Konfigurowanie odzyskiwania po awarii dla usług Active Directory i DNS
Jeśli masz tylko kilka aplikacji i jednego kontrolera domeny, możesz chcieć przełączyć całą lokację w tryb failover. W takim przypadku zalecamy użycie usługi Site Recovery do replikowania kontrolera domeny do lokacji docelowej (na platformie Azure lub w pomocniczym lokalnym centrum danych). Do testowania pracy w trybie failover można użyć tego samego replikowanego kontrolera domeny lub maszyny wirtualnej DNS.
Jeśli masz wiele aplikacji i więcej niż jednego kontrolera domeny w środowisku lub jeśli planujesz przejście w tryb failover kilku aplikacji jednocześnie, oprócz replikowania maszyny wirtualnej kontrolera domeny za pomocą usługi Site Recovery, zalecamy skonfigurowanie dodatkowego kontrolera domeny w lokacji docelowej (na platformie Azure lub w pomocniczym lokalnym centrum danych). W przypadku testowania pracy w trybie failover można użyć kontrolera domeny replikowanego przez usługę Site Recovery. W przypadku trybu failover można użyć dodatkowego kontrolera domeny w lokacji docelowej.
Za pomocą usługi Site Recovery można chronić maszynę wirtualną, która hostuje kontroler domeny lub system DNS.
Ochrona maszyny wirtualnej
Kontroler domeny replikowany przy użyciu usługi Site Recovery jest używany do testowania pracy w trybie failover. Upewnij się, że spełnia następujące wymagania:
- Kontroler domeny jest serwerem wykazu globalnego.
- Kontroler domeny powinien być właścicielem roli FSMO dla ról, które są wymagane podczas testu pracy w trybie failover. W przeciwnym razie te role będą musiały zostać zajęte po przejściu w tryb failover.
Konfigurowanie ustawień sieci maszyny wirtualnej
Dla maszyny wirtualnej, która hostuje kontroler domeny lub DNS, w usłudze Site Recovery skonfiguruj ustawienia sieci w obszarze Ustawienia obliczeniowe i sieciowe replikowanej maszyny wirtualnej. Dzięki temu maszyna wirtualna jest podłączona do prawidłowej sieci po przejściu w tryb failover.
Ochrona usługi Active Directory
Ochrona między lokacjami i platformą Azure
Najpierw utwórz kontroler domeny w sieci wirtualnej platformy Azure. Po podwyższeniu poziomu serwera do roli kontrolera domeny określ tę samą nazwę domeny, która jest używana w lokacji głównej. Następnie skonfiguruj ponownie serwer DNS dla sieci wirtualnej do korzystania z serwera DNS na platformie Azure.
Ochrona z platformy Azure na platformę Azure
Najpierw utwórz kontroler domeny w sieci wirtualnej platformy Azure. Po podwyższeniu poziomu serwera do roli kontrolera domeny określ tę samą nazwę domeny, która jest używana w lokacji głównej. Następnie skonfiguruj ponownie serwer DNS dla sieci wirtualnej do korzystania z serwera DNS na platformie Azure.
Zagadnienia dotyczące testowania trybu failover
Aby uniknąć wpływu na obciążenia produkcyjne, test pracy w trybie failover odbywa się w sieci odizolowanej od sieci produkcyjnej. Większość aplikacji wymaga obecności kontrolera domeny lub serwera DNS. W związku z tym przed przełączenie aplikacji w tryb failover należy utworzyć kontroler domeny w izolowanej sieci, która będzie używana do testowania pracy w trybie failover. Najprostszym sposobem jest użycie usługi Site Recovery do replikowania maszyny wirtualnej, która hostuje kontroler domeny lub system DNS. Następnie uruchom test pracy w trybie failover maszyny wirtualnej kontrolera domeny przed uruchomieniem testowego przejścia w tryb failover planu odzyskiwania dla aplikacji. Oto jak to zrobić:
- Użyj usługi Site Recovery, aby replikować maszynę wirtualną, która hostuje kontroler domeny lub serwer DNS.
- Tworzenie izolowanej sieci. Każda sieć wirtualna tworzona na platformie Azure jest domyślnie odizolowana od innych sieci. Zalecamy używanie tego samego zakresu adresów IP dla tej sieci, która jest używana w sieci produkcyjnej. Nie włączaj łączności typu lokacja-lokacja w tej sieci.
- Podaj adres IP DNS w izolowanej sieci. Użyj adresu IP, który ma być uzyskiwany przez maszynę wirtualną DNS. Jeśli replikujesz na platformę Azure, podaj adres IP maszyny wirtualnej używanej w trybie failover. Aby wprowadzić adres IP, na replikowanej maszynie wirtualnej w ustawieniach obliczenia i sieci wybierz ustawienia Docelowego adresu IP.
Usługa Site Recovery próbuje utworzyć testowe maszyny wirtualne w podsieci o tej samej nazwie i przy użyciu tego samego adresu IP podanego w ustawieniach obliczeniowych i sieci maszyny wirtualnej. Jeśli podsieć o tej samej nazwie nie jest dostępna w sieci wirtualnej platformy Azure dostarczonej do testowania pracy w trybie failover, testowa maszyna wirtualna zostanie utworzona w podsieci alfabetycznie pierwszej.
Jeśli docelowy adres IP jest częścią wybranej podsieci, usługa Site Recovery próbuje utworzyć testową maszynę wirtualną trybu failover przy użyciu docelowego adresu IP. Jeśli docelowy adres IP nie jest częścią wybranej podsieci, testowa maszyna wirtualna trybu failover zostanie utworzona przy użyciu następnego dostępnego adresu IP w wybranej podsieci.
Testowanie trybu failover w lokacji dodatkowej
Przetestuj tryb failover maszyny wirtualnej kontrolera domeny uruchomionej w izolowanej sieci. Użyj najnowszego dostępnego punktu odzyskiwania zgodnego z aplikacją maszyny wirtualnej kontrolera domeny, aby przeprowadzić test pracy w trybie failover. Uruchom test pracy w trybie failover dla planu odzyskiwania zawierającego maszyny wirtualne, na których działa aplikacja. Po zakończeniu testowania wyczyść test pracy w trybie failover na maszynie wirtualnej kontrolera domeny. Ten krok usuwa kontroler domeny, który został utworzony na potrzeby testowania pracy w trybie failover.
Usuwanie odwołań do innych kontrolerów domeny
Po zainicjowaniu testu pracy w trybie failover nie uwzględniaj wszystkich kontrolerów domeny w sieci testowej. Aby usunąć odwołania do innych kontrolerów domeny, które istnieją w środowisku produkcyjnym, może być konieczne przejęcie ról usługi Active Directory FSMO i oczyszczanie metadanych dla brakujących kontrolerów domeny.
Problemy spowodowane zabezpieczeniami wirtualizacji
Ważne
Niektóre konfiguracje opisane w tej sekcji nie są standardowymi ani domyślnymi konfiguracjami kontrolera domeny. Jeśli nie chcesz wprowadzać tych zmian w produkcyjnym kontrolerze domeny, możesz utworzyć kontroler domeny przeznaczony dla usługi Site Recovery do użycia na potrzeby testowania pracy w trybie failover. Wprowadź te zmiany tylko na tym kontrolerze domeny.
Począwszy od systemu Windows Server 2012, dodatkowe zabezpieczenia są wbudowane w usługi domena usługi Active Directory Services (AD DS). Te zabezpieczenia pomagają chronić zwirtualizowane kontrolery domeny przed wycofywaniem numerów USN, jeśli podstawowa platforma hypervisor obsługuje identyfikator generacji maszyn wirtualnych. pomoc techniczna platformy Azure identyfikator generacji maszyny wirtualnej. W związku z tym kontrolery domeny z systemem Windows Server 2012 lub nowszym na maszynach wirtualnych platformy Azure mają te dodatkowe zabezpieczenia.
Po zresetowaniu identyfikatora generacji maszyny wirtualnej wartość InvocationID bazy danych usług AD DS jest również resetowany. Ponadto pula identyfikatorów RID jest odrzucana, a folder sysvol jest oznaczony jako nieautorytatywny. Przełączenie w tryb failover na platformę Azure może spowodować zresetowanie identyfikatora generacji maszyny wirtualnej. Zresetowanie identyfikatora generacji maszyny wirtualnej wyzwala dodatkowe zabezpieczenia po uruchomieniu maszyny wirtualnej kontrolera domeny na platformie Azure. Może to spowodować znaczne opóźnienie logowania się do maszyny wirtualnej kontrolera domeny.
Ponieważ ten kontroler domeny jest używany tylko w testowym trybie failover, zabezpieczenia wirtualizacji nie są konieczne. Aby upewnić się, że wartość virtual machine-GenerationID dla maszyny wirtualnej kontrolera domeny nie zmienia się, możesz zmienić wartość na 4 w lokalnym kontrolerze domeny:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start
Objawy zabezpieczeń wirtualizacji
Jeśli zabezpieczenia wirtualizacji zostaną wyzwolone po przetestowaniu trybu failover, może wystąpić co najmniej jeden z następujących objawów:
- Wartość GenerationID zmienia się.
- Wartość InvocationID zmienia się.
- Folder Sysvol i udziały NETLOGON nie są dostępne.
- Bazy danych DFSR są usuwane.
System DNS i kontroler domeny na różnych maszynach
Jeśli używasz kontrolera domeny i sieci DN na tej samej maszynie wirtualnej, możesz pominąć tę procedurę. Jeśli system DNS nie znajduje się na tej samej maszynie wirtualnej co kontroler domeny, należy utworzyć maszynę wirtualną DNS na potrzeby testowego przejścia w tryb failover. Możesz użyć nowego serwera DNS i utworzyć wszystkie wymagane strefy. Jeśli na przykład domena usługi Active Directory jest contoso.com, możesz utworzyć strefę DNS o nazwie contoso.com. Wpisy odpowiadające usłudze Active Directory muszą zostać zaktualizowane w systemie DNS w następujący sposób:
Upewnij się, że te ustawienia są spełnione przed rozpoczęciem jakiejkolwiek innej maszyny wirtualnej w planie odzyskiwania:
- Strefa musi mieć nazwę po nazwie głównej lasu.
- Strefa musi być objęta plikiem.
- Strefa musi być włączona dla bezpiecznych i niezabezpieczonych aktualizacji.
- Program rozpoznawania maszyny wirtualnej hostujący kontroler domeny powinien wskazywać adres IP maszyny wirtualnej DNS.
Uruchom następujące polecenie na maszynie wirtualnej, która hostuje kontroler domeny:
nltest /dsregdnsUruchom następujące polecenia, aby dodać strefę na serwerze DNS, zezwolić na niezabezpieczone aktualizacje i dodać wpis strefy do usługi DNS:
dnscmd /zoneadd contoso.com /Primary dnscmd /recordadd contoso.com contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1 dnscmd /recordadd contoso.com %computername% A <IP_OF_DNS_VM> dnscmd /config contoso.com /allowupdate 1