Indicazioni sui test di clonazione dei controller di dominio virtualizzati per fornitori di applicazioni
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
In questo argomento vengono illustrati i fornitori di applicazioni da considerare per garantire che l'applicazione continui a funzionare come previsto, a seguito del completamento del processo di clonazione del controller di dominio virtualizzato. Illustra questi aspetti del processo di clonazione che interessano fornitori di applicazioni e scenari che possono giustificare test aggiuntivi. I fornitori di applicazioni che hanno convalidato il funzionamento dell'applicazione sui controller di dominio virtualizzati clonati sono invitati a elencare il nome dell'applicazione nel contenuto della community nella parte inferiore di questo argomento e a fornire un collegamento al sito Web dell'organizzazione in cui gli utenti possono ottenere altre informazioni sulla convalida.
Panoramica della clonazione del controller di dominio virtualizzato
Il processo di clonazione del controller di dominio virtualizzato è descritto in dettaglio in Introduzione ad Active Directory Domain Services (AD DS) Virtualization (Livello 100) e Virtualized Domain Controller Technical Reference (Livello 300). Dal punto di vista di un fornitore di applicazioni, queste sono alcune informazioni da tenere in considerazione quando si valuta l'impatto della clonazione nell'applicazione:
Il computer originale non viene distrutto, ma rimane in rete, interagendo con i client. A differenza di una ridenominazione in cui vengono rimossi i record DNS del computer originale, i record originali per il controller di dominio di origine rimangono.
Durante il processo di clonazione, il nuovo computer viene inizialmente messo in esecuzione per un breve periodo di tempo con l'identità del computer precedente fino all'avvio del processo di clonazione e all’esecuzione delle modifiche necessarie. Le applicazioni che creano record sull'host devono garantire che il computer clonato non sovrascriva i record relativi all'host originale durante il processo di clonazione.
La clonazione è una funzionalità di distribuzione specifica solo per i controller di dominio virtualizzati, non un'estensione per utilizzo generico per clonare altri ruoli del server. Alcuni ruoli del server non sono supportati specificamente per la clonazione:
Dynamic Host Configuration Protocol (DHCP)
Servizi certificati Active Directory
Active Directory Lightweight Directory Services
Come parte del processo di clonazione, viene copiata l'intera macchina virtuale che rappresenta il controller di dominio originale, quindi viene copiato anche qualsiasi stato dell'applicazione in tale macchina virtuale. Verificare che l'applicazione si adatti a questa modifica nello stato dell'host locale nel controller di dominio clonato o se è necessario un intervento, ad esempio un riavvio del servizio.
Nell'ambito della clonazione, il nuovo controller di dominio ottiene una nuova identità del computer ed esegue il provisioning di se stesso come controller di dominio di replica nella topologia. Verificare se l'applicazione dipende dall'identità del computer, ad esempio nome, account, SID e così via. Si adatta automaticamente alla modifica dell'identità del computer nel clone? Se l'applicazione memorizza i dati nella cache, assicurarsi che non si basi sui dati di identità del computer che potrebbero essere memorizzati nella cache.
Che cosa è interessante per i fornitori di applicazioni?
CustomDCCloneAllowList.xml
Un controller di dominio che esegue l'applicazione o il servizio non può essere clonato finché l'applicazione o il servizio non è:
- Aggiunto al file CustomDCCloneAllowList.xml usando il cmdlet Get-ADDCCloningExcludedApplicationList di Windows PowerShell
-Oppure-
- Rimosso dal controller di dominio
La prima volta che l'utente esegue il cmdlet Get-ADDCCloningExcludedApplicationList, restituisce un elenco di servizi e applicazioni in esecuzione nel controller di dominio, ma non nell'elenco predefinito di servizi e applicazioni supportati per la clonazione. Per impostazione predefinita, il servizio o l'applicazione non verranno elencati. Per aggiungere il servizio o l'applicazione all'elenco di applicazioni e servizi che possono essere clonati in modo sicuro, l'utente esegue nuovamente il cmdlet Get-ADDCCloningExcludedApplicationList con l'opzione -GenerateXML per aggiungerla al file CustomDCCloneAllowList.xml. Per altre informazioni, vedere Passaggio 2: Eseguire il cmdlet Get-ADDCCloningExcludedApplicationList.
Interazioni del sistema distribuite
In genere, i servizi isolati nel computer locale passano o hanno esito negativo quando partecipano alla clonazione. I servizi distribuiti devono preoccuparsi di avere due istanze del computer host in rete contemporaneamente per un breve periodo di tempo. Questo può manifestarsi come istanza del servizio che cerca di estrarre informazioni da un sistema partner in cui il clone è registrato come nuovo fornitore dell'identità. Oppure entrambe le istanze del servizio possono eseguire il push delle informazioni nel database di Active Directory Domain Services contemporaneamente con risultati diversi. Ad esempio, non è pertinente sapere con quale dei due computer avverrà la comunicazione quando due computer con il servizio Windows Testing Technologies (WTT) si trovano in rete con il controller di dominio.
Per il servizio server DNS distribuito, il processo di clonazione evita attentamente di sovrascrivere i record DNS del controller di dominio di origine quando il controller di dominio clone inizia con un nuovo indirizzo IP.
Non è consigliabile fare affidamento sul computer per rimuovere tutte le identità precedenti fino alla fine della clonazione. Dopo che il nuovo controller di dominio viene alzato di livello all'interno del nuovo contesto, selezionare i provider Sysprep eseguiti per pulire lo stato aggiuntivo del computer. Ad esempio, è a questo punto che i vecchi certificati del computer vengono rimossi e i segreti di crittografia a cui il computer può accedere vengono modificati.
Il fattore più importante che varia la tempistica della clonazione è il numero di oggetti da replicare dal PDC. I supporti meno recenti aumentano il tempo necessario per completare la clonazione.
Poiché il servizio, o applicazione, è sconosciuto, viene lasciato in esecuzione. Il processo di clonazione non modifica lo stato dei servizi non Windows.
Inoltre, il nuovo computer ha un indirizzo IP diverso rispetto al computer originale. Questi comportamenti possono causare effetti collaterali sul servizio o sull'applicazione a seconda del comportamento del servizio o dell'applicazione in questo ambiente.
Scenari aggiuntivi suggeriti per i test
Errore di clonazione
I fornitori di servizi devono testare questo scenario perché quando la clonazione non riesce il computer si avvia in Directory Services Repair Mode (DSRM), una forma di modalità provvisoria. A questo punto il computer non ha completato la clonazione. Alcuni stati potrebbero essere stati modificati e altri potrebbero rimanere impostati sul controller di dominio originale. Testare questo scenario per comprendere l'impatto che può avere sull'applicazione.
Per causare un errore di clonazione, provare a clonare un controller di dominio senza concedergli l'autorizzazione per la clonazione. In questo caso, il computer avrà modificato solo gli indirizzi IP e disporrà comunque della maggior parte dello stato proveniente dal controller di dominio originale. Per altre informazioni sulla concessione di un'autorizzazione del controller di dominio da clonare, vedere Passaggio 1: Concedere al controller di dominio virtualizzato l’autorizzazione necessaria per la clonazione.
Clonazione dell'emulatore PDC
I fornitori di servizi e applicazioni devono testare questo scenario perché è presente un riavvio aggiuntivo quando viene clonato l'emulatore PDC. Inoltre, la maggior parte della clonazione viene eseguita con un'identità temporanea per consentire al nuovo clone di interagire con l'emulatore PDC durante il processo di clonazione.
Controller di dominio scrivibili e di sola lettura
I fornitori di servizi e applicazioni devono testare la clonazione usando lo stesso tipo di controller di dominio (ovvero un controller di dominio scrivibile o di sola lettura) su cui è pianificato l'esecuzione del servizio.