Megosztás a következőn keresztül:

Vészhelyreállítás beállítása az Active Directoryhoz és a DNS-hez

  • Cikk

Az olyan vállalati alkalmazások, mint a SharePoint, a Dynamics AX és az SAP, az Active Directorytól és egy DNS-infrastruktúrától függenek, hogy megfelelően működjenek. Ha vészhelyreállítást állít be az alkalmazásokhoz, gyakran kell helyreállítania az Active Directoryt és a tartománynévrendszert (DNS) a többi alkalmazásösszetevő helyreállítása előtt, hogy biztosítsa az alkalmazás megfelelő működését.

A Site Recovery használatával vészhelyreállítási tervet hozhat létre az Active Directoryhoz. Ha fennakadás történik, feladatátvételt kezdeményezhet. Az Active Directory perceken belül működőképes lehet. Ha az Active Directoryt több alkalmazáshoz is üzembe helyezte az elsődleges helyen, például a SharePointban és az SAP-ban, érdemes lehet feladatátvételt végeznie a teljes webhelyen. Az Active Directory feladatátvételét a Site Recovery használatával végezheti el. Ezután feladatátvételt kell végrehajtania a többi alkalmazáson alkalmazásspecifikus helyreállítási tervek használatával.

Ez a cikk azt ismerteti, hogyan hozhat létre vészhelyreállítási megoldást az Active Directoryhoz. Előfeltételeket és feladatátvételi utasításokat tartalmaz. A kezdés előtt ismernie kell az Active Directoryt és a Site Recoveryt.

Előfeltételek

A tartományvezérlő replikálása

  • A Site Recovery-replikációt legalább egy tartományvezérlőt vagy DNS-t üzemeltető virtuális gépen kell beállítania.
  • Ha a környezetében több tartományvezérlő is található, a célhelyen egy további tartományvezérlőt is be kell állítania. A további tartományvezérlő lehet az Azure-ban vagy egy másodlagos helyszíni adatközpontban.
  • Ha csak néhány alkalmazással és egy tartományvezérlővel rendelkezik, érdemes lehet a teljes webhelyet együtt feladatátvételre használni. Ebben az esetben azt javasoljuk, hogy a Site Recovery használatával replikálja a tartományvezérlőt a célhelyre, akár az Azure-ban, akár egy másodlagos helyszíni adatközpontban. A feladatátvétel teszteléséhez használhatja ugyanazt a replikált tartományvezérlőt vagy DNS-virtuális gépet.
  • Ha számos alkalmazással és több tartományvezérlővel rendelkezik a környezetben, vagy ha egyszerre több alkalmazást szeretne feladatátvételre használni, a tartományvezérlő virtuális gép site Recoveryvel való replikálása mellett javasoljuk, hogy állítson be egy további tartományvezérlőt a célhelyen (akár az Azure-ban, akár egy másodlagos helyszíni adatközpontban). A feladatátvétel teszteléséhez használhatja a Site Recovery által replikált tartományvezérlőt. Feladatátvételhez használhatja a célhelyen található további tartományvezérlőt.

Védelem engedélyezése a Site Recoveryvel

A Site Recovery használatával megvédheti a tartományvezérlőt vagy DNS-t futtató virtuális gépet.

A virtuális gép védelme

A Site Recovery használatával replikált tartományvezérlő a feladatátvétel tesztelésére szolgál. Győződjön meg arról, hogy megfelel a következő követelményeknek:

  1. A tartományvezérlő egy globális katalóguskiszolgáló.
  2. A tartományvezérlőnek a feladatátvételi teszt során szükséges szerepkörök rugalmas egy főkiszolgálói (FSMO) szerepkör-tulajdonosának kell lennie. Ellenkező esetben ezeket a szerepköröket a feladatátvétel után kell lefoglalni.

Virtuálisgép-hálózati beállítások konfigurálása

A tartományvezérlőt vagy DNS-t futtató virtuális gép esetében a Site Recoveryben konfigurálja a hálózati beállításokat a replikált virtuális gép hálózati beállításai alatt. Ez biztosítja, hogy a virtuális gép a feladatátvétel után a megfelelő hálózathoz legyen csatlakoztatva.

Az Active Directory védelme

Helyek közötti védelem

Hozzon létre egy tartományvezérlőt a másodlagos helyen. Amikor előlépteti a kiszolgálót egy tartományvezérlői szerepkörre, adja meg az elsődleges helyen használt tartomány nevét. Az Active Directory Helyek és szolgáltatások beépülő modullal konfigurálhatja azon helyhivatkozás-objektum beállításait, amelyhez a helyeket hozzáadja. A helykapcsolat beállításainak konfigurálásával szabályozhatja, hogy két vagy több hely között mikor és milyen gyakran történjen a replikáció. További információ: Replikáció ütemezése helyek között.

Helyek közötti védelem az Azure-ba

Először hozzon létre egy tartományvezérlőt egy Azure-beli virtuális hálózaton. Amikor előlépteti a kiszolgálót egy tartományvezérlői szerepkörre, adja meg ugyanazt a tartománynevet, amelyet az elsődleges helyen használ.

Ezután konfigurálja újra a DNS-kiszolgálót a virtuális hálózathoz, hogy az Azure-ban használja a DNS-kiszolgálót.

Azure-hálózat

Azure-ról Azure-ra történő védelem

Először hozzon létre egy tartományvezérlőt egy Azure-beli virtuális hálózaton. Amikor előlépteti a kiszolgálót egy tartományvezérlői szerepkörre, adja meg ugyanazt a tartománynevet, amelyet az elsődleges helyen használ.

Ezután konfigurálja újra a DNS-kiszolgálót a virtuális hálózathoz, hogy az Azure-ban használja a DNS-kiszolgálót.

Feladatátvételi szempontok tesztelése

Az éles számítási feladatokra gyakorolt hatás elkerülése érdekében a feladatátvételi teszt az éles hálózattól elkülönített hálózaton történik.

A legtöbb alkalmazáshoz tartományvezérlő vagy DNS-kiszolgáló szükséges. Ezért mielőtt az alkalmazás feladatátvételt hiúsul meg, létre kell hoznia egy tartományvezérlőt az elkülönített hálózaton a feladatátvétel teszteléséhez. Ennek legegyszerűbb módja, ha a Site Recovery használatával replikál egy tartományvezérlőt vagy DNS-t futtató virtuális gépet. Ezután futtassa a tartományvezérlő virtuális gép feladatátvételi tesztét, mielőtt az alkalmazás helyreállítási tervének feladatátvételét teszteli.

  1. A Site Recovery használatával replikálhatja a tartományvezérlőt vagy DNS-t futtató virtuális gépet.

  2. Hozzon létre egy elkülönített hálózatot. Az Azure-ban létrehozott virtuális hálózatok alapértelmezés szerint el vannak különítve más hálózatoktól. Javasoljuk, hogy ugyanazt az IP-címtartományt használja ehhez a hálózathoz, amelyet az éles hálózatban használ. Ne engedélyezze a helyek közötti kapcsolatot ezen a hálózaton.

  3. Adjon meg egy DNS-IP-címet az izolált hálózaton. Használja a DNS virtuális géptől elvárt IP-címet. Ha az Azure-ba replikál, adja meg a feladatátvételkor használt virtuális gép IP-címét. Az IP-cím megadásához a replikált virtuális gép hálózati beállításai között válassza ki a Cél IP-beállításokat.

    Azure-teszthálózat

    Tipp.

    A Site Recovery egy azonos nevű alhálózaton és a virtuális gép hálózati beállításaiban megadott IP-címmel próbál teszt virtuális gépeket létrehozni. Ha egy azonos nevű alhálózat nem érhető el a feladatátvételi teszthez megadott Azure-beli virtuális hálózatban, a teszt virtuális gép az első alhálózat betűrendben jön létre.

    Ha a cél IP-cím a kijelölt alhálózat része, a Site Recovery megpróbálja létrehozni a feladatátvevő virtuális gépet a cél IP-cím használatával. Ha a cél IP-cím nem része a kijelölt alhálózatnak, a feladatátvevő virtuális gép a kiválasztott alhálózat következő elérhető IP-címével jön létre.

Feladatátvétel tesztelése másodlagos helyre

  1. Ha egy másik helyszíni helyre replikál, és DHCP-t használ, állítsa be a DNS-t és a DHCP-t a feladatátvételi teszthez.
  2. Tesztelje az izolált hálózaton futó tartományvezérlő virtuális gép feladatátvételét. A feladatátvételi teszt végrehajtásához használja a tartományvezérlő virtuális gép legújabb elérhető alkalmazáskonzisztens helyreállítási pontját.
  3. Futtasson egy feladatátvételi tesztet az alkalmazás által futtatott virtuális gépeket tartalmazó helyreállítási tervhez.
  4. Ha a tesztelés befejeződött, törölje a feladatátvételi tesztet a tartományvezérlő virtuális gépéről. Ez a lépés törli a feladatátvételi teszthez létrehozott tartományvezérlőt.

Más tartományvezérlőkre mutató hivatkozások eltávolítása

Feladatátvételi teszt indításakor ne vegye fel az összes tartományvezérlőt a teszthálózatba. Az éles környezetben található más tartományvezérlőkre mutató hivatkozások eltávolításához szükség lehet az FSMO Active Directory-szerepkörök használatára, és a hiányzó tartományvezérlők metaadatainak törlésére .

Virtualizálási biztosítékok által okozott problémák

Fontos

Az ebben a szakaszban ismertetett konfigurációk némelyike nem szabványos vagy alapértelmezett tartományvezérlő-konfiguráció. Ha nem szeretné elvégezni ezeket a módosításokat egy éles tartományvezérlőn, létrehozhat egy, a Site Recovery számára dedikált tartományvezérlőt a feladatátvétel teszteléséhez. Ezeket a módosításokat csak az adott tartományvezérlőn végezze el.

A Windows Server 2012-től kezdődően további biztonsági beállításokat is beépítenek a Active Directory tartományi szolgáltatások (AD DS)-be. Ezek a biztosítékok segítenek megvédeni a virtualizált tartományvezérlőket a frissítéssorozatok számának (USN) visszaállításától, ha a mögöttes hipervizor platform támogatja a VM-GenerationID azonosítót. Azure-támogatásVM-GenerationID. Emiatt a Windows Server 2012-t vagy újabb verziót Azure-beli virtuális gépeken futtató tartományvezérlők további biztosítékokkal rendelkeznek.

A VM-GenerationID alaphelyzetbe állításakor az AD DS-adatbázis InvocationID értéke is alaphelyzetbe áll. Emellett a relatív azonosító (RID) készlet el lesz vetve, és SYSVOL a mappa nem mérvadóként van megjelölve. További információ: Bevezetés a Active Directory tartományi szolgáltatások virtualizálásba és az elosztott fájlrendszer-replikáció (DFSR) biztonságos virtualizálásába.

Az Azure-ba való feladatátvétel miatt a virtuális gép generációs azonosítója alaphelyzetbe állhat. A VM-GenerationID alaphelyzetbe állítása további biztosítékokat aktivál, amikor a tartományvezérlő virtuális gépe elindul az Azure-ban. Ez jelentős késést okozhat a tartományvezérlő virtuális gépre való bejelentkezésben.

Mivel ezt a tartományvezérlőt csak feladatátvételi tesztben használják, nem szükséges virtualizálási védelem. Annak érdekében, hogy a tartományvezérlő virtuális gépének VM-GenerationID értéke ne változzon, a helyszíni tartományvezérlőn az alábbi DWORD érték 4 értékre módosítható:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

A virtualizálási biztosítékok tünetei

Ha a virtualizálási biztosítékok a feladatátvételi teszt után aktiválódnak, a következő tünetek közül egy vagy több jelenhet meg:

  • A GenerationID értéke megváltozik:

  • Az InvocationID értéke megváltozik:

  • SYSVOL mappa és NETLOGON megosztások nem érhetők el.

    SYSVOL-mappamegosztás

    NtFrs SYSVOL mappa

  • Az elosztott fájlrendszerbeli adatbázisok törlődnek.

Tartományvezérlővel kapcsolatos problémák elhárítása feladatátvételi teszt során

Fontos

Az ebben a szakaszban ismertetett konfigurációk némelyike nem szabványos vagy alapértelmezett tartományvezérlő-konfiguráció. Ha nem szeretné elvégezni ezeket a módosításokat egy éles tartományvezérlőn, létrehozhat egy, a Site Recovery-teszt feladatátvételéhez dedikált tartományvezérlőt. Csak a dedikált tartományvezérlőn végezze el a módosításokat.

  1. A parancssorban futtassa a következő parancsot annak ellenőrzéséhez, hogy a mappa és NETLOGON a mappa meg van-e SYSVOL osztva:

    NET SHARE

  2. A parancssorban futtassa a következő parancsot, hogy a tartományvezérlő megfelelően működjön:

    dcdiag /v > dcdiag.txt

  3. A kimeneti naplóban keresse meg a következő szöveget. A szöveg megerősíti, hogy a tartományvezérlő megfelelően működik.

    • passed test Connectivity
    • passed test Advertising
    • passed test MachineAccount

Ha a fenti feltételek teljesülnek, valószínű, hogy a tartományvezérlő megfelelően működik. Ha nem, hajtsa végre a következő lépéseket:

  1. Végezze el a tartományvezérlő mérvadó visszaállítását. Tartsa szem előtt a következő információkat:

  2. A kezdeti szinkronizálási követelmény megkerüléséhez állítsa a következő beállításkulcsot 0 értékre a helyszíni tartományvezérlőn. Ha a DWORD paraméter nem létezik, a Paraméterek csomópont alatt hozhatja létre.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

    További információ: A 4013-ban történt DNS-eseményazonosító hibaelhárítása: A DNS-kiszolgáló nem tudta betölteni az AD integrált DNS-zónákat.

  3. Tiltsa le azt a követelményt, hogy egy globális katalóguskiszolgáló legyen elérhető a felhasználói bejelentkezés ellenőrzéséhez. Ehhez a helyszíni tartományvezérlőn állítsa a következő beállításkulcsot 1 értékre. Ha a DWORD rendszer nem létezik, létrehozhatja az Lsa-csomópont alatt.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

    További információ: A globális katalógus működése.

DNS és tartományvezérlő különböző gépeken

Ha ugyanazon a virtuális gépen futtatja a tartományvezérlőt és a DNS-t, kihagyhatja ezt az eljárást.

Ha a DNS nem ugyanazon a virtuális gépen található, mint a tartományvezérlő, létre kell hoznia egy DNS-virtuális gépet a feladatátvételi teszthez. Használhat egy friss DNS-kiszolgálót, és létrehozhatja az összes szükséges zónát. Ha például az Active Directory-tartománya, contoso.comlétrehozhat egy DNS-zónát a névvel contoso.com. Az Active Directorynak megfelelő bejegyzéseket a következőképpen kell frissíteni a DNS-ben:

  1. Győződjön meg arról, hogy ezek a beállítások a helyreállítási terv bármely más virtuális gépének megkezdése előtt teljesülnek:

    • A zónának el kell neveznie az erdő gyökérnevét.
    • A zónának fájlalapúnak kell lennie.
    • A zónát engedélyezni kell a biztonságos és nem biztonságos frissítésekhez.
    • A tartományvezérlőt üzemeltető virtuális gép feloldójának a DNS virtuális gép IP-címére kell mutatnia.

  2. Futtassa a következő parancsot a tartományvezérlőt üzemeltető virtuális gépen:

    nltest /dsregdns

  3. Futtassa a következő parancsokat egy zóna DNS-kiszolgálón való hozzáadásához, a nem biztonságos frissítések engedélyezéséhez, valamint a zóna dns-hez való hozzáadásához:

    dnscmd /zoneadd contoso.com  /Primary

dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1

dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>

dnscmd /config contoso.com /allowupdate 1

Következő lépések

További információ a vállalati számítási feladatok Azure Site Recoveryvel való védelméről.