloneable Domain Controllers”, also die originale englische Bezeichnung umbenennen.
Nun springt ihr wieder zurück in die PowerShell-Konsole und führt den obigen Befehl erneut aus, voilà und schon klappt’s. PowerShell erstellt die notwendige Datei DCCloneConfig.xml
. Anschließend muss der Domaincontroller vollständig heruntergefahren gefahren werden, um die Klonvorgang zu starten. Fährt man nun die geklonte VM wieder hoch, wird die zuvor erstellte XML-Datei mit den obigen Parametern geladen und die Maschine als zweiter Domaincontroller heraufgestuft.
Microsoft, bitte diesen Bug in den nächsten Updatezyklen beheben, generell ist das Klonen eine geniale Funktion, sollte aber immer funktionieren, egal, welche Serversprache vorliegt.
Schade ist auch, dass sich anscheinend in fast keinem Step-by-Step, egal ob Technet oder private Blogs ein Hinweis dazu finden lässt. Wenn einen der Kollegen eine Alternative bekannt ist, schreibt mir gerne einen Kommentar 🙂
Hi, ja das stimmt, es ist schwach von MS, zumal der Fehler in der R2 Version nicht behoben worden ist. Ich hatte allerdings bereits 2012 darüber berichtet:
http://blog.asichel.de/active-directory-domaincontroller-klonen/
Stimmt 🙂 Schade auch, dass man so gut wie nirgends einen Hinweis findet. Vielleicht stößt irgendein Kollege von Microsoft auf den Hinweis und gibt den Fehler weiter, zu wünschen wär’s.