Menyiapkan pemulihan bencana untuk Direktori Aktif dan DNS

Aplikasi perusahaan seperti SharePoint, Dynamics AX, dan SAP bergantung pada Direktori Aktif dan infrastruktur DNS agar berfungsi dengan benar. Ketika Anda mengatur pemulihan bencana untuk aplikasi, Anda sering kali perlu memulihkan Direktori Aktif and DNS sebelum Anda memulihkan komponen aplikasi yang lain, untuk memastikan bahwa aplikasi berfungsi dengan benar.

Anda dapat menggunakan Site Recovery untuk membuat rencana pemulihan bencana untuk Direktori Aktif. Ketika gangguan terjadi, Anda dapat memulai failover. Anda dapat menjalankan Direktori Aktif dalam beberapa menit. Jika Anda telah menyebarkan Direktori Aktif untuk beberapa aplikasi di situs utama Anda, misalnya, untuk SharePoint dan SAP, Anda mungkin ingin melakukan failover pada situs lengkap. Anda dapat terlebih dahulu melakukan fail over pada Direktori Aktif menggunakan Site Recovery. Kemudian, lakukan failover pada aplikasi lain, menggunakan rencana pemulihan khusus aplikasi.

Artikel ini akan menjelaskan tentang qcara membuat solusi pemulihan bencana untuk Direktori Aktif. Tercantum juga prasyarat, dan instruksi failover. Anda harus terbiasa dengan Direktori Aktif dan Site Recovery sebelum Anda mulai.

Prasyarat

• Jika Anda melakukan replikasi ke Azure, siapkan sumber daya Azure, termasuk langganan, Azure Virtual Network, akun penyimpanan, dan vault Layanan Pemulihan.
• Tinjau Ulang persyaratan dukungan untuk semua komponen.

Mereplikasi pengendali domain

• Anda harus mengatur replikasi Site Recovery, pada setidaknya satu komputer virtual yang menghosting pengendali domain atau DNS.
• Jika Anda memiliki beberapa pengendal domain di lingkungan Anda, Anda juga harus menyiapkan pengendali domain tambahan di situs target. Pengendali domain tambahan terletak di Azure, atau di pusat data lokal sekunder.
• Jika Anda hanya memiliki beberapa aplikasi dan satu pengendali domain, Anda mungkin ingin melakukan failover di seluruh situs secara bersamaan. Dalam hal ini, sebaiknya gunakan Site Recovery untuk mereplikasi pengendali domain ke situs target, baik di Azure atau di pusat data lokal sekunder. Anda dapat menggunakan pengendali domain replikasi atau komputer virtual DNS yang sama untuk pengujian failover.
• Jika Anda memiliki banyak aplikasi dan lebih dari satu pengendali domain di lingkungan Anda, atau jika Anda berencana untuk melakukan failover pada beberapa aplikasi di waktu yang sama, selain mereplikasi komputer virtual pengendali domain dengan Site Recovery, sebaiknya Anda menyiapkan pengendali domain tambahan di situs target (baik di Azure atau di pusat data lokal sekunder). Untuk pengujian failover, Anda dapat menggunakan pengendali domain yang direplikasi oleh Site Recovery. Untuk failover, Anda dapat menggunakan pengendali domain tambahan di situs target.

Aktifkan proteksi menggunakan Site Recovery

Anda dapat menggunakan Site Recovery untuk memproteksi komputer virtual yang menjadi host dari kontrol domain atau DNS.

Proteksi komputer virtual

Pengendali domain yang direplikasi dengan Site Recovery digunakan untuk uji failover. Pastikan pengendali domain tersebut memenuhi persyaratan berikut:

1. Pengendali domain adalah server katalog global.
2. Pengendali domain harus menjadi pemilik peran FSMO untuk peran yang diperlukan selama pengujian failover. Jika tidak, peran ini perlu direbut setelah failover.

Mengonfigurasi pengaturan jaringan komputer virtual

Untuk mesin virtual yang menghosting pengendali domain atau DNS, dalam Site Recovery, konfigurasikan pengaturan jaringan pada pengaturan Jaringan dari mesin virtual yang direplikasi. Ini memastikan bahwa komputer virtual melekat pada jaringan yang benar setelah failover.

Memproteksi Direktori Aktif

Proteksi situs-ke-situs

Buat pengendali domain di situs sekunder. Saat Anda mempromosikan server ke peran pengendali domain, tentukan nama domain yang sama yang sedang digunakan di situs utama. Anda bisa menggunakan snap-in Situs dan Layanan Direktori Aktif untuk mengonfigurasi pengaturan pada objek link situs tempat situs ditambahkan. Dengan mengonfigurasi pengaturan pada link situs, Anda dapat mengontrol kapan replikasi terjadi di antara dua situs atau lebih, dan seberapa sering itu terjadi. Untuk informasi selengkapnya, lihat Penjadwalan replikasi antar situs.

Proteksi situs ke Azure

Pertama, buat pengendali domain di jaringan virtual Azure. Saat Anda mempromosikan server ke peran pengendali domain, tentukan nama domain yang sama yang sedang digunakan di situs utama.

Kemudian, konfigurasi ulang server DNS untuk jaringan virtual untuk menggunakan server DNS di Azure.

Proteksi Azure ke Azure

Pertama, buat pengendali domain di jaringan virtual Azure. Saat Anda mempromosikan server ke peran pengendali domain, tentukan nama domain yang sama yang sedang digunakan di situs utama.

Kemudian, konfigurasi ulang server DNS untuk jaringan virtual untuk menggunakan server DNS di Azure.

Pertimbangan pengujian failover

Untuk menghindari dampak pada beban kerja produksi, pengujian failover terjadi di jaringan yang terisolasi dari jaringan produksi.

Sebagian besar aplikasi memerlukan kehadiran pengendali domain atau server DNS. Oleh karena itu, sebelum aplikasi melakukan failover, Anda harus membuat pengendali domain di jaringan terisolasi yang akan digunakan untuk pengujian failover. Cara termudah untuk melakukan ini adalah dengan menggunakan Site Recovery untuk mereplikasi komputer virtual yang menghosting pengendali domain atau DNS. Kemudian, jalankan pengujian failover dari komputer virtual pengendali domain sebelum Anda menjalankan pengujian failover dari rencana pemulihan untuk aplikasi.

1. Gunakan Site Recovery untuk mereplikasi komputer virtual yang menghosting pengendali domain atau DNS.

2. Buat jaringan yang terisolasi. Jaringan virtual apa pun yang Anda buat di Azure diisolasi dari jaringan lain secara default. Sebaiknya Anda menggunakan rentang alamat IP yang sama untuk jaringan yang Anda gunakan dalam jaringan produksi. Jangan aktifkan konektivitas situs-ke-situs pada jaringan ini.

3. Sediakan alamat IP DNS di jaringan yang terisolasi. Gunakan alamat IP yang Anda harapkan untuk didapatkan oleh komputer virtual DNS. Jika Anda mereplikasi ke Azure, berikan alamat IP untuk komputer virtual yang digunakan saat failover. Untuk memasukkan alamat IP, dalam mesin virtual yang direplikasi, pada pengaturan Jaringan, pilih pengaturan IP Target.

   

   Tip

   Site Recovery mencoba membuat mesin virtual pengujian dalam subnet dengan nama yang sama dan dengan menggunakan alamat IP yang sama yang disediakan dalam pengaturan Jaringan dari mesin virtual. Jika subnet dengan nama yang sama tidak tersedia di jaringan virtual Azure yang disediakan untuk pengujian failover, pengujian komputer virtual dibuat di subnet pertama menurut abjad.

   Jika alamat IP target adalah bagian dari subnet yang dipilih, Site Recovery mencoba membuat pengujian failover komputer virtual dengan menggunakan alamat IP target. Jika IP target bukan bagian dari subnet yang dipilih, pengujian failover komputer virtual dibuat dengan menggunakan IP berikutnya yang tersedia di subnet yang dipilih.

Pengujian failover ke situs sekunder

1. Jika Anda mereplikasi ke situs lokal lain dan Anda menggunakan DHCP, siapkan DNS dan DHCP untuk uji failover.
2. Lakukan uji failover komputer virtual pengendali domain yang berjalan di jaringan terisolasi. Gunakan titik pemulihan aplikasi konsisten komputer virtual pengendali domain untuk melakukan pengujian failover.
3. Jalankan pengujian failover untuk rencana pemulihan yang berisi komputer virtual yang dijalankan aplikasi.
4. Ketika pengujian selesai, bersihkan pengujian failover pada komputer virtual pengendali domain. Langkah ini menghapus pengendali domain yang dibuat untuk pengujian failover.

Menghapus referensi ke pengendali domain lain

Saat Anda memulai pengujian failover, jangan sertakan semua pengendali domain dalam jaringan pengujian. Untuk menghapus referensi ke pengendali domain lain yang ada di lingkungan produksi Anda, Anda mungkin perlu merebut peran Direktori Aktif FSMO dan melakukan pembersihan metadata untuk pengendali domain yang hilang.

Masalah yang disebabkan oleh perlindungan virtualisasi

Penting

Beberapa konfigurasi yang dijelaskan di bagian ini bukan konfigurasi pengendali domain standar atau default. Jika Anda tidak ingin membuat perubahan ini pada pengendali domain produksi, Anda dapat membuat pengendali domain yang didedikasikan untuk Site Recovery untuk digunakan untuk pengujian failover. Buat perubahan ini hanya pada pengendali domain tersebut.

Dimulai dengan Windows Server 2012, perlindungan tambahan dibangun ke dalam Active Directory Domain Services (AD DS). Perlindungan ini membantu melindungi pengendali domain virtual terhadap update sequence number (USN) jika platform hypervisor yang mendasarinya mendukung VM-GenerationID. Azure mendukung VM-GenerationID. Karena itu, pengendali domain yang menjalankan Windows Server 2012 atau yang lebih baru di komputer virtual Azure memiliki perlindungan tambahan ini.

Saat VM-GenerationID diatur ulang, nilai InvocationID database AD DS juga diatur ulang. Selain itu, kumpulan ID relatif (RID) dibuang, dan folder SYSVOL ditandai sebagai non-otoritatif. Untuk informasi selengkapnya, lihat Pengenalan virtualisasi Layanan Domain Direktori Aktif dan Virtualisasi Distributed File System Replication (DFSR) dengan Aman.

Melakukan failover ke Azure dapat menyebabkan VM-GenerationID diatur ulang. Mengatur ulang VM-GenerationID memicu perlindungan tambahan saat komputer virtual pengendali domain dimulai di Azure. Ini mungkin mengakibatkan keterlambatan yang signifikan saat masuk ke komputer virtual pengendali domain.

Karena pengendali domain ini hanya digunakan dalam pengujian failover, perlindungan virtualisasi tidak diperlukan. Untuk memastikan bahwa nilai VM-GenerationID untuk komputer virtual pengendali domain tidak berubah, Anda dapat mengubah nilai mengikuti DWORD ke 4 di pengendali domain lokal:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Gejala perlindungan virtualisasi

Jika perlindungan virtualisasi dipicu setelah pengujian failover, Anda mungkin melihat satu atau beberapa gejala berikut:

• Nilai GenerationID berubah:

  

• Nilai InvocationID berubah:

  

• Folder SYSVOL dan berbagi NETLOGON tidak tersedia.

  

  

• Database DFSR dihapus.

  

Memecahkan masalah pengendali domain selama pengujian failover

Penting

Beberapa konfigurasi yang dijelaskan di bagian ini bukan konfigurasi pengendali domain standar atau default. Jika Anda tidak ingin membuat perubahan ini pada pengendali domain produksi, Anda dapat membuat pengendali domain yang didedikasikan untuk pengujian failover Site Recovery. Buat perubahan hanya pada pengendali domain yang didedikasikan tersebut.

1. Pada perintah, jalankan perintah berikut untuk memeriksa apakah folder SYSVOL dan folder NETLOGON dibagikan:

   NET SHARE

2. Pada perintah, jalankan perintah berikut untuk memastikan bahwa pengendali domain berfungsi dengan baik:

   dcdiag /v > dcdiag.txt

3. Dalam log output, cari teks berikut. Teks mengonfirmasi bahwa pengendali domain berfungsi dengan benar.

   • passed test Connectivity
   • passed test Advertising
   • passed test MachineAccount

Jika kondisi sebelumnya terpenuhi, kemungkinan pengendali domain sudah berfungsi dengan benar. Jika tidak, selesaikan langkah-langkah berikut:

1. Lakukan pemulihan otoritatif pengendali domain. Ingatlah informasi berikut:

   • Meskipun kami tidak merekomendasikan replikasi menggunakan File Replication Service (FRS), jika Anda menggunakan replikasi FRS, ikuti langkah-langkah untuk pemulihan otoritatif. Proses ini dijelaskan dalam Menggunakan kunci registri BurFlags untuk menginisiialisasi kembali File Replication Service.

     Untuk informasi lebih lanjut tentang BurFlags, lihat posting blog D2 dan D4: Untuk apa?.

   • Jika Anda menggunakan replikasi DFSR, selesaikan langkah-langkah untuk pemulihan otoritatif. Proses ini dijelaskan dalam Paksa sinkronisasi otoritatif dan non-otoritatif untuk folder SYSVOL yang direplikasi DFSR (seperti "D4/D2" untuk FRS).

     Anda juga dapat menggunakan fungsi PowerShell. Untuk informasi selengkapnya, lihat fungsi PowerShell untuk pemulihan otoritatif/non-otoritatif DFSR-SYSVOL.

2. Lewati persyaratan sinkronisasi awal dengan mengatur kunci registri ke 0 di pengendali domain lokal. Jika DWORD tidak ada, Anda dapat membuatnya di bawah node Parameter.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

   Untuk informasi selengkapnya, lihat Memecahkan masalah DNS Event ID 4013: Server DNS tidak dapat memuat zona DNS terintegrasi AD.

3. Nonaktifkan persyaratan bahwa server katalog global tersedia untuk memvalidasi login pengguna. Untuk melakukan ini, di pengendali domain lokal, atur kunci registri berikut ke 1. Jika DWORD tidak ada, Anda dapat membuatnya di bawah node Lsa.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

   Untuk informasi selengkapnya, lihat Cara Kerja Katalog Global.

Pengendali DNS dan domain pada mesin yang berbeda

Jika Anda menjalankan pengendali domain dan DNS pada mesin virtual yang sama, Anda dapat lompati prosedur ini.

Jika DNS tidak berada di VM yang sama dengan pengendali domain, Anda perlu membuat DNS VM untuk pengujian failover. Anda bisa menggunakan server DNS baru, dan membuat semua zona yang diperlukan. Misalnya, jika domain Direktori Aktif Anda adalah contoso.com, Anda bisa membuat zona DNS dengan nama contoso.com. Entri yang terkait dengan Direktori Aktif harus diperbarui di DNS sebagai berikut:

1. Pastikan bahwa pengaturan ini diberlakukan sebelum komputer virtual lain pada rencana pemulihan dimulai:

   • Zona harus dinamai sesuai dengan nama akar hutan.
   • Zona harus didukung oleh file.
   • Zona harus diaktifkan untuk pembaruan yang aman dan tidak aman.
   • Resolver komputer virtual yang menghosting pengendali domain harus menunjuk ke alamat IP komputer virtual DNS.

2. Jalankan perintah berikut pada VM yang menghosting pengendali domain:

   nltest /dsregdns

3. Jalankan perintah berikut ini untuk menambahkan zona di server DNS, perbolehkan pembaruan yang tidak aman, dan tambahkan entri untuk zona tersebut ke DNS:

   dnscmd /zoneadd contoso.com  /Primary
   
   dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1
   
   dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>
   
   dnscmd /config contoso.com /allowupdate 1
   

Langkah berikutnya

Pelajari selengkapnya tentang melindungi beban kerja perusahaan dengan Azure Site Recovery.