Virtualisation – fonctionnement du procédé de génération d’ID

Une des nouveautés de Windows 2012 était de supporter les snapshots dans le cadre de machines virtuelles. Ce support est repris avec Windows 2012 R2.

Le but de cet article est d’exposer le principe de fonctionnement du procédé de génération d’ID.

Fonctionnement du procédé de génération d’ID.

Les hyperviseurs qui supportent cette fonctionnalité exposent aux VM un identifiant qui est incrémenté à chaque retour en arrière par un snapshot d’une VM : le VM GENERATION ID.

A chaque boot d’un serveur AD virtualisé, le système Windows 2012 R2 demande à l’hyperviseur sa valeur de VM GENERATION ID. Un évènement 2168 consigne cette demande.

Hyperviseur

La valeur de VM Generation ID est ensuite stockée dans l’AD dans la propriété msDS-GenerationID de l’ordinateur contrôleur de domaine.

Hyperviseur

Ainsi à chaque boot, la machine virtuelle compare la valeur stockée dans l’AD et la valeur renvoyée par l’hyperviseur.

Si ces valeurs sont différentes, c’est que la machine virtuelle est revenue en arrière à l’aide d’un snapshot. Dans ce cas un évènement 2170 est consigné. On peut remarquer dans cet évènement que la restauration par snapshot n’est pas supportée et que la seule méthode supportée est la restauration du system state. On peut aussi remarquer qu’une live migration provoque aussi un changement de VM Generation ID. Dans l’exemple ci-dessous, un DC virtualisé revient à l’état d’un snapshot passé (tests avec snapshot pris avec la VM stoppée sous Vmware ESX 5.5 et avec snapshot à chaud).

Hyperviseur

Suite à ce constat, l’AD Windows 2012 R2 supportant les snapshots de VM (mais pas pour en faire des sauvegardes), l’AD va considérer qu’il est dans un état de restauration « non authoritative » et va se resynchroniser avec les autres contrôleurs en ligne. Il réplique les objets plus récents.

Hyperviseur

 

Et il réplique ensuite les données de SYSVOL.

Hyperviseur

Il met ensuite à jour les propriétés de son compte AD avec la nouvelle valeur de VM Generation ID.

Hyperviseur

 

Le démarrage de l’AD est alors complet.

Hyperviseur

Le service est rendu.

Hyperviseur

 

Cet exemple montre le support avec Windows 2012 R2 du snapshots des VM contrôleurs de domaine et également que Microsoft ne reconnaît pas cette pratique en tant qu’une sauvegarde de l’AD.

Remarque : Il a été remarqué que pour l’installation du premier DC d’une forêt, si le DC n’est pas rebooté une fois de plus que nécessaire après l’installation de l’AD, la valeur de Generation ID est encore à 0 dans la propriété du compte dans l’AD et le retour en arrière par snapshot provoque le disfonctionnement de l’AD. Il faut donc systématiquement rebooter une fois de plus que nécessaire un DC virtualisé après l’installation du premier AD (pour des maquettes ou des séances de tests).

Il faut aussi systématiquement rebooter un serveur virtualisé si la valeur de Generation ID est configurée manuellement à 0.

Hyperviseur

Hyperviseur

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *