Clonage d'un contrôleur de domaine

Belle nouveauté que nous propose Microsoft! La possibilité de cloner aisément un contrôleur de domaine virtualisé. Auparavant totalement impossible sous peine de crash de votre domaine du fait de la duplication des FSMO, nom, SID, etc.

Cette possibilité nous apporte une certaine souplesse et rapidité tant qu’à l'implémentation d'une tolérance de panne et/ou répartition de charge vis à vis des contrôleurs de domaine. Avant cette possibilité, il était obligatoire de procéder à la réinstallation d'un serveur avec tout ce que cela entraîne: mises à jour, paramétrages, etc...

La fonctionnalité de clonage s'effectue en ayant des besoins de modification limités, tels que:

• Le changement de nom du contrôleur de domaine.
• Modification des paramétrages IP.
• Désignation du site

Mise en place

Pour ce faire, Le niveau fonctionnel du domaine doit être réglé sur "2012".

Droit de clonage

Pour que le contrôleur de domaine puisse être cloné, le compte de ce dernier doit être membre du groupe "Contrôleurs de domaine clonables". Ce dernier se trouve dans le conteneur "Users".

Vous pouvez effectuer cette action en passant soit par:

• La console "utilisateurs et ordinateurs Active Directory"
• Le centre d'administration Active Directory
• Par powershell en utilisant la commande Add-ADGroupMember

Vérification des applications présentes sur le contrôleur de domaine source

Toutes les applications ne peuvent être clonées. J'entends par application des rôles ou fonctionnalités. Il est donc nécessaire de s'assurer qu'aucune de ces applications ne soient présentes. Les résultats affichés doivent être désinstallé ou placé dans un fichier d’exception pouvant être généré automatiquement grave à l’argument –GenerateXML de la commande précédente.

Get-ADDCCloningExcludedApplicationList –GenerateXml

Cette partie du processus attire l'attention comme quoi un nombre minimal d'applications doit tourner sur un contrôleur de domaine.

Création du fichier de clonage

Vous l'aurez compris, cette partie est clé et de son contenu dépendra du succès de l'opération. Vous serez amené à indiquer quelques paramètres supplémentaires à cette commande incluant:

• le nom du contrôleur de domaine
• les paramètres IP
• le site de déploiement

Pour cela, vous utiliserez la commande powershell suivante:

New-ADDCCloneConfigFile –Static -IPv4Address "192.168.1.2" -IPv4DNSResolver "192.168.1.1" -IPv4SubnetMask "255.255.255.0" -CloneComputerName "2012-DC2" -IPv4DefaultGateway "192.168.1.254" -SiteName "Annecy"

Et oui! Cette commande ne marche pas! Vous avez pourtant tout bien fait!

La raison est simple: la commande powershell cherche un groupe qui possède l'appellation anglaise, entre autre "Cloneable domain controllers" et l'appellation française est " Contrôleurs de domaine clonable". A force de chercher, j'ai trouvé une parade à ce problème qui consiste à renommer le groupe " Contrôleurs de domaine clonable" en "Cloneable domain controllers".

En relançant la commande, que du bonheur:

Ce fichier nommé CustomDCCloneAllowList.xml se trouve dans le répertoire c:\windows\ntds

Clonage de la machine virtuelle

Pour cloner la machine, vous serez obligé d'arrêter votre contrôleur de domaine car cette action ne peut être effectuée à chaud, du moins pour le moment.

Stop-VM –Name 2012-DC1 –ComputerName HyperV1

Cloner la machine

Get-VMSnapshot 2012-DC1 | Remove-VMSnapshot –IncludeAllChildSnapshots
Export-VM –Name 2012-DC1–ComputerName HyperV1 -Path c:\vhds\2012-DC1

Une fois cloné, redémarrez en premier votre contrôleur de domaine source afin de limiter le temps d'interruption de service.

Start-VM –Name 2012-DC1 –ComputerName HyperV1

Importez la machine clonée sur le serveur hôte

Parmi la succession de fenêtres, la plus pertinente est celle-ci:

Pour un clonage unique

$path = Get-ChildItem "C:\vhds\2012-DC1\2012-DC1\Virtual Machines"

$vm = Import-VM –Path $path.fullname –Copy -GenerateNewId

Rename-VM $vm 2012-DC2

Pour cloner plusieurs fois

$path = Get-ChildItem "C:\vhds\2012-DC1\2012-DC1\Virtual Machines"

Import-VM –Path $path.fullname –Copy –GenerateNewId –ComputerName HyperV2 –VhdDestinationPath "path" –SnapshotFilePath "path" –SmartPagingFilePath "path" –VirtualMachinePath "path"

Rename-VM $vm 2012-DC2

Démarrer le contrôleur de domaine cloné

Start-VM –Name 2012-DC2 –ComputerName HyperV1

Une fois le poste démarrer, prenez le temps de vérifier...

Dysfonctionnement envisageable

Si le contrôleur de domaine redémarre en mode restauration des services d'annuaire, loguez-vous en tant qu'administrateur local (.\administrateur) en indiquant le mot de passe de récupération.

• lancez l'interpréteur de commande ne mode "admin" et lancez la commande "msconfig"
• Dans l'onglet "Démarré", supprimez l'entrée 'Réparer Active Directory"
• Redémarrez

Pour des informations complémentaires, suivez ce lien Microsoft.