Nastavení zotavení po havárii pro Active Directory a DNS

Správné fungování podnikových aplikací, jako jsou SharePoint, Dynamics AX a SAP, závisí na službě Active Directory a infrastruktuře DNS. Při nastavování zotavení po havárii pro aplikace je často potřeba před obnovením jiných komponent aplikace obnovit službu Active Directory a DNS (Domain Name System), abyste zajistili správnou funkčnost aplikace.

K vytvoření plánu zotavení po havárii pro Službu Active Directory můžete použít Site Recovery. Když dojde k přerušení, můžete zahájit převzetí služeb při selhání. Služba Active Directory může být zprovozněna během několika minut. Pokud jste službu Active Directory nasadili pro více aplikací v primární lokalitě, například pro SharePoint a SAP, možná budete chtít převzít služby při selhání celého webu. Službu Active Directory můžete nejprve převzít při selhání pomocí Site Recovery. Potom pomocí plánů obnovení specifických pro aplikaci převeďte služby při selhání u ostatních aplikací.

Tento článek vysvětluje, jak vytvořit řešení zotavení po havárii pro Službu Active Directory. Obsahuje požadavky a pokyny k převzetí služeb při selhání. Než začnete, měli byste se seznámit se službou Active Directory a Site Recovery.

Požadavky

• Pokud replikujete do Azure, připravte prostředky Azure, včetně předplatného, Virtual Network Azure, účtu úložiště a trezoru služby Recovery Services.
• Projděte si požadavky na podporu pro všechny komponenty.

Replikace řadiče domény

• Replikaci Site Recovery musíte nastavit alespoň na jednom virtuálním počítači, který je hostitelem řadiče domény nebo DNS.
• Pokud máte ve svém prostředí více řadičů domény, musíte také nastavit další řadič domény v cílové lokalitě. Další řadič domény může být v Azure nebo v sekundárním místním datacentru.
• Pokud máte jenom několik aplikací a jeden řadič domény, možná budete chtít převzít služby při selhání celého webu společně. V takovém případě doporučujeme použít Site Recovery k replikaci řadiče domény do cílové lokality, a to buď v Azure, nebo v sekundárním místním datacentru. Pro testovací převzetí služeb při selhání můžete použít stejný replikovaný řadič domény nebo virtuální počítač DNS.
• Pokud máte ve svém prostředí mnoho aplikací a více než jeden řadič domény nebo pokud plánujete převzetí služeb při selhání několika aplikací najednou, doporučujeme kromě replikace virtuálního počítače řadiče domény s Site Recovery nastavit další řadič domény v cílové lokalitě (buď v Azure, nebo v sekundárním místním datovém centru). Pro testovací převzetí služeb při selhání můžete použít řadič domény replikovaný Site Recovery. Pro převzetí služeb při selhání můžete použít další řadič domény v cílové lokalitě.

Povolení ochrany pomocí Site Recovery

K ochraně virtuálního počítače, který je hostitelem řadiče domény nebo DNS, můžete použít Site Recovery.

Ochrana virtuálního počítače

Řadič domény, který se replikuje pomocí Site Recovery, se používá k testovacímu převzetí služeb při selhání. Ujistěte se, že splňuje následující požadavky:

1. Řadič domény je server globálního katalogu.
2. Řadič domény by měl být vlastníkem role FSMO (Flexible Single Master Operations) pro role, které jsou potřeba během testovacího převzetí služeb při selhání. V opačném případě bude potřeba tyto role po převzetí služeb při selhání převzít .

Konfigurace nastavení sítě virtuálních počítačů

Pro virtuální počítač, který je hostitelem řadiče domény nebo DNS, nakonfigurujte v Site Recovery nastavení sítě v části Nastavení sítě replikovaného virtuálního počítače. Tím se zajistí, že virtuální počítač bude po převzetí služeb při selhání připojený ke správné síti.

Ochrana služby Active Directory

Ochrana site-to-site

Vytvořte řadič domény v sekundární lokalitě. Při povýšení serveru na roli řadiče domény zadejte název stejné domény, která se používá v primární lokalitě. Modul snap-in Lokality a služby Active Directory můžete použít ke konfiguraci nastavení v objektu propojení lokalit, do kterého jsou lokality přidány. Konfigurací nastavení propojení lokalit můžete řídit, kdy dojde k replikaci mezi dvěma nebo více lokalitami a jak často k ní dochází. Další informace najdete v tématu Plánování replikace mezi lokalitami.

Ochrana site-to-Azure

Nejprve vytvořte řadič domény ve virtuální síti Azure. Při povýšení serveru na roli řadiče domény zadejte stejný název domény, který se používá v primární lokalitě.

Potom překonfigurujte server DNS pro virtuální síť tak, aby používal server DNS v Azure.

Ochrana z Azure do Azure

Nejprve vytvořte řadič domény ve virtuální síti Azure. Při povýšení serveru na roli řadiče domény zadejte stejný název domény, který se používá v primární lokalitě.

Potom překonfigurujte server DNS pro virtuální síť tak, aby používal server DNS v Azure.

Aspekty testovacího převzetí služeb při selhání

Aby nedošlo k dopadu na produkční úlohy, testovací převzetí služeb při selhání probíhá v síti, která je izolovaná od produkční sítě.

Většina aplikací vyžaduje přítomnost řadiče domény nebo serveru DNS. Proto před převzetím služeb při selhání aplikace musíte v izolované síti vytvořit řadič domény, který se použije k testovacímu převzetí služeb při selhání. Nejjednodušší způsob, jak to udělat, je použít Site Recovery k replikaci virtuálního počítače, který je hostitelem řadiče domény nebo DNS. Potom spusťte testovací převzetí služeb při selhání virtuálního počítače řadiče domény před spuštěním testovacího převzetí služeb při selhání plánu obnovení pro aplikaci.

1. Pomocí Site Recovery replikujte virtuální počítač, který je hostitelem řadiče domény nebo DNS.

2. Vytvořte izolovanou síť. Každá virtuální síť, kterou vytvoříte v Azure, je ve výchozím nastavení izolovaná od jiných sítí. Pro tuto síť doporučujeme použít stejný rozsah IP adres, který používáte v produkční síti. Nepovolujte připojení typu site-to-site v této síti.

3. Zadejte IP adresu DNS v izolované síti. Použijte IP adresu, kterou očekáváte, že virtuální počítač DNS získá. Pokud replikujete do Azure, zadejte IP adresu virtuálního počítače, který se používá při převzetí služeb při selhání. Ip adresu zadáte tak, že v replikovaném virtuálním počítači v nastavení sítě vyberete Nastavení cílové IP adresy.

   

   Tip

   Site Recovery se pokusí vytvořit testovací virtuální počítače v podsíti se stejným názvem a pomocí stejné IP adresy, která je uvedená v nastavení sítě virtuálního počítače. Pokud ve virtuální síti Azure, která je k dispozici pro testovací převzetí služeb při selhání, není dostupná podsíť se stejným názvem, vytvoří se testovací virtuální počítač v abecedně první podsíti.

   Pokud je cílová IP adresa součástí vybrané podsítě, Site Recovery se pokusí vytvořit testovací virtuální počítač s podporou převzetí služeb při selhání pomocí cílové IP adresy. Pokud cílová IP adresa není součástí vybrané podsítě, vytvoří se testovací virtuální počítač s podporou převzetí služeb při selhání pomocí další dostupné IP adresy ve vybrané podsíti.

Testovací převzetí služeb při selhání do sekundární lokality

1. Pokud replikujete do jiné místní lokality a používáte protokol DHCP, nastavte DNS a DHCP pro testovací převzetí služeb při selhání.
2. Proveďte testovací převzetí služeb při selhání virtuálního počítače řadiče domény, který běží v izolované síti. K testovacímu převzetí služeb při selhání použijte nejnovější dostupný bod obnovení konzistentní vzhledem k aplikacím virtuálního počítače řadiče domény.
3. Spusťte testovací převzetí služeb při selhání pro plán obnovení, který obsahuje virtuální počítače, na kterých aplikace běží.
4. Po dokončení testování vyčistěte testovací převzetí služeb při selhání na virtuálním počítači řadiče domény. Tento krok odstraní řadič domény vytvořený pro testovací převzetí služeb při selhání.

Odebrání odkazů na jiné řadiče domény

Když zahájíte testovací převzetí služeb při selhání, nezahrnujte do testovací sítě všechny řadiče domény. Pokud chcete odebrat odkazy na jiné řadiče domény, které existují ve vašem produkčním prostředí, možná budete muset zabrat role FSMO Active Directory a provést vyčištění metadat pro chybějící řadiče domény.

Problémy způsobené zabezpečením virtualizace

Důležité

Některé z konfigurací popsaných v této části nejsou standardní nebo výchozí konfigurace řadiče domény. Pokud nechcete tyto změny provádět v produkčním řadiči domény, můžete vytvořit řadič domény vyhrazený pro Site Recovery pro testovací převzetí služeb při selhání. Tyto změny proveďte pouze v daném řadiči domény.

Počínaje Windows Server 2012 jsou do služby Active Directory Domain Services (AD DS) integrována další bezpečnostní opatření. Tato bezpečnostní opatření pomáhají chránit virtualizované řadiče domény před vrácením pořadového čísla aktualizací (USN), pokud základní platforma hypervisoru podporuje VM-GenerationID. Azure podporuje VM-GenerationID. Z tohoto důvodu mají řadiče domény spuštěné Windows Server 2012 nebo novější na virtuálních počítačích Azure tato další bezpečnostní opatření.

Při resetování VM-GenerationID se resetuje také hodnota InvocationID databáze služby AD DS. Fond relativních ID (RID) se navíc zahodí a SYSVOL složka se označí jako neautoritativní. Další informace najdete v tématech Úvod do virtualizace Active Directory Domain Services a Bezpečná virtualizace replikace distribuovaného systému souborů (DFSR).

Převzetí služeb při selhání do Azure může způsobit resetování VM-GenerationID . Resetování VM-GenerationID aktivuje další bezpečnostní opatření při spuštění virtuálního počítače řadiče domény v Azure. To může vést k významnému zpoždění při přihlašování k virtuálnímu počítači řadiče domény.

Vzhledem k tomu, že se tento řadič domény používá jenom při testovacím převzetí služeb při selhání, nejsou bezpečnostní opatření virtualizace nutná. Pokud chcete zajistit, aby se hodnota VM-GenerationID virtuálního počítače řadiče domény nezměnila, můžete v místním řadiči domény změnit hodnotu následující DWORD na 4 :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Příznaky ochrany virtualizace

Pokud se po testovacím převzetí služeb při selhání aktivují bezpečnostní opatření virtualizace, může se zobrazit jeden nebo více následujících příznaků:

• Hodnota GenerationID se změní:

  

• Hodnota InvocationID se změní:

  

• SYSVOL složka a NETLOGON sdílené složky nejsou k dispozici.

  

  

• Databáze DFSR jsou odstraněny.

  

Řešení potíží s řadičem domény během testovacího převzetí služeb při selhání

Důležité

Některé z konfigurací popsaných v této části nejsou standardní ani výchozí konfigurace řadiče domény. Pokud nechcete tyto změny provádět v produkčním řadiči domény, můžete vytvořit řadič domény, který je vyhrazený pro Site Recovery testovací převzetí služeb při selhání. Proveďte změny pouze v daném vyhrazeném řadiči domény.

1. Na příkazovém řádku spusťte následující příkaz, který zkontroluje, jestli SYSVOL se složka a NETLOGON složka sdílí:

   NET SHARE

2. Na příkazovém řádku spusťte následující příkaz, abyste se ujistili, že řadič domény funguje správně:

   dcdiag /v > dcdiag.txt

3. Ve výstupním protokolu vyhledejte následující text. Text potvrzuje, že řadič domény funguje správně.

   • passed test Connectivity
   • passed test Advertising
   • passed test MachineAccount

Pokud jsou výše uvedené podmínky splněné, je pravděpodobné, že řadič domény funguje správně. Pokud není, proveďte následující kroky:

1. Proveďte autoritativní obnovení řadiče domény. Mějte na paměti následující informace:

   • I když replikaci pomocí služby replikace souborů (FRS) nedoporučujeme, pokud používáte replikaci služby FRS, postupujte podle pokynů pro autoritativní obnovení. Tento proces je popsaný v tématu Použití klíče registru BurFlags k opětovné inicializaci služby replikace souborů.

     Další informace o BurFlags najdete v blogových příspěvcích D2 a D4: K čemu je to?.

   • Pokud používáte replikaci DFSR, proveďte kroky autoritativního obnovení. Tento proces je popsaný v tématu Vynucení autoritativní a neautoritativní synchronizace pro složku SYSVOL replikovanou pomocí DFSR (například D4/D2 pro FRS).

     Můžete také použít funkce PowerShellu. Další informace najdete v tématu Funkce powershellu pro autoritativní/neautoritativní obnovení DFSR-SYSVOL.

2. Obejděte požadavek na počáteční synchronizaci nastavením následujícího klíče registru na hodnotu 0 v místním řadiči domény. DWORD Pokud neexistuje, můžete ho vytvořit v uzlu Parametry.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

   Další informace najdete v tématu Řešení potíží s ID události DNS 4013: Serveru DNS se nepodařilo načíst zóny DNS integrované s AD.

3. Zakažte požadavek, aby byl k dispozici server globálního katalogu pro ověření přihlášení uživatele. Uděláte to tak, že v místním řadiči domény nastavíte následující klíč registru na hodnotu 1. DWORD Pokud neexistuje, můžete ho vytvořit v uzlu Lsa.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

   Další informace najdete v tématu Jak funguje globální katalog.

DNS a řadič domény na různých počítačích

Pokud řadič domény a DNS používáte na stejném virtuálním počítači, můžete tento postup přeskočit.

Pokud DNS není na stejném virtuálním počítači jako řadič domény, musíte vytvořit virtuální počítač DNS pro testovací převzetí služeb při selhání. Můžete použít nový server DNS a vytvořit všechny požadované zóny. Pokud je contoso.comnapříklad doména služby Active Directory , můžete vytvořit zónu DNS s názvem contoso.com. Položky, které odpovídají službě Active Directory, musí být aktualizovány v DNS následujícím způsobem:

1. Před spuštěním jakéhokoli jiného virtuálního počítače v plánu obnovení se ujistěte, že jsou tato nastavení nastavená:

   • Zóna musí být pojmenovaná podle názvu kořene doménové struktury.
   • Zóna musí být zálohovaná souborem.
   • Zóna musí být povolená pro zabezpečené a nezabezpečené aktualizace.
   • Překladač virtuálního počítače, který je hostitelem řadiče domény, by měl odkazovat na IP adresu virtuálního počítače DNS.

2. Na virtuálním počítači, který je hostitelem řadiče domény, spusťte následující příkaz:

   nltest /dsregdns

3. Spuštěním následujících příkazů přidejte zónu na server DNS, povolte nezabezpečené aktualizace a přidejte položku pro zónu do DNS:

   dnscmd /zoneadd contoso.com  /Primary
   
   dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1
   
   dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>
   
   dnscmd /config contoso.com /allowupdate 1
   

Další kroky

Přečtěte si další informace o ochraně podnikových úloh pomocí Azure Site Recovery.