Panduan Pengujian Kloning Pengontrol Domain Virtual untuk Vendor Aplikasi
Topik ini menjelaskan vendor aplikasi apa yang harus dipertimbangkan untuk membantu memastikan aplikasi mereka terus berfungsi seperti yang diharapkan setelah proses kloning pengendali domain virtual (DC) selesai. Ini mencakup aspek-aspek proses kloning yang menarik vendor aplikasi dan skenario yang mungkin menjamin pengujian tambahan. Vendor aplikasi yang telah memvalidasi bahwa aplikasi mereka berfungsi pada pengontrol domain virtual yang telah dikloning didorong untuk mencantumkan nama aplikasi dalam Konten Komunitas di bagian bawah topik ini, bersama dengan tautan ke situs web organisasi Anda di mana pengguna dapat mempelajari lebih lanjut tentang validasi.
Gambaran umum kloning DC virtual
Proses kloning pengendali domain virtual dijelaskan secara rinci dalam Pengenalan Virtualisasi Active Directory Domain Services (AD DS) (Tingkat 100) dan Referensi Teknis Pengontrol Domain Virtual (Tingkat 300). Dari perspektif vendor aplikasi, ini adalah beberapa pertimbangan yang perlu diperhitungkan saat menilai dampak kloning ke aplikasi Anda:
Komputer asli tidak dihancurkan. Tetap berada di jaringan, berinteraksi dengan klien. Tidak seperti mengganti nama di mana catatan DNS komputer asli dihapus, rekaman asli untuk pengontrol domain sumber tetap ada.
Selama proses kloning, komputer baru awalnya berjalan untuk jangka waktu singkat di bawah identitas komputer lama sampai proses kloning dimulai dan membuat perubahan yang diperlukan. Aplikasi yang membuat rekaman tentang host harus memastikan bahwa komputer kloning tidak menimpa rekaman tentang host asli selama proses kloning.
Kloning adalah kemampuan penyebaran tertentu hanya untuk pengontrol domain virtual, bukan ekstensi tujuan umum untuk mengkloning peran server lain. Beberapa peran server secara khusus tidak didukung untuk kloning:
DHCP (Dynamic Host Configuration Protocol)
Layanan Active Directory Certificate (AD CS)
Active Directory Lightweight Directory Services (AD LDS)
Sebagai bagian dari proses kloning, seluruh VM yang mewakili DC asli disalin, sehingga status aplikasi apa pun pada VM tersebut juga disalin. Validasi bahwa aplikasi beradaptasi dengan perubahan ini dalam status host lokal pada DC kloning, atau jika ada intervensi yang diperlukan, seperti mulai ulang layanan.
Sebagai bagian dari kloning, DC baru mendapatkan identitas komputer baru dan menyediakan dirinya sebagai DC replika dalam topologi. Validasi apakah aplikasi bergantung pada identitas komputer, seperti namanya, akun, SID, dan sebagainya. Apakah secara otomatis beradaptasi dengan perubahan identitas komputer pada kloning? Jika aplikasi tersebut menyimpan data, pastikan aplikasi tersebut tidak mengandalkan data identitas komputer yang mungkin di-cache.
Apa yang menarik untuk Vendor Aplikasi?
CustomDCCloneAllowList.xml
Pengendali domain yang menjalankan aplikasi atau layanan Anda tidak dapat dikloning hingga aplikasi atau layanan:
- Ditambahkan ke file CustomDCCloneAllowList.xml dengan menggunakan cmdlet PowerShell Windows Get-ADDCloningExcludedApplicationList
-Atau-
- Dihapus dari pengendali domain
Pertama kali pengguna menjalankan cmdlet Get-ADDCloningExcludedApplicationList, pengguna mengembalikan daftar layanan dan aplikasi yang berjalan di pengendali domain tetapi tidak ada dalam daftar default layanan dan aplikasi yang didukung untuk kloning. Secara default, layanan atau aplikasi Anda tidak akan tercantum. Untuk menambahkan layanan atau aplikasi Anda ke daftar aplikasi dan layanan yang dapat dikloning dengan aman, pengguna menjalankan cmdlet Get-ADDCCloningExcludedApplicationList lagi dengan opsi -GenerateXML untuk menambahkannya ke file CustomDCCloneAllowList.xml. Untuk informasi selengkapnya, lihat Langkah 2: Jalankan cmdlet Get-ADDCloningExcludedApplicationList.
Interaksi Sistem Terdistribusi
Biasanya layanan diisolasi ke komputer lokal baik lulus atau gagal saat berpartisipasi dalam kloning. Layanan terdistribusi harus khawatir memiliki dua instans komputer host di jaringan secara bersamaan untuk jangka waktu singkat. Ini dapat bermanifestasi sebagai instans layanan yang mencoba menarik informasi dari sistem mitra tempat kloning telah terdaftar sebagai vendor baru identitas. Atau kedua instans layanan dapat mendorong informasi ke database AD DS secara bersamaan dengan hasil yang berbeda. Misalnya, tidak deterministik komputer mana yang akan dikomunikasikan ketika dua komputer yang memiliki layanan Windows Testing Technologies (WTT) berada di jaringan dengan pengendali domain.
Untuk layanan Server DNS terdistribusi, proses kloning dengan hati-hati menghindari penimpaan catatan DNS pengontrol domain sumber saat pengontrol domain kloning dimulai dengan alamat IP baru.
Anda tidak boleh mengandalkan komputer untuk menghapus semua identitas lama hingga akhir kloning. Setelah pengendali domain baru dipromosikan di dalam konteks baru, pilih Penyedia Sysprep dijalankan untuk membersihkan status tambahan komputer. Misalnya, pada titik ini sertifikat lama komputer dihapus dan rahasia kriptografi yang dapat diakses komputer diubah.
Faktor terbesar yang bervariasi waktu kloning adalah berapa banyak objek yang harus direplikasi dari PDC. Media yang lebih lama meningkatkan waktu yang diperlukan untuk menyelesaikan kloning.
Karena layanan atau aplikasi Anda tidak diketahui, layanan atau aplikasi Anda dibiarkan berjalan. Proses kloning tidak mengubah status layanan non-Windows.
Selain itu, komputer baru memiliki alamat IP yang berbeda dari komputer asli. Perilaku ini dapat menyebabkan efek samping pada layanan atau aplikasi Anda tergantung pada perilaku layanan atau aplikasi di lingkungan ini.
Skenario tambahan yang disarankan untuk pengujian
Kegagalan Kloning
Vendor layanan harus menguji skenario ini karena ketika kloning gagal boot komputer ke Mode Perbaikan Layanan Direktori (DSRM), bentuk Mode Aman. Pada titik ini komputer belum menyelesaikan kloning. Beberapa status mungkin telah berubah dan beberapa status mungkin tetap dari pengendali domain asli. Uji skenario ini untuk memahami dampak apa yang dapat terjadi pada aplikasi Anda.
Untuk menginduksi kegagalan kloning, cobalah untuk mengkloning pengendali domain tanpa memberinya izin untuk dikloning. Dalam hal ini, komputer hanya akan mengubah alamat IP dan masih memiliki sebagian besar statusnya dari pengendali domain asli. Untuk informasi selengkapnya tentang memberikan izin pengontrol domain untuk dikloning, lihat Langkah 1: Beri pengontrol domain virtual sumber izin untuk dikloning.
Kloning emulator PDC
Vendor layanan dan aplikasi harus menguji skenario ini karena ada boot ulang tambahan saat emulator PDC dikloning. Selain itu, sebagian besar kloning dilakukan di bawah identitas sementara untuk memungkinkan kloning baru berinteraksi dengan emulator PDC selama proses kloning.
Dapat ditulis versus pengontrol domain baca-saja
Vendor layanan dan aplikasi harus menguji kloning dengan menggunakan jenis pengendali domain yang sama (yaitu, pada pengontrol domain yang dapat ditulis atau baca-saja) yang direncanakan untuk dijalankan oleh layanan tersebut.