アプリケーション ベンダー向けの仮想化ドメイン コントローラー複製のテスト ガイダンス

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

このトピックでは、仮想化 ドメイン コントローラー (DC) の複製プロセスが完了した後もアプリケーションが期待どおりに動作し続けるようにするために、アプリケーション ベンダーが考慮すべき事項を紹介します。 ここでは、複製プロセスのうち、アプリケーションのベンダーが関心を持つ側面と、追加のテストが必要になる可能性のあるシナリオについて取り上げています。 複製された仮想化 ドメイン コントローラー上でアプリケーションが動作することを検証したアプリケーション ベンダーは、このトピックの下部にあるコミュニティ コンテンツにアプリケーションの名前と、ユーザーが検証の詳細を確認できる組織のWebサイトへのリンクを記載することをお勧めします。

仮想化されたDC複製の概要

仮想化ドメイン コントローラーの複製プロセスについて詳しくは、 Active Directory Domain Services (AD DS) の仮想化 (レベル 100)の概要仮想化ドメイン コントローラーのテクニカル リファレンス (レベル 300) を参照してください。 アプリケーション・ベンダーの観点から、アプリケーションの複製の影響を評価する際に考慮すべき事項を次にいくつか挙げます。

  • 元のコンピューターは破壊されていません。 ネットワーク上にとどまり、クライアントと対話します。 元のコンピューターの DNS レコードが削除される名前変更とは異なり、ソースドメインコントローラーの元のレコードは残ります。

  • 複製プロセスの実行中は、複製プロセスが開始され、必要な変更が行われるまで、新しいコンピュータは最初に古いコンピュータの ID で短時間実行されます。 ホストに関するレコードを作成するアプリケーションでは、複製プロセス中に、複製されたコンピュータが元のホストに関するレコードを上書きされないようにする必要があります。

  • 複製は、仮想化されたドメインコントローラー専用の展開機能であり、他のサーバーの役割を複製するための汎用拡張機能ではありません。 一部のサーバーの役割は、特に複製をサポートしていません。

    • 動的ホスト構成プロトコル (DHCP)

    • Active Directory 証明書サービス (AD CS)

    • Active Directory ライトウェイト ディレクトリ サービス (AD LDS)

  • 複製プロセスの一部として、元の DC を表す VM 全体がコピーされるため、その VM 上のすべてのアプリケーション状態もコピーされます。 アプリケーションが、複製された DC 上のローカルホストのこの状態変更に適応しているか、またはサービスの再起動などの介入が必要かどうかを検証します。

  • 複製の一部として、新しい DC は新しいマシン ID を取得し、それ自体をトポロジ内のレプリカ DC としてプロビジョニングします。 アプリケーションがコンピューター ID (名前、アカウント、SIDなど) に依存しているかどうかを検証します。 複製上のコンピューター ID の変更に自動的に適応しますか? そのアプリケーションがデータをキャッシュする場合は、キャッシュされる可能性のあるコンピューター識別データに依存させないようにしてください。

アプリケーション ベンダーにとって興味深い点は?

CustomDCCloneAllowList.xml

アプリケーションやサービスを実行しているドメインコントローラーは、アプリケーションやサービスがどちらかになるまで複製を作成することはできません。

  • Get-ADDCCloningExcludedApplicationList Windows PowerShell コマンドレットを使用して、CustomDCCloneAllowList.xml ファイルに追加されました。

-または-

  • ドメイン コントローラーから削除されました

ユーザーが初めて Get-ADDCCloningExcludedApplicationList コマンドレットを実行すると、ドメイン コントローラーで実行されているが、複製がサポートされているサービスとアプリケーションの既定の一覧に含まれていないサービスとアプリケーションの一覧が返されます。 既定では、サービスまたはアプリケーションは表示されません。 安全に複製できるアプリケーションとサービスの一覧にサービスまたはアプリケーションを追加するには、GenerateXML オプションを指定して Get-ADDCCloningExcludedApplicationList コマンドレットを再度実行し、C ustomDCCloneAllowList.xml ファイルに追加します。 詳細については、「Step 2: Run Get-ADDCCloningExcludedApplicationListコマンドレット」を参照してください。

分散システムの相互作用

通常、ローカル コンピューターに分離されたサービスは、複製に参加するときに成功または失敗します。 分散型サービスでは、ネットワーク上にホスト コンピューターの 2 つのインスタンスを短時間に同時に配置することを考慮する必要があります。 これは、複製が ID の新しいベンダーとして登録されているパートナー システムから情報を引き出そうとするサービス インスタンスとして現れる場合があります。 または、サービスの両方のインスタンスが、異なる結果で情報を AD DS データベースに同時にプッシュします。 たとえば、Windows Testing Technologies (WTT) サービスを持つ2台のコンピューターがドメイン コントローラーとネットワーク上にある場合、どのコンピューターと通信するかは明確ではありません。

分散 DNS サーバー サービスの場合、複製プロセスでは、複製元ドメイン コントローラーが新しいIPアドレスで起動したときに、複製元ドメイン コントローラーの DNS レコードが上書きされるのを注意して回避する必要があります。

複製が終わるまで、古いIDをすべて削除することをコンピューターに依存しないでください。 新しいドメインコントローラーが新しいコンテキスト内で昇格されたら、 Sysprep プロバイダーを選択してコンピューターの追加状態をクリーンアップします。 たとえば、この時点で、コンピューター上の古い証明書が削除され、コンピューターがアクセスできる暗号化の秘密情報が変更されます。

複製のタイミングを左右する最大の要因は、PDCから複製するオブジェクトの数です。 古いメディアを使用すると、複製の完了までにかかる時間が長くなります。

サービスまたはアプリケーションが不明なため、実行されたままになっています。 複製プロセスでは、Windows 以外のサービスの状態は変更されません。

さらに、新しいコンピューターには元のコンピューターとは異なる IP アドレスが設定されています。 これらの動作は、この環境でサービスまたはアプリケーションがどのように動作するかによって、サービスまたはアプリケーションに対する悪影響を引き起こす可能性があります。

テスト用の追加シナリオの提案

複製の失敗

複製が失敗すると、コンピューターは、セーフ モードの一種であるディレクトリ サービス修復モード (DSRM) で起動するため、サービス ベンダーはこのシナリオをテストする必要があります。 この時点で、コンピューターは複製を完了していません。 一部の状態は変更されている可能性もあり、一部の状態は元のドメインコントローラのままになっている可能性もあります。 このシナリオをテストして、アプリケーションに与える影響を理解する必要があります。

複製の失敗を引き起こす場合は、複製を許可せずにドメイン コントローラーの複製を試してください。 この場合、コンピューターは IP アドレスを変更しただけで、元のドメイン コントローラーの状態の大部分を保持したままになります。 複製するドメイン コントローラーのアクセス許可を付与する方法の詳細については、「手順 1: ソース仮想ドメイン コントローラーに複製するアクセス許可を付与する」を参照してください。

PDC エミュレーターの複製

PDCエミュレータが複製されるときに再起動が追加されるため、サービスおよびアプリケーション ベンダーはこのシナリオをテストする必要があります。 さらに、複製作成の大部分は一時的な ID で実行され、複製作成プロセス中に新しい複製が PDC エミュレーターと対話できるようにします。

書き込み可能なドメイン コントローラーと読み取り専用ドメイン コントローラー

サービスおよびアプリケーション ベンダーは、サービスを実行が計画されているものと同じ種類のドメイン コントローラー (つまり、書き込み可能または読み取り専用ドメイン コントローラー) を使用して、複製をテストする必要があります。