Den einzigen Hyper-V Host in die Domäne aufnehmen?

Mythbusters Hyper-V Edition: Einen einzelnen Hyper-V Host in die Domäne aufnehmen oder lieber nicht?

Wieso und warum? In der Regel betreibt man eine Windows Domäne ja nicht aus Spaß an der Freude.* Wenn sie also da ist, sollte man sie auch nutzen. 😉 Ebenso vereinfacht sich dadurch, insbesondere im Fall einer Server Core Installation, das (Remote) Management des Hyper-V Hosts.
* Das ist in meinen Augen allerdings auch ein Punkt, warum ich grundsätzlich, auch in kleinen Umgebungen, mindestens zwei (2) Domänen Controller empfehle. Hier tut es schon ein kleiner Mini- / Microserver der bekannten Hersteller oder gar ein Intel NUC.

Kommen wir zum Mythos bzw. den Mythen:

  • Henne-Ei-Problem„: Der Hyper-V Host kann den DC / VMs nicht starten ohne die Domäne zu erreichen
  • Eine Anmeldung am Hyper-V ist ohne Verfügbarkeit der Windows Domäne nicht möglich
  • Bei Active Directory Problemen komme ich nicht an meine Umgebung

Hier verweise ich einfach auf die Anmerkung zu mindestens zwei (2) Domain Controller in einer Active Directory Domäne im Abschnitt „Wieso und warum?“. Thema erledigt! – Nein, so einfach mache ich mir das jetzt nicht, da auch in unserer Kundschaft „sparsame“ Kunden unterwegs sind.

Das wichtigste in der Umgebung mit nur einem Host, der zugleich den einzigen DC hosted, ist die automatische Start-Aktion eben dieser einzelnen virtuellen Domain Controller VM. Entgegen der ein oder anderen Erwartung kann der domain-joined Hyper-V Host VMs, und somit auch den einzigen DC, starten ohne das die Domäne erreichbar ist.
Anmerkung: Auch wenn es mehrere Hosts oder ein Hyper-V Cluster gibt, ist es dennoch immer eine gute Idee, die wichtigen virtuellen Maschinen für „Infrastrukturdienste“ immer automatisch starten zu lassen :).

Hyper-V virtuellen Domain Controller immer automatisch starten
Hyper-V virtuellen Domain Controller immer automatisch starten

An dieser Stelle lasse ich den automatischen Start des Domain Controllers absichtlich aus und nehme den Hyper-V Host in meine Domäne auf. Folgerichtig kann ich mich nicht an der Domäne anmelden. Also ist das ganze hier doch kein Mythos? – Nein! Ich melde mich dann einfach mit einem lokalen Konto an welches mindestens in der Gruppe der „Hyper-V-Administratoren“ ist. Sogesehen vermutlich mit dem Konto mit dem ich den Hyper-V bis eben grade noch in der Workgroup administriert habe.

Lokaler User in der Hyper-V-Administratoren Gruppe
Lokaler User in der Hyper-V-Administratoren Gruppe

Nach dem Reboot stelle ich mit Erschrecken fest, ich habe doch glatt vergessen den einzigen Active Directory Domänen Controller automatisch starten zu lassen!

Zum Glück kenne ich die lokalen Anmeldedaten der Konten „hvadmin“ und „localAdmin“ mit denen ich mich anmelde, die VM-Konfiguration anpasse sowie den Start des DCs ausführe. Sobald der DC gebooted ist kann ich mich auch mit einem passenden User aus der Domäne anmelden. Da „GUI“ unendlich langweilig ist, hier die PowerShell Befehle:

Set-VM <VMName des DCs> -AutomaticStartAction Start -AutomaticStartDelay 5
Start-VM jans-dc01

Behandeln wir jetzt („nochmals“) den Fall der Fälle, dass es Probleme mit der VM des DCs oder der AD-Domäne gibt. Hier gibt es zwei nicht so spannende Möglichkeiten:

  1. Ich melde mich, wie oben bereits beschrieben, mit einem lokalen Konto an und troubleshoote die VM / das Active Directory
  2. Ich melde mich mit meinem Domänen User an, obwohl die Domäne offline ist. Dafuq? Ja – Dank „Cached Credentials“. Kurz: Per Default speichert ein Windows Server / Windows Client zehn Anmeldeinformationen zwischen mit denen auch eine Anmeldung ermöglich wird, wenn eben kein DC erreichbar ist. Weitere Informationen zu „Cached Credentials“ sowie Best Practice gibts bei Microsoft -> https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-number-of-previous-logons-to-cache-in-case-domain-controller-is-not-available

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.