Nastavení zotavení po havárii pro služba Active Directory a DNS

Podnikové aplikace, jako jsou SharePoint, Dynamics AX a SAP, závisí na služba Active Directory a na správné funkci infrastruktury DNS. Při nastavování zotavení po havárii pro aplikace často potřebujete obnovit služba Active Directory a DNS (Domain Name System) před obnovením jiných komponent aplikace, abyste zajistili správnou funkčnost aplikace.

K vytvoření plánu zotavení po havárii pro služba Active Directory můžete použít Site Recovery. Když dojde k narušení, můžete zahájit proces převzetí služeb. Během několika minut můžete mít služba Active Directory spuštěné. Pokud jste nasadili služba Active Directory pro více aplikací v primární lokalitě, například pro SharePoint a SAP, můžete chtít převzít služby při selhání kompletní lokality. Můžete nejprve přepnout služba Active Directory pomocí Site Recovery. Potom převeďte aplikace pro případ selhání ostatních aplikací použitím plánů obnovení specifických pro aplikace.

Tento článek vysvětluje, jak vytvořit řešení zotavení po havárii pro služba Active Directory. Zahrnuje požadavky a pokyny k převzetí služeb při selhání. Než začnete, měli byste být obeznámeni s služba Active Directory a Site Recovery.

Požadavky

• Pokud replikujete na Azure, připravte si prostředky Azure, včetně předplatného, sítě Azure Virtual Network, účtu úložiště a trezoru služby Recovery Services.
• Projděte si požadavky na podporu pro všechny komponenty.

Replikace řadiče domény

• Musíte nastavit replikaci Site Recovery na alespoň jednom virtuálním počítači, který je hostitelem řadiče domény nebo DNS.
• Pokud máte ve svém prostředí více řadičů domény, musíte také nastavit další řadič domény na cílové lokalitě. Další řadič domény může být v Azure nebo v sekundárním místním datacentru.
• Pokud máte jenom několik aplikací a jeden řadič domény, můžete chtít přepnout celou lokalitu najednou. V takovém případě doporučujeme použít Site Recovery k replikaci řadiče domény do cílové lokality, a to buď v Azure, nebo v sekundárním místním datacentru. Pro testovací převzetí služeb při selhání můžete použít stejný replikovaný řadič domény nebo virtuální počítač DNS.
• Pokud máte ve svém prostředí mnoho aplikací a více než jeden řadič domény nebo pokud plánujete najednou převzít služby při selhání několika aplikací, kromě replikace virtuálního počítače řadiče domény s Site Recovery doporučujeme nastavit další řadič domény v cílové lokalitě (buď v Azure, nebo v sekundárním místním datacentru). Pro testování převzetí služeb při selhání můžete použít řadič domény replikovaný systémem Site Recovery. Pro převzetí služeb při selhání můžete použít další řadič domény v cílové lokalitě.

Povolení ochrany pomocí Site Recovery

Pomocí Site Recovery můžete chránit virtuální počítač, který je hostitelem řadiče domény nebo DNS.

Ochrana virtuálního počítače

Řadič domény, který je replikován pomocí Site Recovery, se používá pro testování převzetí služeb při selhání. Ujistěte se, že splňuje následující požadavky:

1. Řadič domény je server globálního katalogu.
2. Řadič domény by měl být vlastníkem role FSMO (Flexible Single Master Operations) pro role potřebné během testovacího převzetí služeb při havárii. Jinak bude nutné tyto role převzaty po selhání.

Konfigurace nastavení sítě virtuálních počítačů

Pro virtuální počítač, který je hostitelem řadiče domény nebo DNS, nakonfigurujte v Site Recovery nastavení sítě v nastavení Network replikovaného virtuálního počítače. Tím se zajišťuje, že virtuální počítač je po převzetí služeb při selhání připojen ke správné síti.

Ochrana služba Active Directory

Ochrana typu Site-to-Site

Poznámka:

Windows Server 2008, 2008 R2, 2012 a 2012 R2 dosáhli konce podpory (EOS). Zkontrolujte své využití a podle toho naplánujte upgrady a migrace operačního systému. Další informace najdete v tématu Konec podpory pro

• Windows Server 2008 a Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
  Proveďte místní upgrade na Windows Server 2016, 2019, 2022 nebo 2025.

Vytvořte řadič domény v druhotné lokalitě. Při povýšení serveru na roli řadiče domény zadejte název stejné domény, která se používá v primární lokalitě. Modul snap-in služba Active Directory Lokality a služby můžete použít ke konfiguraci nastavení objektu propojení lokality, ke kterému jsou weby přidány. Konfigurací nastavení propojení lokality můžete řídit, kdy dojde k replikaci mezi dvěma nebo více lokalitami a jak často k ní dochází. Další informace najdete v tématu Plánování replikace mezi lokalitami.

Ochrana typu Site-to-Azure

Nejprve vytvořte řadič domény ve Azure virtuální síti. Při povýšení serveru na roli řadiče domény zadejte stejný název domény, který se používá v primární lokalitě.

Potom překonfigurujte server DNS pro virtuální síť tak, aby používal server DNS v Azure.

ochrana Azure na Azure

Nejprve vytvořte řadič domény ve Azure virtuální síti. Při povýšení serveru na roli řadiče domény zadejte stejný název domény, který se používá v primární lokalitě.

Potom překonfigurujte server DNS pro virtuální síť tak, aby používal server DNS v Azure.

Aspekty testovacího převzetí služeb při selhání

Aby nedošlo k dopadu na produkční úlohy, probíhá testovací failover v síti izolované od produkční sítě.

Většina aplikací vyžaduje přítomnost řadiče domény nebo serveru DNS. Před převzetím služeb při selhání aplikace je proto nutné vytvořit řadič domény v izolované síti, který bude použit pro testovací převzetí služeb při selhání. Nejjednodušší způsob, jak to udělat, je použít Site Recovery k replikaci virtuálního počítače, který je hostitelem řadiče domény nebo DNS. Potom spusťte testovací převzetí služeb při selhání virtuálního počítače řadiče domény, než spustíte testovací převzetí služeb při selhání plánu obnovení pro aplikaci.

1. Pomocí Site Recovery replikujte virtuální počítač, který je hostitelem řadiče domény nebo DNS.

2. Vytvořte izolovanou síť. Každá virtuální síť, kterou vytvoříte v Azure, je ve výchozím nastavení izolovaná od jiných sítí. Pro tuto síť, kterou používáte v produkční síti, doporučujeme použít stejný rozsah IP adres. Nepovolujte připojení typu site-to-site v této síti.

3. Zadejte IP adresu DNS v izolované síti. Použijte IP adresu, kterou očekáváte, že virtuální počítač DNS získá. Pokud replikujete na Azure, zadejte IP adresu virtuálního počítače, který se používá při selhání. Pokud chcete zadat IP adresu, v replikovaném virtuálním počítači v nastavení sítě vyberte nastavení cílové IP adresy.

   Azure testovací síť

   Návod

   Site Recovery se pokusí vytvořit testovací virtuální počítače v podsíti se stejným názvem a pomocí stejné IP adresy, kterou jste zadali v nastavení Network virtuálního počítače. Pokud není v Azure virtuální síti, která je poskytována pro testovací převzetí služeb při selhání, k dispozici podsíť se stejným názvem, je testovací virtuální počítač vytvořen v abecedně první podsíti.

   Pokud je cílová IP adresa součástí vybrané podsítě, Site Recovery se pokusí vytvořit testovací virtuální počítač pro převzetí služeb při selhání pomocí cílové IP adresy. Pokud cílová IP adresa není součástí vybrané podsítě, vytvoří se testovací VM pro účely převzetí služeb při selhání pomocí další dostupné IP adresy ve vybrané podsíti.

Otestujte převzetí služeb při selhání na sekundární lokalitu

1. Pokud replikujete do jiné místní lokality a používáte DHCP, nastavte DNS a DHCP pro testovací převzetí služeb při selhání.
2. Proveďte testovací přepnutí služeb virtuálního počítače řadiče domény, který je provozován v izolované síti. Použijte nejnovější dostupný konzistentní bod obnovení virtuálního počítače řadiče domény k provedení testovacího převzetí služeb při selhání.
3. Spusťte testovací převzetí služeb při selhání pro plán obnovení, který obsahuje virtuální stroje, na kterých aplikace běží.
4. Po dokončení testování ukončete a vyčistěte testované převzetí služeb při selhání na virtuálním počítači řadiče domény. Tento krok odstraní řadič domény vytvořený pro testovací převzetí služeb v případě selhání.

Odebrání odkazů na jiné řadiče domény

Když zahájíte testovací přepnutí při selhání, nezahrnujte do testovací sítě všechny řadiče domén. Pokud chcete odebrat odkazy na jiné řadiče domény, které existují v produkčním prostředí, možná budete muset seize role FSMO služby služba Active Directory a provést čištění metadat pro chybějící řadiče domény.

Problémy způsobené ochranou virtualizace

Důležité

Některé konfigurace popsané v této části nejsou standardní ani výchozí konfigurace řadiče domény. Pokud tyto změny v produkčním řadiči domény nechcete provádět, můžete vytvořit řadič domény, který bude vyhrazený pro Site Recovery a použit pro testovací převzetí služeb při selhání. Tyto změny proveďte pouze v daném řadiči domény.

Počínaje Windows Server 2012 jsou do Active Directory Domain Services (AD DS) integrované přídavné záruky. Tato bezpečnostní opatření pomáhají chránit virtualizované řadiče domény před vrácením pořadového čísla aktualizace (USN), pokud základní platforma hypervisoru podporuje VM-GenerationID. Azure podporuje VM-GenerationID. Z tohoto důvodu mají řadiče domény, které na Azure virtuálních počítačích spouštějí Windows Server 2012 nebo novější, tyto další bezpečnostní prvky.

Při resetování VM-GenerationID se také resetuje hodnota InvocationID databáze služby AD DS. Kromě toho je fond relativního ID (RID) vyřazen a složka SYSVOL je označena jako neautoritativní. Další informace najdete v tématu Úvod do virtualizace služeb Active Directory Domain Services a Bezpečné virtualizování replikace distribuovaných systémů souborů (DFSR).

Převzetí služeb Azure při selhání může způsobit resetování VM-GenerationID. Resetování VM-GenerationID aktivuje další bezpečnostní opatření při spuštění virtuálního počítače řadiče domény v Azure. To může vést k významnému zpoždění při přihlášení k virtuálnímu počítači řadiče domény.

Vzhledem k tomu, že tento řadič domény se používá pouze při testovacím převzetí služeb při selhání, nejsou bezpečnostní opatření virtualizace nutná. Pokud chcete zajistit, aby se hodnota VM-GenerationID virtuálního počítače řadiče domény nezměnila, můžete změnit následující hodnotu DWORD na 4 v místním řadiči domény:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Příznaky bezpečnostních opatření virtualizace

Pokud se po testovacím převzetí služeb při selhání aktivuje ochrana virtualizace, můžete si všimnout jednoho nebo více z následujících příznaků:

• Hodnota GenerationID se změní:

• Hodnota InvocationID se změní:

• SYSVOL složky a NETLOGON sdílené objekty nejsou k dispozici.

  

  

• Databáze DFSR se odstraní.

Odstraňování problémů s řadičem domény během testovacího failoveru

Důležité

Některé konfigurace popsané v této části nejsou standardní ani výchozí konfigurace řadiče domény. Pokud tyto změny nechcete provádět v produkčním řadiči domény, můžete vytvořit řadič domény vyhrazený pro testovací převzetí služeb při selhání v rámci Site Recovery. Proveďte změny pouze v daném vyhrazeném řadiči domény.

1. Na příkazovém řádku spusťte následující příkaz a zkontrolujte, jestli jsou složky SYSVOL a NETLOGON sdíleny.

   NET SHARE

2. Na příkazovém řádku spusťte následující příkaz, abyste zajistili, že řadič domény funguje správně:

   dcdiag /v > dcdiag.txt

3. Ve výstupním protokolu vyhledejte následující text. Text potvrzuje, že řadič domény funguje správně.

   • passed test Connectivity
   • passed test Advertising
   • passed test MachineAccount

Pokud jsou splněny předchozí podmínky, je pravděpodobné, že řadič domény funguje správně. Pokud tomu tak není, proveďte následující kroky:

1. Proveďte autoritativní obnovení řadiče domény. Mějte na paměti následující informace:

   • Přestože nedoporučujeme replikaci pomocí služby replikace File Replication Service (FRS), pokud používáte replikaci služby FRS, postupujte podle kroků pro autoritativní obnovení. Tento proces je popsaný v části Použití klíče registru BurFlags k opětovné inicializaci služby replikace souborů.

     Další informace o BurFlags najdete v blogovém příspěvku D2 a D4: K čemu slouží?.

   • Pokud používáte replikaci DFSR, proveďte kroky pro autoritativní obnovení. Tento proces je popsaný v části Vynucení autoritativní a neautoritativní synchronizace pro složku SYSVOL replikovanou službou DFSR (například D4/D2 pro službu FRS).

     Můžete také použít funkce PowerShellu. Další informace najdete v tématu autoritativní/neautoritativní obnovení DFSR-SYSVOL funkcí PowerShellu.

2. Nepoužívat požadavek na počáteční synchronizaci nastavením následujícího klíče registru na hodnotu 0 v místním řadiči domény. DWORD Pokud neexistuje, můžete ho vytvořit v uzlu Parametry.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

   Další informace najdete v tématu Řešení potíží s ID události DNS 4013: Server DNS nemohl načíst integrované zóny DNS služby AD.

3. Zakažte požadavek, aby byl server globálního katalogu dostupný k ověření přihlášení uživatele. Aby bylo možné toto provést, nastavte na místním řadiči domény následující klíč registru na 1. Pokud neexistuje DWORD , můžete ho vytvořit v uzlu Lsa .

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

   Další informace naleznete v tématu Jak funguje globální katalog.

DNS a řadič domény na různých počítačích

Pokud používáte řadič domény a DNS na stejném virtuálním počítači, můžete tento postup přeskočit.

Pokud DNS není na stejném virtuálním počítači jako řadič domény, musíte pro testovací převzetí služeb při selhání vytvořit virtuální počítač DNS. Můžete použít nový server DNS a vytvořit všechny požadované zóny. Pokud je například doména služba Active Directory contoso.com, můžete vytvořit zónu DNS s názvem contoso.com. Položky odpovídající služba Active Directory musí být v DNS aktualizovány následujícím způsobem:

1. Před spuštěním jakéhokoli jiného virtuálního počítače v plánu obnovení se ujistěte, že jsou tato nastavení nastavená:

   • Zóna musí být pojmenována po kořenovém názvu lesa.
   • Zóna musí být zálohovaná na souborech.
   • Zóna musí být povolená pro zabezpečené a nezabezpečené aktualizace.
   • Překladač virtuálního počítače, který je hostitelem řadiče domény, by měl odkazovat na IP adresu virtuálního počítače DNS.

2. Na virtuálním počítači, který je hostitelem řadiče domény, spusťte následující příkaz:

   nltest /dsregdns

3. Spuštěním následujících příkazů přidejte na server DNS zónu, povolte nezabezpečené aktualizace a přidejte položku pro zónu do DNS:

   dnscmd /zoneadd contoso.com  /Primary
   
   dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1
   
   dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>
   
   dnscmd /config contoso.com /allowupdate 1
   

Další kroky

Vyučte další informace o ochraně podnikových úloh pomocí Azure Site Recovery.