Клонирование виртуального контроллера домена позволяет достаточно быстро развернуть необходимое количество контролеров домена во всей инфраструктуре леса. Начиная с Windows Server 2012 стало возможным клонирование виртуального контроллера домена.
При виртуализации контролера домена на Windows Server 2008 R2 нельзя было:
- делать снапшоты (не имело смысла);
- клонировать DC;
- восстанавливать через Hyper-V.
Практически все эти недостатки были связаны с тем, что инфраструктура AD DS становится несовместимой из-за откатов USN.
USN (update sequence numbers) – это механизм отслеживания обновлений между DC по репликации в Active Directory. Когда происходит изменения на одном из DC в AD, число USN становится больше и тем самым во время репликации DC понимают у кого актуальная информация. Каждый DC хранит предыдущее число USN партнера по репликации, тем самым обеспечивая всестороннее обновление информации в базе данных AD.
Теперь, когда мы восстанавливали состояние DC из гипервизора (снапшота), то получим контроллер домена с устаревшим USN, а все остальные партнеры по репликации будут считать, что их копия базы Active Directory актуальна.
В Hyper-V Server 2012 появился Virtual Machine Generation Identifier — VM-GenerationID
Virtual Machine Generation Identifier (Идентификатор генерации виртуальной машины) — это уникальный 128 битный идентификатор, который позволяет узлу виртуализации сообщать гостю виртуализации о внесении изменений. Например, мы восстанавливаем DC из снапшота, виртуальный DC проверяет VM-GenerationID во время его запуска и перед каждым запросом записи в базу данных AD. Хост помещает VM-GenerationID в BIOS виртуальной машины при запуске этой виртуальной машины, которая затем сохраняет идентификатор в базе данных AD DS. Если VM-GenerationID, хранящийся в доменных службах Active Directory, совпадает с версией в BIOS, то контроллер домена продолжит работать в обычном режиме и выполнит запрос на запись, если не совпадают, то контроллер домена задержит запрос на запись и примет меры исходя из реального USN чтобы не вызывать повреждения AD, понимая, что применен снапшот или это клон контролера домена, актуализирует свою базу в соответствии с другими DC AD.
Благодаря этим технологиям появилась возможность клонировать контролеры домена на виртуальных машинах начиная с Windows Server 2012.
Зачем может понадобиться клонирование виртуального контроллера домена:
- Быстрое развертывание дополнительных контроллеров домена в новом домене;
- Быстрое восстановление во время аварийного восстановления;
- Быстрое предоставление тестовых сред, позволяющее развертывать и тестировать новые функции и возможности;
- Быстрое удовлетворение возросших требований к ресурсам в филиалах путем клонирования существующих контроллеров домена, а затем передачи их в филиалы с помощью Hyper-V.
Для клонирования виртуального контроллера домена необходимо:
- сервер Windows Server 2012 с ролью Hyper-V;
- виртуальный контроллер домена с ОС Windows Server 2012, развернутый на сервере Windows Server 2012 Hyper-V server.
Клонируем наш контролер домена:
1. Добавляем наш контроллер домена в группу Cloneable Domain Controllers.

2. Проверим, что приложения и службы на контроллере домена источника поддерживают процесс клонирования:
Get-ADDCCloningExcludedApplicationList
Если есть приложения или службы, в которых поддержка клонирования неизвестна или не документирована, необходимо сначала протестировать их.
Если они работают после клонирования, помещаем эти приложения или службы в файл CustomDCCloneAllowList.xml.
Get-ADDCCloningExcludedApplicationList –GenerateXML –Force
3. Создаем файл DCCloneConfig.xml
New-ADDCCloneConfigFile -CloneComputerName <Name>
Name – имя нового DC
4. Выключаем виртуальную машину
Stop-Computer
5. Экспортируем виртуальную машину через консоль Hyper-V или
Export-VM -Name <VM_Name> -Path D:\Export
6. Импортируем в Hyper-V нашу клонированную машину и выбираем значение Copy the virtual machine (create a new unique ID).

7. Переименовываем машину в консоли Hyper-V и запускаем.

После завершения подготовки нового клонированного DC мы увидим его в списке контролеров домена.
Таким образом можно достаточно быстро разворачивать в сети леса контролеры домена, можно передавать экспортированную виртуальную машину в филиалы для быстрого разворачивания.