Virtuellen DC in VirtualBox starten?

[SBK 3]

Hallo Leute,

 

Ich muss zugeben, bin ein Spätzünder was Virtualisierung anbelangt. Ich habe nun bei einem produktiven Windows Server 2003 (32Bit), welcher auch DC ist, mittels disk2vhd ein virtuelles Image angelegt. Dieses habe ich in Virtualbox eingebunden und entsprechend konfiguriert.

 

Das virtuelle Abbild konnte ich erfolgreich starten (im abgesicherten Modus), wenn ich dieses aber im normalen Modus starte hängt er Stunden beim Punkt Netzwerkverbindungen werden vorbereitet und passieren tut nichts mehr.

 

Ich vermute das er den Server mit den FSMO-Rollen oder die anderen DC's sucht und natürlich nicht findet, da er keine Netzwerkverbindung hat.

 

Nun meine Frage gibt es eine Möglichkeit den Server hoch zu bekommen, damit ich diesen als Testumgebung benutzen kann?

 

Besten Dank für eure Tipps.

 

Gruss SBK

[Necron 71]

Hi,

 

muss der produktive DC denn mit P2V als Testinstanz erstellt werden? Wäre eine frische Installation nicht schneller?

[SBK 3]

Eine frische Installation wäre nicht schneller, da der Server eine Datenbank, Entwicklungsumgebung, komplizierte IIS-Konfiguration etc. beinhalten würde. Insofern wäre es ein grosser Zeitgewinn wenn ich das virtuelle Image (P2V) zum laufen bringen würde.

 

Gruss SBK

[Stefan W 14]

Hi

im abgesicherten Modus die Netzwerkkarte konfigurieren könnte dir weiterhelfen.

DCs mögen es nicht, wenn sie keine Netzwerkkarte besitzen, da sie dann bei jeder Überprüfung das Timeout abwarten.

[NilsK 2.791]

Moin,

 

berücksichtige drei Dinge:

 

1. Ein DC sollte nur DC (und DNS) sein, aber keine weiteren Anwendungen ausführen. Sonst erzeugst du genau die Abhängigkeiten, die du jetzt bemerkst.

 

2. Ein DC sollte niemals online per P2V virtualisiert werden, sondern ausschließlich offline. Da disk2vhd online arbeitet, erzeugst du damit ein USN Rollback und machst den DC funktionsunfähig. Sofern es um einen Einzel-DC für eine Testumgebung geht, mag das gehen, aber produktiv niemals.

 

3. disk2vhd ist kein P2V-Tool und sollte produktiv nicht genutzt werden.

 

Berücksichtige zudem, dass ein Klon als Vorlage eines Testlabors hochgradig sicherheitskritisch ist. Besser ist, die Testumgebung anhand von Eckdaten der Realumgebung nachzubilden.

 

Gruß, Nils

[Dukel 436]

Eine frische Installation wäre nicht schneller, da der Server eine Datenbank, Entwicklungsumgebung, komplizierte IIS-Konfiguration etc. beinhalten würde. Insofern wäre es ein grosser Zeitgewinn wenn ich das virtuelle Image (P2V) zum laufen bringen würde.

 

Gruss SBK

 

So kompliziert kann keine IIS Konfiguration sein, dass diese nicht nochmals ausgeführt werden kann. Und wenn diese doch so kompliziert ist sollte die konfiguration dokumentiert sein. Was machst du bei einem Ausfall?

 

Wenn du dir wirklich das neu aufsetzen sparen willst kannst du ja testen, ob du das Backup in die VM einspielen kannst. Dann hast du gleich einen Restoretest ;)

[SBK 3]

Danke Nilsk für die wertvollen Tipps. Die Problematik bezüglich USN Rollback kenne ich gut, das ist auch der Grund wieso ich das virtuelle Image nur in einer Testumgebung verwenden möchte.

 

Bei produktiven Einsatz kämen ja nur Hyper-V oder VMWare in Frage.

 

Das nachbauen des Servers ist technisch kein Problem und habe ich auch schon mehrfach gemacht und dokumentiert. Es ist aber sehr zeitaufwendig und nützt mir im Endeffekt nicht allzuviel. Denn wenn ich einen separaten virtuellen Server installiere und z.B. ein Update installiere, bedeutet dies noch lange nicht, dass es auf dem produktiven 1:1 identisch abläuft. Bei einem P2V-Abbild komme ich dem schon viel näher.

 

Hier noch ein paar Fragen, welche sich aus euren Aussagen stellen:

- Welche P2V-Tools würden in einer produktiven Umgebung in Frage kommen?

- Wieso ist ein Klon in einer Sicherheitsumgebung hochgradig kritisch?

[NilsK 2.791]

Moin,

 

Denn wenn ich einen separaten virtuellen Server installiere und z.B. ein Update installiere, bedeutet dies noch lange nicht, dass es auf dem produktiven 1:1 identisch abläuft. Bei einem P2V-Abbild komme ich dem schon viel näher.

 

das Argument höre ich oft. In der Praxis trifft es aber selten zu. Der "Klon" unterscheidet sich meist so sehr vom Original, dass die Aussagekraft sehr begrenzt ist.

 

- Welche P2V-Tools würden in einer produktiven Umgebung in Frage kommen?

 

Wenn überhaupt, dann nur solche mit Herstellersupport für das Zielszenario. Das sollte man dann insbesondere für die Applikationen genau überprüfen. Und zwar für jeden Einzelfall.

 

- Wieso ist ein Klon in einer Sicherheitsumgebung hochgradig kritisch?

 

Dort hast du dieselben User-IDs, Kennwörter und Daten wie in der Originalumgebung. Damit braucht die Testumgebung auch exakt denselben Schutz - hat sie aber normalerweise nicht. Testlabs sind meist Rechner neben dem Adminbüro oder das Admin-Notebook selbst. Ich habe mal ein Klon-Testlab neben dem Cola-Automaten gesehen. Warum soll sich dann ein Angreifer die Mühe machen, die Realumgebung anzugreifen, wenn er den Klon einach mitnehmen kann?

 

Und: Man wäre nicht der erste, der etwas im Testlab ausprobiert - um nach dem Fehlschlag festzustellen, dass es gar nicht das Testlab war, sondern die Echtumgebung, die ja genauso aussieht ...

 

Gruß, Nils

[SBK 3]

Danke für Deine Ausführungen, diese leuchten ein und sind nachvollziehbar. Das Thema Sicherheit ist aber sowieso immer ein heikles Thema und das grösste Sicherheitsloch kann man nicht beheben und sitzt 50cm vor dem Bildschirm.

 

Werde mir nach euren Tipps die Entwicklungsumgebung als virtuellen Server nachbauen und hoffen dass ich dadurch Rückschlüsse, auf das Verhalten des produktiven Server ziehen kann.

 

Gruss SBK