Testleitfaden: Klonen von virtualisierten Domänencontrollern für Anwendungsanbieter
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
In diesem Thema wird erläutert, was Anbieter von Anwendungen beachten sollten, um sicherzustellen, dass ihre Anwendung nach dem Klonen des virtualisierten Domänencontrollers (DC) weiterhin wie erwartet funktioniert. Es behandelt diese Aspekte des Klonprozesses, die Anwendungsanbieter und Szenarien interessieren, die zusätzliche Tests rechtfertigen können. Anbieter von Anwendungen, die überprüft haben, dass ihre Anwendung auf virtualisierten Domänencontrollern funktioniert, die geklont wurden, werden gebeten, den Namen der Anwendung in den Communityinhalten am Ende dieses Themas aufzuführen, zusammen mit einem Link zur Website Ihres Unternehmens, auf der Benutzer mehr über die Überprüfung erfahren können.
Übersicht über das Klonen virtualisierter DCs
Der Prozess des Klonens von virtualisierten Domänencontrollern wird in Einführung in die Virtualisierung der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) (Ebene 100) und Technische Referenz für virtualisierte Domänencontroller (Ebene 300) ausführlich beschrieben. Aus der Sicht eines Anwendungsanbieters sind dies einige Überlegungen, die Sie bei der Bewertung der Auswirkungen des Klonens auf Ihre Anwendung berücksichtigen sollten:
Der ursprüngliche Computer wird nicht zerstört. Er verbleibt im Netzwerk und interagiert mit den Clients. Anders als bei einer Umbenennung, bei der die DNS-Einträge des ursprünglichen Computers entfernt werden, bleiben die ursprünglichen Einträge für den Quelldomänencontroller erhalten.
Während des Klonens wird der neue Computer zunächst für kurze Zeit unter der Identität des alten Computers ausgeführt, bis der Klonvorgang eingeleitet wird und die notwendigen Änderungen vorgenommen werden. Anwendungen, die Einträge für den Host erstellen, sollten sicherstellen, dass der geklonte Computer während des Klonvorgangs keine Einträge für den ursprünglichen Host überschreibt.
Das Klonen ist eine spezielle Fähigkeit zur Bereitstellung nur für virtualisierte Domänencontroller, keine allgemeine Erweiterung zum Klonen anderer Serverrollen. Einige Serverrollen werden ausdrücklich nicht für das Klonen unterstützt:
Dynamic Host Configuration-Protokoll (DHCP)
Active Directory-Zertifikatdienste (AD CS)
Active Directory Lightweight Directory Services (ADLDS)
Beim Klonen wird die gesamte VM kopiert, die den ursprünglichen DC repräsentiert, sodass alle Anwendungszustände auf dieser VM ebenfalls kopiert werden. Überprüfen Sie, ob sich die Anwendung an diese Änderung des Zustands des lokalen Hosts auf dem geklonten DC anpasst oder ob ein Eingriff erforderlich ist, z. B. ein Neustart des Diensts.
Im Rahmen des Klonens erhält der neue DC eine neue Computeridentität und stellt sich als Replikat-DC in der Topologie bereit. Überprüfen Sie, ob die Anwendung von der Computeridentität abhängt, z. B. von seinem Namen, seinem Konto, seiner SID usw. Passt sie sich automatisch an die Änderung der Computeridentität auf dem Klon an? Wenn diese Anwendung Daten zwischenspeichert, stellen Sie sicher, dass sie sich nicht auf Computeridentitätsdaten stützt, die möglicherweise zwischengespeichert sind.
Was ist für Anbieter von Anwendungen interessant?
CustomDCCloneAllowList.xml
Ein Domänencontroller, der Ihre Anwendung oder Ihren Dienst ausführt, kann erst geklont werden, wenn für die Anwendung oder den Dienst Folgendes gilt:
- Hinzugefügt zur Datei „CustomDCCloneAllowList.xml“ mithilfe des Windows PowerShell-Cmdlets „Get-ADDCCloningExcludedApplicationList“
-Oder-
- Aus dem Domänencontroller entfernt
Wenn der Benutzer das Cmdlet „Get-ADDCCloningExcludedApplicationList“ zum ersten Mal ausführt, gibt es eine Liste von Diensten und Anwendungen zurück, die auf dem Domänencontroller ausgeführt werden, aber nicht in der Standardliste der Dienste und Anwendungen enthalten sind, die für das Klonen unterstützt werden. Standardmäßig wird Ihr Dienst oder Ihre Anwendung nicht aufgeführt. Um Ihren Dienst oder Ihre Anwendung in die Liste der Anwendungen und Dienste aufzunehmen, die sicher geklont werden können, führt der Benutzer das Cmdlet „Get-ADDCCloningExcludedApplicationList“ erneut mit der Option „-GenerateXML“ aus, um dies der Datei „CustomDCCloneAllowList.xml“ hinzuzufügen. Weitere Informationen finden Sie unter Schritt 2: Ausführen des Cmdlets „Get-ADDCCloningExcludedApplicationList“.
Interaktionen zwischen verteilten Systemen
Normalerweise sind Dienste, die auf dem lokalen Computer isoliert sind, entweder erfolgreich oder nicht, wenn sie am Klonen teilnehmen. Bei verteilten Diensten ist es wichtig, dass sich zwei Instanzen des Hostcomputers für kurze Zeit gleichzeitig im Netzwerk befinden. Dies kann sich darin äußern, dass eine Instanz des Diensts versucht, Informationen von einem Partnersystem abzurufen, in dem sich der Klon als neuer Anbieter der Identität registriert hat. Oder beide Instanzen des Diensts können gleichzeitig Informationen in die AD DS-Datenbank pushen, mit unterschiedlichen Ergebnissen. Beispielsweise ist es nicht deterministisch, mit welchem Computer kommuniziert wird, wenn sich zwei Computer mit dem WTT-Dienst (Windows Testing Technologies) im Netzwerk mit dem Domänencontroller befinden.
Für den verteilten DNS-Serverdienst wird beim Klonen sorgfältig vermieden, dass die DNS-Einträge des Quelldomänencontrollers überschrieben werden, wenn der geklonte Domänencontroller mit einer neuen IP-Adresse startet.
Sie sollten sich nicht darauf verlassen, dass der Computer die gesamte alte Identität bis zum Ende des Klonens entfernt. Nachdem der neue Domänencontroller im neuen Kontext hochgestuft wurde, werden ausgewählte Sysprep-Anbieter ausgeführt, um den zusätzlichen Zustand des Computers zu bereinigen. An diesem Punkt werden z. B. die alten Zertifikate des Computers entfernt und die Kryptografiegeheimnisse, auf die der Computer zugreifen kann, geändert.
Der größte Faktor, der den Zeitplan für das Klonen beeinflusst, ist die Anzahl der Objekte, die vom PDC repliziert werden müssen. Ältere Medien verlängern die Zeit, die zum Abschließen des Klonens benötigt wird.
Da Ihr Dienst oder Ihre Anwendung unbekannt ist, wird die Ausführung fortgesetzt. Der Klonvorgang ändert nicht den Zustand von Nicht-Windows-Diensten.
Außerdem hat der neue Computer eine andere IP-Adresse als der ursprüngliche Computer. Je nachdem, wie sich der Dienst oder die Anwendung in dieser Umgebung verhält, können diese Verhaltensweisen Nebenwirkungen für Ihren Dienst oder Ihre Anwendung haben.
Weitere Szenarien, die für Tests vorgeschlagen werden
Fehlerhaftes Klonen
Dienstanbieter sollten dieses Szenario testen, denn wenn beim Klonen ein Fehler auftritt, bootet der Computer im Verzeichnisdienst-Wiederherstellungsmodus, eine Form des abgesicherten Modus. Zu diesem Zeitpunkt hat der Computer das Klonen noch nicht abgeschlossen. Einige Zustände können sich geändert haben und einige Zustände können vom ursprünglichen Domänencontroller übrig geblieben sein. Testen Sie dieses Szenario, um zu verstehen, welche Auswirkungen es auf Ihre Anwendung haben kann.
Um einen Fehler beim Klonen herbeizuführen, versuchen Sie, einen Domänencontroller zu klonen, ohne ihm die Erlaubnis zum Klonen zu erteilen. In diesem Fall hat der Computer nur die IP-Adressen geändert und verfügt immer noch über den Großteil seines Zustands vom ursprünglichen Domänencontroller. Weitere Informationen über das Erteilen der Erlaubnis, einen Domänencontroller zu klonen, finden Sie unter Schritt 1: Dem virtualisierten Quelldomänencontroller die Berechtigung erteilen, geklont zu werden.
Klonen des PDC-Emulators
Dienst- und Anwendungsanbieter sollten dieses Szenario testen, da es einen zusätzlichen Neustart gibt, wenn der PDC-Emulator geklont wird. Außerdem wird der Großteil des Klonens unter einer temporären Identität durchgeführt, damit der neue Klon während des Klonvorgangs mit dem PDC-Emulator interagieren kann.
Beschreibbare Domänencontroller im Gegensatz zu schreibgeschützten Domänencontrollern
Dienst- und Anwendungsanbieter sollten das Klonen mithilfe desselben Typs von Domänencontroller (d. h. auf einem beschreibbaren oder schreibgeschützten Domänencontroller) testen, auf dem der Dienst ausgeführt werden soll.