Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma vysvětluje, které dodavatele aplikací by měli zvážit, aby pomohli zajistit, aby aplikace po dokončení procesu klonování virtualizovaného řadiče domény (DC) fungovala podle očekávání. Týká se těchto aspektů procesu klonování, který zajímá dodavatele aplikací a scénáře, které mohou zaručovat další testování. Dodavatelé aplikací, kteří ověřili, že jejich aplikace funguje na virtualizovaných řadičích domény, které byly naklonovány, se doporučuje uvést název aplikace v obsahu komunity v dolní části tohoto tématu spolu s odkazem na web vaší organizace, kde se uživatelé můžou dozvědět více o ověřování.
Přehled klonování virtualizovaného datového centra
Proces klonování virtualizovaného řadiče domény je podrobně popsaný v tématu Úvod do virtualizace služby Active Directory Domain Services (AD DS) (úroveň 100) a technické reference virtualizovaného řadiče domény (úroveň 300). Z pohledu dodavatele aplikace je potřeba vzít v úvahu při posuzování dopadu klonování do vaší aplikace:
Původní počítač není zničen. Zůstává v síti a komunikuje s klienty. Na rozdíl od přejmenování, kde se odeberou záznamy DNS původního počítače, zůstanou původní záznamy zdrojového řadiče domény.
Během procesu klonování nového počítače zpočátku běží po krátkou dobu pod identitou starého počítače, dokud není klonovací proces zahájen a neprovede potřebné změny. Aplikace, které vytvářejí záznamy o hostiteli, by měly zajistit, aby klonovaný počítač nepřepsal záznamy o původním hostiteli během procesu klonování.
Klonování je specifická funkce nasazení pouze pro virtualizované řadiče domény, nikoli rozšíření pro obecné účely pro klonování jiných rolí serveru. Některé role serveru se konkrétně nepodporují pro klonování:
Protokol DHCP (Dynamic Host Configuration Protocol)
Služba AD CS (Active Directory Certificate Services)
Služba AD LDS (Active Directory Lightweight Directory Services)
V rámci procesu klonování se zkopíruje celý virtuální počítač, který představuje původní řadič domény, takže se zkopíruje také stav aplikace na daném virtuálním počítači. Ověřte, že se aplikace přizpůsobí této změně stavu místního hostitele na naklonovaném řadiči domény, nebo pokud je vyžadován nějaký zásah, například restartování služby.
V rámci klonování získá nový řadič domény novou identitu počítače a zřídí se jako replika řadiče domény v topologii. Ověřte, jestli aplikace závisí na identitě počítače, například na názvu, účtu, identifikátoru SID atd. Přizpůsobí se automaticky změně identity počítače na klonu? Pokud tato aplikace ukládá data do mezipaměti, ujistěte se, že nespoléhá na data identity počítače, která se můžou ukládat do mezipaměti.
Co je zajímavé pro dodavatele aplikací?
CustomDCCloneAllowList.xml
Řadič domény, který spouští vaši aplikaci nebo službu, nelze klonovat, dokud aplikace nebo služba nebude:
- Přidání do souboru CustomDCCloneAllowList.xml pomocí rutiny Get-ADDCCloningExcludedApplicationList Windows PowerShellu
-Or-
- Odebráno z řadiče domény
Když uživatel poprvé spustí rutinu Get-ADDCCloningExcludedApplicationList, vrátí seznam služeb a aplikací, které běží na řadiči domény, ale nejsou ve výchozím seznamu služeb a aplikací podporovaných pro klonování. Ve výchozím nastavení nebude vaše služba nebo aplikace uvedené. Pokud chcete přidat službu nebo aplikaci do seznamu aplikací a služeb, které je možné bezpečně naklonovat, uživatel znovu spustí rutinu Get-ADDCCloningExcludedApplicationList s možností -GenerateXML, aby ji přidal do souboru CustomDCCloneAllowList.xml. Další informace najdete v kroku 2: Spustit Get-ADDCCloningExcludedApplicationList cmdlet.
Interakce distribuovaného systému
Služby izolované pro místní počítač obvykle projdou nebo selžou při účasti na klonování. Distribuované služby se musí zabývat dvěma instancemi hostitelského počítače v síti současně po krátkou dobu. Může se to projevit jako instance služby, která se pokouší vyžádat informace z partnerského systému, kde se klon zaregistroval jako nový dodavatel identity. Nebo obě instance služby můžou nasdílet informace do databáze služby AD DS současně s různými výsledky. Například není deterministické, se kterým počítačem se bude komunikovat, když jsou dva počítače se službou WTT (Windows Testing Technologies) v síti s řadičem domény.
Pro službu distribuovaného DNS serveru proces klonování pečlivě zabraňuje přepsání záznamů DNS zdrojového řadiče domény, když klonovaný řadič domény začne s novou IP adresou.
Neměli byste spoléhat na počítač, abyste odebrali veškerou starou identitu až do konce klonování. Poté, co je nový řadič domény povýšen v novém kontextu, spustí se vybraní poskytovatelé Sysprep k vyčištění dodatečného stavu počítače. V tuto chvíli se například odeberou staré certifikáty počítače a změní se tajné kódy kryptografie, ke kterým má počítač přístup.
Největším faktorem, který ovlivňuje načasování klonování, je počet objektů, které se mají replikovat z PDC. Starší média zvyšují dobu potřebnou k dokončení klonování.
Protože je vaše služba nebo aplikace neznámá, je spuštěná. Proces klonování nemění stav služeb jiných systémů než Windows.
Nový počítač má navíc jinou IP adresu než původní počítač. Toto chování může způsobit vedlejší účinky vaší služby nebo aplikace v závislosti na tom, jak se služba nebo aplikace v tomto prostředí chová.
Další scénáře navržené pro testování
Selhání klonování
Dodavatelé služeb by měli tento scénář otestovat, protože když klonování selže, počítač se spustí v režimu opravy adresářových služeb (DSRM), což je forma nouzového režimu. V tuto chvíli počítač nedokončil klonování. Některé stavy se mohly změnit a některé stavy můžou zůstat z původního řadiče domény. Otestujte tento scénář, abyste pochopili, jaký dopad může mít na vaši aplikaci.
Pokud chcete navodit selhání klonování, zkuste klonovat řadič domény bez udělení oprávnění ke klonování. V takovém případě počítač změní pouze IP adresy a stále bude mít většinu svého stavu z původního řadiče domény. Další informace o udělení oprávnění k klonování řadiče domény naleznete v kroku 1: Udělení oprávnění klonovaného zdrojového virtualizovaného řadiče domény.
Klonování emulátoru PDC
Dodavatelé služeb a aplikací by měli tento scénář otestovat, protože při klonování emulátoru PDC (Primárního řadiče domény) dochází k dodatečnému restartování. Kromě toho se většina klonování provádí v rámci dočasné identity, která umožňuje novému klonování komunikovat s emulátorem primárního řadiče domény během procesu klonování.
Zapisovatelné versus řadiče domény jen pro čtení
Dodavatelé služeb a aplikací by měli testovat klonování pomocí stejného typu řadiče domény, tj. na zapisovatelném nebo jen pro čtení řadiči domény, na kterém je plánováno provozovat službu.