Usare Azure Site Recovery per proteggere Active Directory e DNSUse Azure Site Recovery to protect Active Directory and DNS

Le applicazioni aziendali, ad esempio SharePoint, Dynamics AX e SAP, dipendono dall'infrastruttura di Active Directory e DNS per funzionare correttamente.Enterprise applications such as SharePoint, Dynamics AX, and SAP depend on Active Directory and a DNS infrastructure to function correctly. Quando si configura il ripristino di emergenza per le applicazioni, spesso è necessario ripristinare Active Directory e DNS prima di ripristinare altri componenti dell'applicazione in modo da garantirne il corretto funzionamento.When you set up disaster recovery for applications, you often need to recover Active Directory and DNS before you recover other application components, to ensure correct application functionality.

È possibile usare Site Recovery per creare un piano di ripristino di emergenza per Active Directory.You can use Site Recovery to create a disaster recovery plan for Active Directory. Quando si verifica un'interruzione, è possibile avviare un failover.When a disruption occurs, you can initiate a failover. Active Directory può entrare in funzione in pochi minuti.You can have Active Directory up and running in a few minutes. Se è stato distribuito Active Directory per più applicazioni nel sito principale, ad esempio per SharePoint e SAP, si potrebbe voler eseguire il failover del sito completo.If you have deployed Active Directory for multiple applications in your primary site, for example, for SharePoint and SAP, you might want to fail over the complete site. È possibile eseguire innanzitutto il failover di Active Directory usando Site Ricovery.You can first fail over Active Directory using ite Recovery. Quindi eseguire il failover delle altre applicazioni usando i piani di ripristino specifici delle applicazioni.Then, fail over the other applications, using application-specific recovery plans.

Questo articolo spiega come creare una soluzione di ripristino di emergenza per Active Directory.This article explains how to create a disaster recovery solution for Active Directory. Include i prerequisiti e le istruzioni di failover.It includes prerequisites, and failover instructions. È necessario conoscere Active Directory e Site Recovery prima di iniziare.You should be familiar with Active Directory and Site Recovery before you begin.

prerequisitiPrerequisites

  • Se si esegue la replica in Azure, preparare le risorse di Azure, inclusi una sottoscrizione, una rete virtuale di Azure, un account di archiviazione e un insieme di credenziali di Servizi di ripristino.If you're replicating to Azure, prepare Azure resources, including a subscription, an Azure Virtual Network, a storage account, and a Recovery Services vault.
  • Verificare i requisiti di supporto per tutti i componenti.Review the support requirements for all components.

Replicare il controller di dominioReplicate the domain controller

È necessario impostare la replica di Site Recovery in almeno una VM che ospita un controller di dominio o DNS.You must set up Site Recovery replication, on at least one VM that hosts a domain controller or DNS. Se si dispone di più controller di dominio nell'ambiente in uso, è necessario anche configurare un controller di dominio aggiuntivo nel sito di destinazione.If you have multiple domain controllers in your environment, you also must set up an additional domain controller on the target site. Il controller di dominio aggiuntivo può essere in Azure o in un data center secondario locale.The additional domain controller can be in Azure, or in a secondary on-premises datacenter.

Controller di dominio singoloSingle-domain controller

Se si hanno soltanto poche applicazioni e un controller di dominio, si potrebbe voler eseguire contestualmente il failover dell'intero sito.If you have only a few applications and one domain controller, you might want to fail over the entire site together. In questo caso si consiglia di usare Site Recovery per replicare il controller di dominio nel sito di destinazione (in Azure o in un data center secondario locale).In this case, we recommend using Site Recovery to replicate the domain controller to the target site (either in Azure or in a secondary on-premises datacenter). È possibile usare la stessa macchina virtuale controller di dominio o DNS replicata anche per il failover di test.You can use the same replicated domain controller or DNS virtual machine for test failover.

Controller di dominio multipliMultiple domain controllers

Se l'ambiente presenta molte applicazioni e più controller di dominio o se si intende eseguire il failover di poche applicazioni alla volta, oltre a replicare la macchina virtuale controller di dominio con Site Recovery si consiglia anche di configurare un controller di dominio aggiuntivo nel sito di destinazione (in Azure o in un data center secondario locale).If you have many applications and more than one domain controller in your environment, or if you plan to fail over a few applications at a time, in addition to replicating the domain controller virtual machine with Site Recovery, we recommend that you set up an additional domain controller on the target site (either in Azure or in a secondary on-premises datacenter). Per il failover di test è possibile usare i controller di dominio replicati da Site Recovery.For test failover, you can use domain controller that's replicated by Site Recovery. Per il failover è possibile usare il controller di dominio aggiuntivo nel sito di destinazione.For failover, you can use the additional domain controller on the target site.

Abilitare la protezione con Site RecoveryEnable protection with Site Recovery

È possibile usare Site Recovery per proteggere la macchina virtuale che ospita il controller di dominio o DNS.You can use Site Recovery to protect the virtual machine that hosts the domain controller or DNS.

Proteggere la VMProtect the VM

Il controller di dominio replicato con Site Recovery viene usato per il failover di test.The domain controller that is replicated by using Site Recovery is used for test failover. Assicurarsi che soddisfi i requisiti seguenti:Ensure that it meets the following requirements:

  1. Il controller di dominio è un server di catalogo globale.The domain controller is a global catalog server.
  2. Il controller di dominio deve essere il proprietario del ruolo FSMO per i ruoli necessari durante un failover di test.The domain controller should be the FSMO role owner for roles that are needed during a test failover. In caso contrario questi ruoli dovranno essere riassegnati dopo il failover.Otherwise, these roles will need to be seized after the failover.

Configurare le impostazioni di rete della VMConfigure VM network settings

Per la macchina virtuale che ospita il controller di dominio o DNS, in Site Recovery configurare le impostazioni di rete nelle impostazioni Calcolo e rete della macchina virtuale replicata.For the virtual machine that hosts the domain controller or DNS, in Site Recovery, configure network settings under the Compute and Network settings of the replicated virtual machine. In questo modo si garantisce che la macchina virtuale sia collegata alla rete corretta dopo il failover.This ensures that the virtual machine is attached to the correct network after failover.

Proteggere Active DirectoryProtect Active Directory

Protezione da sito a sitoSite-to-site protection

Creare un controller di dominio nel sito secondario.Create a domain controller on the secondary site. Quando si alza di livello il server al ruolo di controller di dominio, specificare il nome dello stesso dominio usato nel sito primario.When you promote the server to a domain controller role, specify the name of the same domain that is being used on the primary site. È possibile usare lo snap-in Siti e servizi di Active Directory per configurare le impostazioni nell'oggetto collegamento di sito a cui i siti vengono aggiunti.You can use the Active Directory Sites and Services snap-in to configure settings on the site link object to which the sites are added. Configurando le impostazioni in un collegamento di sito, è possibile controllare quando viene eseguita la replica tra due o più siti e con quale frequenza.By configuring settings on a site link, you can control when replication occurs between two or more sites, and how often it occurs. Per altre informazioni, vedere Pianificazione della replica tra siti.For more information, see Scheduling replication between sites.

Protezione da sito ad AzureSite-to-Azure protection

Creare innanzitutto un controller di dominio in una rete virtuale di Azure.First, create a domain controller in an Azure virtual network. Quando si alza di livello il server al ruolo di controller di dominio, specificare lo stesso nome di dominio usato nel sito primario.When you promote the server to a domain controller role, specify the same domain name that's used on the primary site.

Riconfigurare il server DNS per la rete virtuale per usare il server DNS in Azure.Then, reconfigure the DNS server for the virtual network to use the DNS server in Azure.

Azure Network

Protezione da Azure a AzureAzure-to-Azure protection

Creare innanzitutto un controller di dominio in una rete virtuale di Azure.First, create a domain controller in an Azure virtual network. Quando si alza di livello il server al ruolo di controller di dominio, specificare lo stesso nome di dominio usato nel sito primario.When you promote the server to a domain controller role, specify the same domain name that's used on the primary site.

Riconfigurare il server DNS per la rete virtuale per usare il server DNS in Azure.Then, reconfigure the DNS server for the virtual network to use the DNS server in Azure.

considerazioni sul failover di testTest failover considerations

Per evitare conseguenze sui carichi di lavoro di produzione, il failover di test viene eseguito in una rete isolata dalla rete di produzione.To avoid impact on production workloads, test failover occurs in a network that's isolated from the production network.

Molte applicazioni richiedono la presenza di un controller di dominio e di un server DNS.Most applications require the presence of a domain controller or a DNS server. Perciò, prima del failover di un'applicazione, è necessario creare un controller di dominio nella rete isolata da usare per il failover di test.Therefore, before the application fails over, you must create a domain controller in the isolated network to be used for test failover. Il modo più semplice per eseguire questa operazione è usare Site Recovery per replicare una macchina virtuale che ospita un controller di dominio o DNS.The easiest way to do this is to use Site Recovery to replicate a virtual machine that hosts a domain controller or DNS. Eseguire quindi un failover di test della macchina virtuale controller di dominio prima di eseguire un failover di test del piano di ripristino per l'applicazione.Then, run a test failover of the domain controller virtual machine before you run a test failover of the recovery plan for the application. Di seguito viene indicato come procedere:Here's how you do that:

  1. Usare Site Recovery per replicare la macchina virtuale che ospita il controller di dominio o DNS.Use Site Recovery to replicate the virtual machine that hosts the domain controller or DNS.
  2. Creare una rete isolata.Create an isolated network. Qualsiasi rete virtuale creata in Azure è isolata dalle altre reti per impostazione predefinita.Any virtual network that you create in Azure is isolated from other networks by default. Si consiglia di usare per questa rete lo stesso intervallo di indirizzi IP della rete di produzione.We recommend that you use the same IP address range for this network that you use in your production network. Non abilitare la connettività da sito a sito in questa rete.Don't enable site-to-site connectivity on this network.
  3. Fornire un indirizzo IP DNS nella rete isolata.Provide a DNS IP address in the isolated network. Usare l'indirizzo IP che si prevede sarà ottenuto dalla macchina virtuale DNS.Use the IP address that you expect the DNS virtual machine to get. Se si esegue la replica in Azure, fornire l'indirizzo IP per la macchina virtuale che viene usata in caso di failover.If you're replicating to Azure, provide the IP address for the virtual machine that's used on failover. Per immettere l'indirizzo IP, nella macchina virtuale replicata, nelle impostazioni Calcolo e rete, selezionare le impostazioni IP di destinazione.To enter the IP address, in the replicated virtual machine, in the Compute and Network settings, select the Target IP settings.

    Rete di test di Azure

    Suggerimento

    Site Recovery tenta di creare le macchine virtuali di test in una subnet con lo stesso nome e con lo stesso indirizzo IP specificato nelle impostazioni Calcolo e rete della macchina virtuale.Site Recovery attempts to create test virtual machines in a subnet of the same name and by using the same IP address that's provided in the Compute and Network settings of the virtual machine. Se nella rete virtuale di Azure specificata per il failover di test non è disponibile una subnet con lo stesso nome, la macchina virtuale di test verrà creata nella prima subnet in ordine alfabetico.If a subnet of the same name isn't available in the Azure virtual network that's provided for test failover, the test virtual machine is created in the alphabetically first subnet.

    Se l'indirizzo IP di destinazione fa parte della subnet selezionata, Site Recovery tenta di creare la macchina virtuale per il failover di test usando l'indirizzo IP di destinazione.If the target IP address is part of the selected subnet, Site Recovery tries to create the test failover virtual machine by using the target IP address. Se l'indirizzo IP di destinazione non fa parte della subnet selezionata, la macchina virtuale del failover di test viene creata usando l'indirizzo IP disponibile successivo nella subnet selezionata.If the target IP isn't part of the selected subnet, the test failover virtual machine is created by using the next available IP in the selected subnet.

Failover di test in un sito secondarioTest failover to a secondary site

  1. Se si esegue la replica in un altro sito locale e si usa DHCP, configurare DNS e DHCP per il failover di test.If you're replicating to another on-premises site and you use DHCP, set up DNS and DHCP for test failover.
  2. Eseguire un failover di test della macchina virtuale controller di dominio eseguita nella rete isolata.Do a test failover of the domain controller virtual machine that runs in the isolated network. Per eseguire il failover di test, usare il più recente punto di ripristino coerente con l'applicazione disponibile della macchina virtuale controller di dominio.Use the latest available application consistent recovery point of the domain controller virtual machine to do the test failover.
  3. Eseguire un failover di test per il piano di ripristino che contiene le macchine virtuali in cui l'applicazione viene eseguita.Run a test failover for the recovery plan that contains virtual machines that the application runs on.
  4. Al termine del test eseguire la pulizia del failover di test nella macchina virtuale controller di dominio.When testing is complete, clean up the test failover on the domain controller virtual machine. Questo passaggio consente di eliminare il controller di dominio creato per il failover di test.This step deletes the domain controller that was created for test failover.

Rimuovere riferimenti ad altri controller di dominioRemove references to other domain controllers

Quando si avvia un failover di test, non includere tutti i controller di dominio nella rete di test.When you initiate a test failover, don't include all the domain controllers in the test network. Per rimuovere i riferimenti ad altri controller di dominio presenti nell'ambiente di produzione, è necessario riassegnare i ruoli FSMO ed eseguire la pulizia dei metadati per i controller di dominio mancanti.To remove references to other domain controllers that exist in your production environment, you might need to seize FSMO Active Directory roles and do metadata cleanup for missing domain controllers.

Problemi causati dalle misure di sicurezza della virtualizzazioneIssues caused by virtualization safeguards

Importante

Alcune configurazioni descritte in questa sezione non sono le configurazioni di controller di dominio standard o predefinite.Some of the configurations described in this section are not standard or default domain controller configurations. Se non si vuole apportare queste modifiche a un controller di dominio in produzione, è possibile creare un controller di dominio dedicato per Site Recovery da usare per il failover di test.If you don't want to make these changes to a production domain controller, you can create a domain controller that's dedicated for Site Recovery to use for test failover. Apportare queste modifiche solo a quel controller di dominio.Make these changes only to that domain controller.

A partire da Windows Server 2012, misure di sicurezza aggiuntive sono integrate in Active Directory Domain Services (AD DS).Beginning with Windows Server 2012, additional safeguards are built into Active Directory Domain Services (AD DS). Queste misure di sicurezza consentono di proteggere i controller di dominio virtualizzati dal ripristino dello stato precedente USN se la piattaforma hypervisor sottostante supporta VM-GenerationID.These safeguards help protect virtualized domain controllers against USN rollbacks if the underlying hypervisor platform supports VM-GenerationID. Azure supporta VM-GenerationID,Azure supports VM-GenerationID. perciò nei controller di dominio che eseguono Windows Server 2012 o una versione successiva in macchine virtuali di Azure sono presenti queste misure di sicurezza aggiuntive.Because of this, domain controllers that run Windows Server 2012 or later on Azure virtual machines have these additional safeguards.

Quando VM-GenerationID viene reimpostato, viene reimpostato anche il valore InvocationID del database di Active Directory Domain Services.When VM-GenerationID is reset, the InvocationID value of the AD DS database is also reset. Viene anche eliminato il pool di RID inoltre SYSVOL viene contrassegnato come non autorevole.In addition, the RID pool is discarded, and SYSVOL is marked as non-authoritative. Per altre informazioni, vedere Introduzione alla virtualizzazione (AD DS) di servizi di dominio Active Directory e il blog relativo alla virtualizzazione di DFSR in modo sicuro.For more information, see Introduction to Active Directory Domain Services virtualization and Safely virtualizing DFSR.

Il failover in Azure potrebbe provocare la reimpostazione di VM-GenerationID.Failing over to Azure might cause VM-GenerationID to reset. La reimpostazione di VM-GenerationID attiva misure di sicurezza aggiuntive quando la macchina virtuale controller di dominio viene avviata in Azure.Resetting VM-GenerationID triggers additional safeguards when the domain controller virtual machine starts in Azure. Ciò può comportare un ritardo notevole nella possibilità di accedere alla macchina virtuale controller di dominio.This might result in a significant delay in being able to log in to the domain controller virtual machine.

Poiché questo controller di dominio viene usato solo in un failover di test, non sono necessarie misure di sicurezza della virtualizzazione.Because this domain controller is used only in a test failover, virtualization safeguards aren't necessary. Per assicurarsi che il valore VM-GenerationID per la macchina virtuale controller di dominio non cambi, è possibile cambiare il valore DWORD seguente in 4 nel controller di dominio locale:To ensure that the VM-GenerationID value for the domain controller virtual machine doesn't change, you can change the value of following DWORD to 4 in the on-premises domain controller:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Sintomi delle misure di sicurezza della virtualizzazioneSymptoms of virtualization safeguards

Se le misure di sicurezza della virtualizzazione vengono attivate dopo un failover di test, possono verificarsi uno o più dei seguenti sintomi:If virtualization safeguards are triggered after a test failover, you might see one or more of following symptoms:

  • Il valore GenerationID cambia.The GenerationID value changes.

    Modifica dell'ID di generazione

  • Il valore InvocationID cambia.The InvocationID value changes.

    Modifica dell'ID di chiamata

  • Le condivisioni SYSVOL e NETLOGON non sono disponibili.SYSVOL and NETLOGON shares aren't available.

    Condivisione SYSVOL

    NtFrs SYSVOL

  • I database DFSR vengono eliminati.DFSR databases are deleted.

    I database DFSR vengono eliminati

Risolvere i problemi del controller di dominio durante il failover di testTroubleshoot domain controller issues during test failover

Importante

Alcune configurazioni descritte in questa sezione non sono le configurazioni di controller di dominio standard o predefinite.Some of the configurations described in this section aren't standard or default domain controller configurations. Se non si vuole apportare queste modifiche a un controller di dominio in produzione, è possibile creare un controller di dominio dedicato per il failover di test di Site Recovery.If you don't want to make these changes to a production domain controller, you can create a domain controller that's dedicated for Site Recovery test failover. Apportare le modifiche solo a quel controller di dominio dedicato.Make the changes only to that dedicated domain controller.

  1. Al prompt dei comandi eseguire questo comando per verificare se le cartelle SYSVOL e NETLOGON sono condivise:At the command prompt, run the following command to check whether SYSVOL and NETLOGON folders are shared:

    NET SHARE

  2. Al prompt dei comandi eseguire questo comando per verificare che il controller di dominio funzioni correttamente:At the command prompt, run the following command to ensure that the domain controller is functioning properly:

    dcdiag /v > dcdiag.txt

  3. Nel log di output cercare il testo seguente.In the output log, look for the following text. Il testo conferma che il controller di dominio funziona correttamente.The text confirms that the domain controller is functioning correctly.

    • "passed test Connectivity""passed test Connectivity"
    • "passed test Advertising""passed test Advertising"
    • "passed test MachineAccount""passed test MachineAccount"

Se le condizioni precedenti sono soddisfatte, è probabile che il controller di dominio stia funzionando correttamente.If the preceding conditions are satisfied, it's likely that the domain controller is functioning correctly. In caso contrario, completare i passaggi seguenti:If it's not, complete the following steps:

  1. Eseguire un ripristino autorevole del controller di dominio.Do an authoritative restore of the domain controller. Tenere presenti le seguenti informazioni:Keep the following information in mind:

  2. Aggirare il requisito di sincronizzazione iniziale impostando la chiave del Registro di sistema seguente su 0 nel controller di dominio locale.Bypass the initial sync requirement by setting the following registry key to 0 in the on-premises domain controller. Se il valore DWORD non esiste, può essere creato nel nodo Parameters.If the DWORD doesn't exist, you can create it under the Parameters node.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

    Per altre informazioni, vedere Troubleshoot DNS Event ID 4013: The DNS server was unable to load AD integrated DNS zones (Risoluzione dei problemi per l'evento DNS ID 4013: il server DNS non è riuscito a caricare zone DNS integrate in AD).For more information, see Troubleshoot DNS Event ID 4013: The DNS server was unable to load AD integrated DNS zones.

  3. Disabilitare il requisito della disponibilità di un server di catalogo globale per la convalida dell'accesso utente.Disable the requirement that a global catalog server be available to validate the user login. A tale scopo, nel controller di dominio locale impostare la seguente chiave del Registro di sistema su 1.To do this, in the on-premises domain controller, set the following registry key to 1. Se il valore DWORD non esiste, può essere creato nel nodo Lsa.If the DWORD doesn't exist, you can create it under the Lsa node.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

    Per altre informazioni, vedere Disabilitare il requisito della disponibilità di un server di catalogo globale per la convalida dell'accesso utente.For more information, see Disable the requirement that a global catalog server be available to validate user logons.

DNS e controller di dominio su computer diversiDNS and domain controller on different machines

Se DNS non è presente nella stessa macchina virtuale del controller di dominio, è necessario creare una macchina virtuale DNS per il failover di test.If DNS isn't on the same virtual machine as the domain controller, you must create a DNS virtual machine for the test failover. Se DNS e il controller di dominio non sono nella stessa macchina virtuale, si può saltare questa sezione.If DNS and the domain controller aren't on the same virtual machine, you can skip this section.

È possibile usare un server DNS nuovo e creare tutte le zone necessarie.You can use a fresh DNS server, and create all the required zones. Ad esempio, se il dominio di Active Directory è contoso.com, è possibile creare una zona DNS con il nome contoso.com.For example, if your Active Directory domain is contoso.com, you can create a DNS zone with the name contoso.com. Le voci corrispondenti a Active Directory devono essere aggiornate in DNS, come segue:The entries that correspond to Active Directory must be updated in DNS as follows:

  1. Verificare che queste impostazioni siano state definite prima che venga avviata qualsiasi altra macchina virtuale del piano di ripristino:Ensure that these settings are in place before any other virtual machine in the recovery plan starts:

    • La zona deve avere il nome radice della foresta.The zone must be named after the forest root name.
    • La zona deve essere sottoposta a backup.The zone must be file-backed.
    • La zona deve essere abilitata per aggiornamenti protetti e non protetti.The zone must be enabled for secure and nonsecure updates.
    • Il sistema di risoluzione della macchina virtuale che ospita il controller di dominio deve puntare all'indirizzo IP della macchina virtuale DNS.The resolver of the virtual machine that hosts the domain controller should point to the IP address of the DNS virtual machine.
  2. Eseguire il comando seguente nella VM che ospita il controller di dominio:Run the following command on the VM that hosts the domain controller:

    nltest /dsregdns

  3. Eseguire i comandi seguenti per aggiungere una zona nel server DNS, consentire gli aggiornamenti non sicuri e aggiungere una voce per la zona in DNS:Run the following commands to add a zone on the DNS server, allow nonsecure updates, and add an entry for the zone to DNS:

    dnscmd /zoneadd contoso.com /Primary

    dnscmd /recordadd contoso.com contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1

    dnscmd /recordadd contoso.com %computername% A <IP_OF_DNS_VM>

    dnscmd /config contoso.com /allowupdate 1

Passaggi successiviNext steps

Per altre informazioni sulla protezione, vedere Quali carichi di lavoro è possibile proteggere con Azure Site Recovery?.Learn more about protecting enterprise workloads with Azure Site Recovery.