Vészhelyreállítás beállítása az Active Directoryhoz és a DNS-hez
Az olyan vállalati alkalmazások, mint a SharePoint, a Dynamics AX és az SAP, az Active Directorytól és egy DNS-infrastruktúrától függnek a megfelelő működéshez. Az alkalmazások vészhelyreállításának beállításakor gyakran az Active Directoryt és a tartománynévrendszert (DNS) kell helyreállítani a többi alkalmazásösszetevő helyreállítása előtt a megfelelő alkalmazásfunkciók biztosítása érdekében.
A Site Recovery használatával vészhelyreállítási tervet hozhat létre az Active Directoryhoz. Ha fennakadás történik, feladatátvételt kezdeményezhet. Az Active Directory perceken belül működőképes lehet. Ha az Active Directoryt több alkalmazáshoz is telepítette az elsődleges helyen, például a SharePointhoz és az SAP-hoz, érdemes lehet feladatátvételt végeznie a teljes webhelyen. Az Active Directory feladatátvételét a Site Recovery használatával végezheti el. Ezután feladatátvételt kell végrehajtania a többi alkalmazáson alkalmazásspecifikus helyreállítási tervek használatával.
Ez a cikk azt ismerteti, hogyan hozhat létre vészhelyreállítási megoldást az Active Directoryhoz. Előfeltételeket és feladatátvételi utasításokat tartalmaz. A kezdés előtt ismernie kell az Active Directoryt és a Site Recovery.
Előfeltételek
- Ha az Azure-ba replikál, készítse elő az Azure-erőforrásokat, beleértve az előfizetést, az Azure-Virtual Network, a tárfiókot és a Recovery Services-tárolót.
- Tekintse át az összes összetevő támogatási követelményeit .
A tartományvezérlő replikálása
- Legalább egy tartományvezérlőt vagy DNS-t üzemeltető virtuális gépen be kell állítania Site Recovery replikációt.
- Ha a környezetében több tartományvezérlő is található, akkor egy további tartományvezérlőt is be kell állítania a célhelyen. A további tartományvezérlő lehet az Azure-ban vagy egy másodlagos helyszíni adatközpontban.
- Ha csak néhány alkalmazással és egy tartományvezérlővel rendelkezik, előfordulhat, hogy a teljes webhely feladatátvételét együtt szeretné elvégezni. Ebben az esetben azt javasoljuk, hogy a Site Recovery használatával replikálja a tartományvezérlőt a célhelyre, akár az Azure-ban, akár egy másodlagos helyszíni adatközpontban. A feladatátvételi teszthez használhatja ugyanazt a replikált tartományvezérlőt vagy DNS-alapú virtuális gépet.
- Ha sok alkalmazással és több tartományvezérlővel rendelkezik a környezetben, vagy ha egyszerre több alkalmazást szeretne feladatátvételt végrehajtani, a tartományvezérlő virtuális gépének Site Recovery való replikálása mellett javasoljuk, hogy állítson be egy további tartományvezérlőt a célhelyen (akár az Azure-ban, akár egy másodlagos helyszíni adatközpontban). A feladatátvételi teszthez használhat Site Recovery által replikált tartományvezérlőt. Feladatátvételhez használhatja a célhelyen található további tartományvezérlőt.
Védelem engedélyezése Site Recovery
A Site Recovery használatával megvédheti a tartományvezérlőt vagy DNS-t futtató virtuális gépet.
A virtuális gép védelme
A feladatátvételi teszt a Site Recovery használatával replikált tartományvezérlőt használja. Győződjön meg arról, hogy megfelel a következő követelményeknek:
- A tartományvezérlő egy globális katalóguskiszolgáló.
- A feladatátvételi teszt során szükséges szerepkörökhöz a tartományvezérlőnek rugalmas egy főkiszolgálói (FSMO) szerepkör-tulajdonosnak kell lennie. Ellenkező esetben ezeket a szerepköröket a feladatátvétel után kell lefoglalni .
Virtuális gép hálózati beállításainak konfigurálása
A tartományvezérlőt vagy DNS-t futtató virtuális gép esetében a Site Recovery konfigurálja a hálózati beállításokat a replikált virtuális gép Hálózati beállításai alatt. Ez biztosítja, hogy a virtuális gép a feladatátvétel után a megfelelő hálózathoz legyen csatlakoztatva.
Az Active Directory védelme
Helyek közötti védelem
Hozzon létre egy tartományvezérlőt a másodlagos helyen. Amikor előlépteti a kiszolgálót egy tartományvezérlői szerepkörre, adja meg az elsődleges helyen használt tartomány nevét. Az Active Directory helyek és szolgáltatások beépülő modullal konfigurálhatja azon a helyhivatkozás-objektumon a beállításokat, amelyhez a helyeket hozzáadja. A helykapcsolat beállításainak konfigurálásával szabályozhatja, hogy mikor és milyen gyakran történjen a replikáció két vagy több hely között. További információ: Replikáció ütemezése helyek között.
Helyek közötti védelem az Azure-ba
Először hozzon létre egy tartományvezérlőt egy Azure-beli virtuális hálózaton. Amikor előlépteti a kiszolgálót egy tartományvezérlői szerepkörre, adja meg ugyanazt a tartománynevet, amelyet az elsődleges helyen használ.
Ezután konfigurálja újra a DNS-kiszolgálót a virtuális hálózat számára, hogy a DNS-kiszolgálót az Azure-ban használja.
Azure-ból Azure-ba történő védelem
Először hozzon létre egy tartományvezérlőt egy Azure-beli virtuális hálózaton. Amikor előlépteti a kiszolgálót egy tartományvezérlői szerepkörre, adja meg ugyanazt a tartománynevet, amelyet az elsődleges helyen használ.
Ezután konfigurálja újra a DNS-kiszolgálót a virtuális hálózat számára, hogy a DNS-kiszolgálót az Azure-ban használja.
Feladatátvételi tesztek szempontjai
Az éles számítási feladatokra gyakorolt hatás elkerülése érdekében a feladatátvételi teszt az éles hálózattól elkülönített hálózaton történik.
A legtöbb alkalmazáshoz tartományvezérlő vagy DNS-kiszolgáló szükséges. Ezért az alkalmazás feladatátvétele előtt létre kell hoznia egy tartományvezérlőt az elkülönített hálózaton a feladatátvételi teszthez. Ennek legegyszerűbb módja, ha Site Recovery használatával replikál egy tartományvezérlőt vagy DNS-t futtató virtuális gépet. Ezután futtasson egy feladatátvételi tesztet a tartományvezérlő virtuális gépén, mielőtt az alkalmazás helyreállítási tervének feladatátvételi tesztje lefutna.
A Site Recovery használatával replikálhatja a tartományvezérlőt vagy DNS-t futtató virtuális gépet.
Hozzon létre egy elkülönített hálózatot. Az Azure-ban létrehozott virtuális hálózatok alapértelmezés szerint el vannak különítve más hálózatoktól. Javasoljuk, hogy használja ugyanazt az IP-címtartományt ehhez a hálózathoz, amelyet az éles hálózatban használ. Ezen a hálózaton ne engedélyezze a helyek közötti kapcsolatot.
Adjon meg egy DNS-IP-címet az elkülönített hálózatban. Használja azt az IP-címet, amelyet a DNS-alapú virtuális géptől elvár. Ha az Azure-ba replikál, adja meg a feladatátvételhez használt virtuális gép IP-címét. Az IP-cím megadásához a replikált virtuális gépen a Hálózati beállítások területen válassza a Cél IP-cím beállításait.
Tipp
Site Recovery kísérlet teszt virtuális gépek létrehozására egy azonos nevű alhálózaton, a virtuális gép hálózati beállításaiban megadott IP-cím használatával. Ha egy azonos nevű alhálózat nem érhető el a feladatátvételi teszthez megadott Azure-beli virtuális hálózaton, a teszt virtuális gép az első alhálózatban jön létre betűrendben.
Ha a cél IP-cím a kiválasztott alhálózat része, Site Recovery megpróbálja létrehozni a feladatátvételi teszt virtuális gépet a cél IP-cím használatával. Ha a cél IP-cím nem része a kiválasztott alhálózatnak, a feladatátvételi teszt virtuális gép a kiválasztott alhálózat következő elérhető IP-címével jön létre.
Feladatátvétel tesztelése másodlagos helyre
- Ha egy másik helyszíni helyre replikál, és DHCP-t használ, állítsa be a DNS-t és a DHCP-t a feladatátvételi teszthez.
- Végezze el az elkülönített hálózaton futó tartományvezérlő virtuális gép feladatátvételét. A feladatátvételi teszt végrehajtásához használja a tartományvezérlő virtuális gép legújabb elérhető alkalmazáskonzisztens helyreállítási pontját.
- Futtasson egy feladatátvételi tesztet az alkalmazás által futtatott virtuális gépeket tartalmazó helyreállítási tervhez.
- Ha a tesztelés befejeződött, törölje a feladatátvételi tesztet a tartományvezérlő virtuális gépen. Ez a lépés törli a feladatátvételi teszthez létrehozott tartományvezérlőt.
Más tartományvezérlőkre mutató hivatkozások eltávolítása
Feladatátvételi teszt indításakor ne foglalja bele az összes tartományvezérlőt a teszthálózatba. Az éles környezetben meglévő más tartományvezérlőkre mutató hivatkozások eltávolításához előfordulhat, hogy meg kell ragadnia az FSMO Active Directory-szerepköröket , és metaadatokat kell törölnie a hiányzó tartományvezérlők esetében.
Virtualizálási biztosítékok által okozott problémák
Fontos
Az ebben a szakaszban ismertetett konfigurációk némelyike nem szabványos vagy alapértelmezett tartományvezérlő-konfiguráció. Ha nem szeretné elvégezni ezeket a módosításokat egy éles tartományvezérlőn, létrehozhat egy olyan tartományvezérlőt, amely dedikáltan Site Recovery a feladatátvételi teszthez. Ezeket a módosításokat csak az adott tartományvezérlőn végezze el.
A Windows Server 2012 kezdve további biztonsági beállításokat is beépítenek a Active Directory tartományi szolgáltatások (AD DS)-be. Ezek a biztosítékok segítenek megvédeni a virtualizált tartományvezérlőket a frissítési sorszámok (USN) visszaállításával szemben, ha a mögöttes hipervizor platform támogatja a VM-GenerationID azonosítót. Az Azure támogatja a VM-GenerationID azonosítót. Emiatt az Azure-beli virtuális gépeken Windows Server 2012 vagy újabb verziót futtató tartományvezérlők rendelkeznek ezekkel a további biztosítékokkal.
A VM-GenerationID alaphelyzetbe állításakor az AD DS-adatbázis InvocationID értéke is alaphelyzetbe áll. Emellett a relatív azonosító (RID) készlete el lesz vetve, és SYSVOL
a mappa nem mérvadóként van megjelölve. További információ: Bevezetés a Active Directory tartományi szolgáltatások virtualizálásba és az elosztott fájlrendszer-replikáció (DFSR) biztonságos virtualizálásába.
Az Azure-ba történő feladatátvétel a virtuális gép generationID-jának alaphelyzetbe állítását okozhatja. A VM-GenerationID alaphelyzetbe állítása további biztosítékokat aktivál, amikor a tartományvezérlő virtuális gépe elindul az Azure-ban. Ez jelentősen késleltetheti a tartományvezérlő virtuális gépre való bejelentkezést.
Mivel ezt a tartományvezérlőt csak feladatátvételi tesztben használják, a virtualizálási biztosítékokra nincs szükség. Annak érdekében, hogy a tartományvezérlő virtuális gép virtuális gépének VM-GenerationID értéke ne változzon, a következő DWORD
értéket 4-re módosíthatja a helyszíni tartományvezérlőn:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start
A virtualizálási biztosítékok tünetei
Ha a virtualizálási biztosítékok a feladatátvételi teszt után aktiválódnak, a következő tünetek közül egy vagy több jelenhet meg:
A GenerationID érték megváltozik:
Az InvocationID értéke megváltozik:
SYSVOL
mappa ésNETLOGON
megosztások nem érhetők el.Az elosztott fájlrendszerbeli adatbázisok törlődnek.
Tartományvezérlővel kapcsolatos problémák elhárítása feladatátvételi teszt során
Fontos
Az ebben a szakaszban ismertetett konfigurációk némelyike nem szabványos vagy alapértelmezett tartományvezérlő-konfiguráció. Ha nem szeretné elvégezni ezeket a módosításokat egy éles tartományvezérlőn, létrehozhat egy olyan tartományvezérlőt, amely Site Recovery feladatátvételi teszthez van dedikált. Csak a dedikált tartományvezérlőn végezze el a módosításokat.
A parancssorban futtassa a következő parancsot annak ellenőrzéséhez, hogy a mappa és
NETLOGON
a mappa meg van-eSYSVOL
osztva:NET SHARE
A parancssorban futtassa a következő parancsot, hogy a tartományvezérlő megfelelően működjön:
dcdiag /v > dcdiag.txt
A kimeneti naplóban keresse meg a következő szöveget. A szöveg megerősíti, hogy a tartományvezérlő megfelelően működik.
passed test Connectivity
passed test Advertising
passed test MachineAccount
Ha az előző feltételek teljesülnek, valószínű, hogy a tartományvezérlő megfelelően működik. Ha nem, hajtsa végre a következő lépéseket:
Végezze el a tartományvezérlő mérvadó visszaállítását. Tartsa szem előtt a következő információkat:
Bár nem javasoljuk a fájlreplikációs szolgáltatás (FRS) használatával történő replikációt, ha FRS-replikációt használ, kövesse a mérvadó visszaállítás lépéseit. A folyamat leírása : A BurFlags beállításkulcs használata a fájlreplikációs szolgáltatás újrainicializálásához.
A BurFlagsról további információt a D2 és a D4 blogbejegyzésben talál: Mire való?.
Ha elosztott fájlrendszerbeli replikációt használ, végezze el a mérvadó visszaállítás lépéseit. A folyamat leírása: Mérvadó és nem mérvadó szinkronizálás kényszerítése DFSR-replikált SYSVOL-mappához (például "D4/D2" frs).
A PowerShell-függvényeket is használhatja. További információ: DFSR-SYSVOL mérvadó/nem mérvadó visszaállítási PowerShell-függvények.
A kezdeti szinkronizálási követelmény megkerüléséhez állítsa a következő beállításkulcsot 0-ra a helyszíni tartományvezérlőn. Ha a
DWORD
nem létezik, a Paraméterek csomópont alatt hozhatja létre.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations
További információ: 4013-at tartalmazó DNS-eseményazonosító hibaelhárítása: A DNS-kiszolgáló nem tudta betölteni az AD integrált DNS-zónákat.
Tiltsa le azt a követelményt, hogy egy globális katalóguskiszolgáló legyen elérhető a felhasználói bejelentkezés ellenőrzéséhez. Ehhez a helyszíni tartományvezérlőn állítsa a következő beállításkulcsot 1 értékre. Ha a
DWORD
nem létezik, létrehozhatja az Lsa csomópont alatt.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures
További információ: A globális katalógus működése.
DNS és tartományvezérlő különböző gépeken
Ha ugyanazon a virtuális gépen futtatja a tartományvezérlőt és a DNS-t, kihagyhatja ezt az eljárást.
Ha a DNS nem ugyanazon a virtuális gépen található, mint a tartományvezérlő, létre kell hoznia egy DNS-virtuális gépet a feladatátvételi teszthez. Használhat egy friss DNS-kiszolgálót, és létrehozhatja az összes szükséges zónát. Ha például az Active Directory-tartománya contoso.com
, létrehozhat egy DNS-zónát a névvel contoso.com
. Az Active Directorynak megfelelő bejegyzéseket a következőképpen kell frissíteni a DNS-ben:
Győződjön meg arról, hogy ezek a beállítások még a helyreállítási terv bármely más virtuális gépének megkezdése előtt érvényben vannak:
- A zónának el kell neveznie az erdő gyökérnevét.
- A zónának fájlalapúnak kell lennie.
- A zónát engedélyezni kell a biztonságos és nem biztonságos frissítésekhez.
- A tartományvezérlőt üzemeltető virtuális gép feloldójának a DNS-virtuális gép IP-címére kell mutatnia.
Futtassa a következő parancsot a tartományvezérlőt üzemeltető virtuális gépen:
nltest /dsregdns
Futtassa az alábbi parancsokat egy zóna DNS-kiszolgálón való hozzáadásához, a nem biztonságos frissítések engedélyezéséhez és a zóna dns-hez való hozzáadásához:
dnscmd /zoneadd contoso.com /Primary dnscmd /recordadd contoso.com contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1 dnscmd /recordadd contoso.com %computername% A <IP_OF_DNS_VM> dnscmd /config contoso.com /allowupdate 1
Következő lépések
További információ a vállalati számítási feladatok Azure Site Recovery való védelméről.