Proteggere Active Directory e DNS con Azure Site RecoveryProtect Active Directory and DNS with Azure Site Recovery

Le applicazioni aziendali, ad esempio SharePoint, Dynamics AX e SAP, dipendono dall'infrastruttura di Active Directory e DNS per funzionare correttamente.Enterprise applications such as SharePoint, Dynamics AX, and SAP depend on Active Directory and a DNS infrastructure to function correctly. Quando si crea una soluzione di ripristino di emergenza per le applicazioni, è importante ricordare che è necessario proteggere e ripristinare Active Directory e DNS prima degli altri componenti di un'applicazione, per assicurarsi che tutto funzioni correttamente in caso di emergenza.When you create a disaster recovery solution for applications, it's important to remember that you need to protect and recover Active Directory and DNS before the other application components, to ensure that things function correctly when disaster occurs.

Site Recovery è un servizio di Azure che fornisce il ripristino di emergenza orchestrando la replica, il failover e il ripristino delle macchine virtuali.Site Recovery is an Azure service that provides disaster recovery by orchestrating replication, failover, and recovery of virtual machines. Site Recovery supporta vari scenari di replica per la protezione e il failover semplice delle macchine virtuali e delle applicazioni nei cloud pubblici, privati o di provider di servizi di hosting.Site Recovery supports a number of replication scenarios to consistently protect, and seamlessly failover virtual machines and applications to private, public, or hoster clouds.

Con Site Recovery è possibile creare un piano di ripristino di emergenza interamente automatizzato per Active Directory.Using Site Recovery, you can create a complete automated disaster recovery plan for Active Directory. In caso di interruzione, è possibile avviare un failover in pochi secondi da qualsiasi luogo e fare in modo che Active Directory sia operativo in pochi minuti.When disruptions occur, you can initiate a failover within seconds from anywhere and get Active Directory up and running in a few minutes. Se si è distribuito Active Directory per più applicazioni, ad esempio SharePoint e SAP nel sito primario, e si vuole eseguire il failover del sito completo, è possibile eseguire prima il failover di Active Directory tramite Site Recovery e quindi il failover delle altre applicazioni usando piani di ripristino specifici per ogni applicazione.If you've deployed Active Directory for multiple applications such as SharePoint and SAP in your primary site, and you want to fail over the complete site, you can fail over Active Directory first using Site Recovery, and then fail over the other applications using application-specific recovery plans.

In questo articolo viene spiegato come creare una soluzione di ripristino di emergenza per Active Directory, come eseguire failover pianificati, non pianificati e di test usando un piano di ripristino con un solo clic, le configurazioni supportate e i prerequisiti.This article explains how to create a disaster recovery solution for Active Directory, how to perform planned, unplanned, and test failovers using a one-click recovery plan, the supported configurations, and prerequisites. È necessario conoscere Active Directory e Azure Site Recovery prima di iniziare.You should be familiar with Active Directory and Azure Site Recovery before you start.

Replica del controller di dominioReplicating Domain Controller

È necessario configurare la replica con Site Recovery in almeno una macchina virtuale che ospita controller di dominio e DNS.You need to setup Site Recovery replication on at least one virtual machine hosting Domain Controller and DNS. Se nell'ambiente sono presenti più controller di dominio, oltre a replicare la macchina virtuale controller di dominio con Site Recovery sarà necessario anche configurare un controller di dominio aggiuntivo nel sito di destinazione (Azure o un data center secondario locale).If you have multiple domain controllers in your environment, in addition to replicating the domain controller virtual machine with Site Recovery you would also have to set up an additional domain controller on the target site (Azure or a secondary on-premises datacenter).

Ambiente con singolo controller di dominioSingle domain controller environment

Se sono presenti un numero ridotto di applicazioni e un singolo controller di dominio e si vuole eseguire il failover dell'intero sito, è consigliabile usare Site Recovery per replicare il controller di dominio nel sito secondario, indipendentemente dal fatto che si esegua il failover in Azure o in un sito secondario.If you have a few applications and only a single domain controller, and you want to fail over the entire site together, then we recommend using Site Recovery to replicate the domain controller to the secondary site (whether you're failing over to Azure or to a secondary site). La stessa macchina virtuale controller di dominio/DNS replicata può essere usata anche per il failover di test.The same replicated domain controller/DNS virtual machine can be used for test failover as well.

Ambiente con più controller di dominioEnvironment with multiple domain controllers

Se il numero di applicazioni è elevato e l'ambiente include più controller di dominio o se si intende eseguire il failover di poche applicazioni alla volta, oltre a replicare la macchina virtuale controller di dominio con Site Recovery è consigliabile anche configurare un controller di dominio aggiuntivo nel sito di destinazione (Azure o data center secondario locale).If you have many applications and there's more than one domain controller in the environment, or if you plan to fail over a few applications at a time, we recommend that in addition to replicating the domain controller virtual machine with Site Recovery you also set up an additional domain controller on the target site (Azure or a secondary on-premises datacenter). Per il failover di test, usare il controller di dominio replicato da Site Recovery e per il failover, il controller di dominio aggiuntivo nel sito di destinazione.For test failover, you use domain controller replicated by Site Recovery and for failover, the additional domain controller on the target site.

Le sezioni seguenti illustrano come abilitare la protezione per un controller di dominio in Site Recovery e come configurare un controller di dominio in Azure.The following sections explain how to enable protection for a domain controller in Site Recovery, and how to set up a domain controller in Azure.

PrerequisitiPrerequisites

  • Una distribuzione locale del server DNS e di Active Directory.An on-premises deployment of Active Directory and DNS server.
  • Un insieme di credenziali dei servizi Azure Site Recovery in una sottoscrizione di Microsoft Azure.An Azure Site Recovery Services vault in a Microsoft Azure subscription.
  • Se si esegue la replica in Azure, eseguire lo strumento Azure Virtual Machine Readiness Assessment nelle VM per assicurarsi che siano compatibili con le VM di Azure e i servizi di Azure Site Recovery.If you're replicating to Azure, run the Azure Virtual Machine Readiness Assessment tool on VMs to ensure they're compatible with Azure VMs and Azure Site Recovery Services.

Abilitare la protezione usando Site RecoveryEnable protection using Site Recovery

Proteggere la macchina virtualeProtect the virtual machine

Abilitare la protezione della macchina virtuale controller di dominio/DNS in Site Recovery.Enable protection of the domain controller/DNS virtual machine in Site Recovery. Configurare le impostazioni di Site Recovery in base al tipo di macchina virtuale (Hyper-V o VMware).Configure Site Recovery settings based on the virtual machine type (Hyper-V or VMware). Il controller di dominio replicato con Site Recovery viene usato per il test di failover.The domain controller replicated using Site Recovery is used for test failover. Assicurarsi che vengano soddisfatti i requisiti seguenti:Make sure it meets the following requirements:

  1. Il controller di dominio è un server di catalogo globaleThe domain controller is a global catalog server
  2. Il controller di dominio deve essere proprietario del ruolo FSMO per i ruoli che saranno necessari durante un failover di test; altrimenti questi ruoli dovranno essere riassegnati dopo il failover.The domain controller should be the FSMO role owner for roles that will be needed during a test failover (else these roles will need to be seized after the failover)

Configurare le impostazioni di rete della macchina virtualeConfigure virtual machine network settings

Per la macchina virtuale controller di dominio/DNS, configurare le impostazioni di rete in Site Recovery in modo che la macchina virtuale venga collegata alla rete corretta dopo il failover.For the domain controller/DNS virtual machine, configure network settings in Site Recovery so that the virtual machine will be attached to the right network after failover.

Impostazioni di rete della VM

Proteggere Active Directory con la replica di Active DirectoryProtect Active Directory with Active Directory replication

Protezione da sito a sitoSite-to-site protection

Creare un controller di dominio nel sito secondario.Create a domain controller on the secondary site. Quando si alza di livello il server al ruolo di controller di dominio, specificare il nome dello stesso dominio usato nel sito primario.When you promote the server to a domain controller role, specify the name of the same domain that is being used on the primary site. È possibile usare lo snap-in Siti e servizi di Active Directory per configurare le impostazioni nell'oggetto collegamento di sito a cui i siti vengono aggiunti.You can use the Active Directory Sites and Services snap-in to configure settings on the site link object to which the sites are added. Configurando le impostazioni in un collegamento di sito, è possibile controllare quando viene eseguita la replica tra due o più siti e con quale frequenza.By configuring settings on a site link, you can control when replication occurs between two or more sites, and how often. Per altre informazioni, vedere Pianificazione della replica tra siti .For more information, see Scheduling Replication Between Sites.

Protezione da sito ad AzureSite-to-Azure protection

Seguire le istruzioni per creare un controller di dominio in una rete virtuale di Azure.Follow the instructions to create a domain controller in an Azure virtual network. Quando si alza di livello il server al ruolo di controller di dominio, specificare lo stesso nome di dominio usato nel sito primario.When you promote the server to a domain controller role, specify the same domain name that's used on the primary site.

Riconfigurare quindi il server DNS per la rete virtuale, per usare il server DNS in Azure.Then reconfigure the DNS server for the virtual network, to use the DNS server in Azure.

Azure Network

DNS nella rete di produzione di AzureDNS in Azure Production Network

considerazioni sul failover di testTest failover considerations

Il failover di test si verifica in una rete isolata dalla rete di produzione, in modo che non si verifichi alcun impatto sui carichi di lavoro di produzione.Test failover occurs in a network that's isolated from production network so that there's no impact on production workloads.

Inoltre la maggior parte delle applicazioni richiede la presenza di un controller di dominio e di un server DNS per funzionare.Most applications also require the presence of a domain controller and a DNS server to function. Prima del failover di un'applicazione, è quindi necessario creare nella rete isolata un controller di dominio da usare per il failover di test.Therefore, before the application is failed over, a domain controller needs to be created in the isolated network to be used for test failover. Il modo più semplice per eseguire questa operazione è replicare una macchina virtuale DNS o controller di dominio con Site Recovery.The easiest way to do this is to replicate a domain controller/DNS virtual machine with Site Recovery. Eseguire quindi un failover di test della macchina virtuale controller di dominio prima di eseguire un failover di test del piano di ripristino per l'applicazione.Then run a test failover of the domain controller virtual machine before running a test failover of the recovery plan for the application. Di seguito viene indicato come procedere:Here's how you do that:

  1. Replicare la macchina virtuale controller di dominio/DNS usando Site Recovery.Replicate the domain controller/DNS virtual machine using Site Recovery.
  2. Creare una rete isolata.Create an isolated network. Qualsiasi rete virtuale creata in Azure per impostazione predefinita è isolata dalle altre reti.Any virtual network created in Azure by default is isolated from other networks. È consigliabile che l'intervallo di indirizzi IP di questa rete sia lo stesso della rete di produzione.We recommend that the IP address range for this network is same as that of your production network. Non abilitare la connettività da sito a sito in questa rete.Don't enable site-to-site connectivity on this network.
  3. Specificare un indirizzo IP DNS nella rete creata, come indirizzo IP previsto per la macchina virtuale DNS.Provide a DNS IP address in the network created, as the IP address that you expect the DNS virtual machine to get. Se si esegue la replica in Azure, specificare l'indirizzo IP per la VM usata nel failover nell'impostazione IP di destinazione in Calcolo e rete.If you're replicating to Azure, then provide the IP address for the VM that is used on failover in Target IP setting in Compute and Network settings.

    IP di destinazioneIP di destinazioneTarget IP Target IP

    Rete di test di Azure

    DNS nella rete di test di AzureDNS in Azure Test Network

Suggerimento

Site Recovery tenta di creare le macchine virtuali di test in una subnet con lo stesso nome e con lo stesso IP specificati nelle impostazioni Calcolo e rete della macchina virtuale.Site Recovery attempts to create test virtual machines in a subnet of same name and using the same IP as that provided in Compute and Network settings of the virtual machine. Se nella rete virtuale di Azure specificata per il failover di test non è disponibile una subnet con lo stesso nome, la macchina virtuale di test verrà creata nella prima subnet in ordine alfabetico.If subnet of same name is not available in the Azure virtual network provided for test failover, then test virtual machine is created in the first subnet alphabetically. Se l'indirizzo IP di destinazione fa parte della subnet scelta, Site Recovery tenta di creare la macchina virtuale per il failover di test usando l'indirizzo IP di destinazione.If the target IP is part of the chosen subnet, then Site Recovery tries to create the test failover virtual machine using the target IP. Se l'indirizzo IP di destinazione non fa parte della subnet scelta, la macchina virtuale del failover di test viene creata usando qualsiasi indirizzo IP disponibile nella subnet scelta.If the target IP is not part of the chosen subnet, then test failover virtual machine gets created using any available IP in the chosen subnet.

  1. Se si esegue la replica in un altro sito locale e si usa DHCP, seguire le istruzioni per configurare DNS e DHCP per il failover di testIf you're replicating to another on-premises site and you're using DHCP, follow the instructions to setup DNS and DHCP for test failover
  2. Eseguire un failover di test della macchina virtuale controller di dominio nella rete isolata.Do a test failover of the domain controller virtual machine run in the isolated network. Per effettuare il failover di test, usare il più recente punto di ripristino coerente con l'applicazione disponibile della macchina virtuale controller di dominio.Use latest available application consistent recovery point of the domain controller virtual machine to do the test failover.
  3. Eseguire un failover di test per il piano di ripristino che contiene le macchine virtuali dell'applicazione.Run a test failover for the recovery plan that contains virtual machines of the application.
  4. Al termine del test, eseguire la pulizia del failover di test nella macchina virtuale controller di dominio.After testing is complete, Cleanup test failover on the domain controller virtual machine. Questo passaggio consente di eliminare il controller di dominio creato per il failover di test.This step deletes the domain controller that was created for test failover.

Rimozione del riferimento ad altri controller di dominioRemoving reference to other domain controllers

Quando si esegue un failover di test, nella rete di test non si includono tutti i controller di dominio.When you are doing a test failover, you don't bring all the domain controllers in the test network. Per rimuovere il riferimento ad altri controller di dominio presenti nell'ambiente di produzione, è necessario riassegnare i ruoli FSMO ed eseguire la pulizia dei metadati per i controller di dominio mancanti.To remove the reference of other domain controllers that exist in your production environment, you might need to seize FSMO Active Directory roles and do metadata cleanup for missing domain controllers.

Importante

Alcune configurazioni descritte nella sezione seguente non sono le configurazioni di controller di dominio standard/predefinite.Some of the configurations described in the following section are not the standard/default domain controller configurations. Se non si vuole apportare queste modifiche a un controller di dominio in produzione, è possibile creare un controller di dominio dedicato da usare per il failover del test di Site Recovery e apportarvi queste modifiche.If you don't want to make these changes to a production domain controller, then you can create a domain controller dedicated to be used for Site Recovery test failover and make these changes to that.

Problemi dovuti alle misure di sicurezza della virtualizzazioneIssues because of virtualization safeguards

A partire da Windows Server 2012, sono state integrate misure di sicurezza aggiuntive in Active Directory Domain Services.Beginning with Windows Server 2012, additional safeguards have been built into Active Directory Domain Services. Queste misure di sicurezza consentono di proteggere i controller di dominio virtualizzati dai ripristino dello stato precedente USN, purché la piattaforma hypervisor sottostante supporti VM-GenerationID.These safeguards help protect virtualized domain controllers against USN Rollbacks, as long as the underlying hypervisor platform supports VM-GenerationID. Azure supporta VM-GenerationID e ciò significa che nei controller di dominio che eseguono Windows Server 2012 o versione successiva in macchine virtuali di Azure sono disponibili misure di sicurezza aggiuntive.Azure supports VM-GenerationID, which means that domain controllers that run Windows Server 2012 or later on Azure virtual machines have the additional safeguards.

Quando VM-GenerationID viene reimpostato, anche l'attributo invocationID del database di Servizi di dominio Active Directory viene reimpostato, il pool di RID viene eliminato e SYSVOL è contrassegnato come non autorevole.When the VM-GenerationID is reset, the invocationID of the AD DS database is also reset, the RID pool is discarded, and SYSVOL is marked as non-authoritative. Per altre informazioni, vedere Introduzione alla virtualizzazione di Servizi di dominio Active Directory e il blog relativo alla virtualizzazione di DFSR in modo sicuroFor more information, see Introduction to Active Directory Domain Services Virtualization and Safely Virtualizing DFSR

Il failover in Azure può causare la reimpostazione dell'ID di generazione di VM e ciò interviene nelle misure di sicurezza aggiuntive quando la macchina virtuale controller di dominio viene avviata in Azure.Failing over to Azure may cause resetting of VM-GenerationID and that kicks in the additional safeguards when the domain controller virtual machine starts in Azure. Ciò può comportare un ritardo significativo nella possibilità dell'utente di accedere alla macchina virtuale controller di dominio.This may result in a significant delay in user being able to login to the domain controller virtual machine. Poiché questo controller di dominio viene usato solo in un failover di test, non sono necessari misure di sicurezza della virtualizzazione.Since this domain controller would be used only in a test failover, virtualization safeguards are not necessary. Per assicurarsi che non cambi l'ID di generazione VM per la macchina virtuale controller di dominio, è possibile modificare il valore DWORD seguente a 4 nel controller di dominio locale.To ensure that VM-GenerationID for the domain controller virtual machine doesn't change, then you can change the value of following DWORD to 4 in the on-premises domain controller.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Sintomi delle misure di sicurezza della virtualizzazioneSymptoms of virtualization safeguards

Se le misure di sicurezza della virtualizzazione sono intervenute dopo un failover di test, è possibile che si verifichi uno o più dei seguenti sintomi:If virtualization safeguards have kicked in after a test failover, you may see one or more of following symptoms:

Modifica dell'ID di generazioneGeneration ID change

Modifica dell'ID di generazione

Modifica dell'ID di chiamataInvocation ID change

Modifica dell'ID di chiamata

Condivisioni SYSVOL e Netlogon non disponibiliSysvol and Netlogon shares are not available

Condivisione SYSVOL

NTFRS Sysvol

Vengono eliminati tutti i database DFSRAny DFSR databases are deleted

Eliminazione del database DFSR

Importante

Alcune configurazioni descritte nella sezione seguente non sono le configurazioni di controller di dominio standard/predefinite.Some of the configurations described in the following section are not the standard/default domain controller configurations. Se non si vuole apportare queste modifiche a un controller di dominio in produzione, è possibile creare un controller di dominio dedicato da usare per il failover del test di Site Recovery e apportarvi queste modifiche.If you don't want to make these changes to a production domain controller, then you can create a domain controller dedicated to be used for Site Recovery test failover and make these changes to that.

Risolvere i problemi del controller di dominio durante il failover di testTroubleshooting domain controller issues during test failover

Al prompt dei comandi eseguire questo comando per verificare se le cartelle SYSVOL e NETLOGON sono condivise:On a command prompt, run the following command to check whether SYSVOL and NETLOGON folders are shared:

NET SHARE

Al prompt dei comandi eseguire questo comando per verificare che il controller di dominio funzioni correttamente.On the command prompt, run the following command to ensure that the domain controller is functioning properly.

dcdiag /v > dcdiag.txt

Nel log di output cercare il testo seguente per verificare il corretto funzionamento del controller di dominio.In the output log, look for following text to confirm that the domain controller is functioning well.

  • "passed test Connectivity""passed test Connectivity"
  • "passed test Advertising""passed test Advertising"
  • "passed test MachineAccount""passed test MachineAccount"

Se le condizioni precedenti vengono soddisfatte, è probabile che il controller di dominio stia funzionando correttamente.If the preceding conditions are satisfied, it is likely that the domain controller is functioning well. In caso contrario, attenersi alla procedura seguente.If not, try following steps.

  • Eseguire un ripristino autorevole del controller di dominio.Do an authoritative restore of the domain controller.

    • Nonostante non sia consigliabile usare il servizio Replica file, se viene comunque usato, seguire la procedura riportata qui per eseguire un ripristino autorevole.Although it is not recommended to use FRS replication, but if you are still using it then follow the steps provided here to do an authoritative restore. Per altre informazioni sui valori BURFLAG citati nel collegamento precedente, vedere qui.You can read more about Burflags talked about in the previous link here.
    • Se si usa la replica DFSR, per eseguire un ripristino autorevole seguire la procedura disponibile qui.If you are using DFSR replication, then follow the steps available here to do an authoritative restore. A tale scopo è anche possibile usare le funzioni di Powershell disponibili in questo collegamento.You can also use Powershell functions available on this link for this purpose.
  • Ignorare il requisito della sincronizzazione iniziale impostando la chiave del Registro di sistema seguente su 0 nel controller di dominio locale.Bypass initial synchronization requirement by setting following registry key to 0 in the on-premises domain controller. Se questo valore DWORD non esiste, può essere creato nel nodo "Parameters".If this DWORD doesn't exist, then you can create it under node 'Parameters'. Per altre informazioni, vedere qui.You can read more about it here

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations
    
  • Disabilitare il requisito della disponibilità di un server di catalogo globale per la convalida dell'accesso utente impostando la chiave del Registro di sistema seguente su 1 nel controller di dominio locale.Disable the requirement that a global catalog server is available to validate user logon by setting following registry key to 1 in the on-premises domain controller. Se questo valore DWORD non esiste, può essere creato nel nodo "Lsa".If this DWORD doesn't exist, then you can create it under node 'Lsa'. Per altre informazioni, vedere qui.You can read more about it here

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures
    

DNS e controller di dominio su computer diversiDNS and domain controller on different machines

Se DNS non è presente nella stessa macchina virtuale del controller di dominio, è necessario creare una VM DNS per il failover di test.If DNS isn't on the same virtual machine as the domain controller, you need to create a DNS VM for the test failover. Se si trovano nella stessa VM, è possibile ignorare questa sezione.If they're on the same VM, you can skip this section.

È possibile utilizzare un server DNS nuovo e creare tutte le zone necessarie.You can use a fresh DNS server and create all the required zones. Ad esempio, se il dominio di Active Directory è contoso.com, è possibile creare una zona DNS con il nome contoso.com. Le voci corrispondenti a Active Directory devono essere aggiornate in DNS, come segue:For example, if your Active Directory domain is contoso.com, you can create a DNS zone with the name contoso.com. The entries corresponding to Active Directory must be updated in DNS, as follows:

  1. Verificare che queste impostazioni siano state definite prima che vengano attivate altre macchine virtuali del piano di ripristino:Ensure these settings are in place before any other virtual machine in the recovery plan comes up:

    • La zona deve avere il nome radice della foresta.The zone must be named after the forest root name.
    • La zona deve essere sottoposta a backup.The zone must be file-backed.
    • La zona deve essere abilitata per aggiornamenti protetti e non protetti.The zone must be enabled for secure and non-secure updates.
    • Il sistema di risoluzione della macchina virtuale controller di dominio deve puntare all'indirizzo IP della macchina virtuale DNS.The resolver of the domain controller virtual machine should point to the IP address of the DNS virtual machine.
  2. Eseguire il comando seguente nella macchina virtuale controller di dominio:Run the following command on domain controller virtual machine:

    nltest /dsregdns

  3. Aggiungere una zona nel server DNS, consentire aggiornamenti non protetti e aggiungere una voce al DNS:Add a zone on the DNS server, allow non-secure updates, and add an entry for it to DNS:

     dnscmd /zoneadd contoso.com  /Primary
     dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1
     dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>
     dnscmd /config contoso.com /allowupdate 1
    

Passaggi successiviNext steps

Per altre informazioni sulla protezione dei carichi di lavoro aziendali con Azure Site Recovery, leggere Quali carichi di lavoro è possibile proteggere?.Read What workloads can I protect? to learn more about protecting enterprise workloads with Azure Site Recovery.