Herstel na noodgevallen instellen voor Active Directory en DNS

Bedrijfstoepassingen zoals SharePoint, Dynamics AX en SAP zijn voor een goede werking afhankelijk van Active Directory en een DNS-infrastructuur. Wanneer u herstel na noodgevallen voor toepassingen instelt, moet u vaak Active Directory en Domain Name System (DNS) herstellen voordat u andere toepassingsonderdelen herstelt om de juiste functionaliteit van de toepassing te garanderen.

U kunt Site Recovery gebruiken om een noodherstelplan voor Active Directory te maken. Wanneer er een onderbreking optreedt, kunt u een failover initiëren. U kunt Active Directory al in enkele minuten operationeel krijgen. Als u Active Directory hebt geïmplementeerd voor meerdere toepassingen op uw primaire site, bijvoorbeeld voor SharePoint en SAP, kunt u een failover uitvoeren voor de volledige site. U kunt eerst een failover uitvoeren voor Active Directory met behulp van Site Recovery. Voer vervolgens een failover uit voor de andere toepassingen met behulp van toepassingsspecifieke herstelplannen.

In dit artikel wordt uitgelegd hoe u een oplossing voor herstel na noodgevallen maakt voor Active Directory. Het bevat vereisten en instructies voor failover. U moet bekend zijn met Active Directory en Site Recovery voordat u begint.

Vereisten

• Als u repliceert naar Azure, bereidt u Azure-resources voor, waaronder een abonnement, een Azure-Virtual Network, een opslagaccount en een Recovery Services-kluis.
• Raadpleeg de ondersteuningsvereisten voor alle onderdelen.

De domeincontroller repliceren

• U moet Site Recovery replicatie instellen op ten minste één virtuele machine (VM) die als host fungeert voor een domeincontroller of DNS.
• Als u meerdere domeincontrollers in uw omgeving hebt, moet u ook een extra domeincontroller instellen op de doelsite. De extra domeincontroller kan zich in Azure of in een secundair on-premises datacenter bevinden.
• Als u slechts een paar toepassingen en één domeincontroller hebt, wilt u mogelijk een failover uitvoeren voor de hele site. In dit geval raden we u aan Site Recovery te gebruiken om de domeincontroller te repliceren naar de doelsite, in Azure of in een secundair on-premises datacenter. U kunt dezelfde gerepliceerde domeincontroller of virtuele DNS-machine gebruiken voor testfailover.
• Als u veel toepassingen en meer dan één domeincontroller in uw omgeving hebt, of als u van plan bent om een failover van een paar toepassingen tegelijk uit te voeren, raden we u aan om naast het repliceren van de virtuele machine van de domeincontroller met Site Recovery een extra domeincontroller in te stellen op de doelsite (in Azure of in een secundair on-premises datacenter). Voor testfailover kunt u een domeincontroller gebruiken die wordt gerepliceerd door Site Recovery. Voor failover kunt u de extra domeincontroller op de doelsite gebruiken.

Beveiliging inschakelen met Site Recovery

U kunt Site Recovery gebruiken om de virtuele machine te beveiligen die als host fungeert voor de domeincontroller of DNS.

De VM beveiligen

De domeincontroller die wordt gerepliceerd met behulp van Site Recovery wordt gebruikt voor testfailover. Zorg ervoor dat deze voldoet aan de volgende vereisten:

1. De domeincontroller is een globale catalogusserver.
2. De domeincontroller moet de FSMO-roleigenaar (Flexible Single Master Operations) zijn voor rollen die nodig zijn tijdens een testfailover. Anders moeten deze rollen worden gebruikt na de failover.

VM-netwerkinstellingen configureren

Voor de virtuele machine die als host fungeert voor de domeincontroller of DNS, configureert u in Site Recovery netwerkinstellingen onder de Netwerkinstellingen van de gerepliceerde virtuele machine. Dit zorgt ervoor dat de virtuele machine na een failover wordt gekoppeld aan het juiste netwerk.

Active Directory beveiligen

Site-naar-site-beveiliging

Maak een domeincontroller op de secundaire site. Wanneer u de server promoveert naar een domeincontrollerrol, geeft u de naam op van hetzelfde domein dat wordt gebruikt op de primaire site. U kunt de module Active Directory Sites and Services gebruiken om instellingen te configureren voor het sitekoppelingsobject waaraan de sites worden toegevoegd. Door instellingen op een sitekoppeling te configureren, kunt u bepalen wanneer replicatie plaatsvindt tussen twee of meer sites en hoe vaak deze plaatsvindt. Zie Replicatie tussen sites plannen voor meer informatie.

Site-naar-Azure-beveiliging

Maak eerst een domeincontroller in een virtueel Azure-netwerk. Wanneer u de server promoveert naar een domeincontrollerrol, geeft u dezelfde domeinnaam op die op de primaire site wordt gebruikt.

Configureer vervolgens de DNS-server voor het virtuele netwerk opnieuw om de DNS-server in Azure te gebruiken.

Azure-naar-Azure-beveiliging

Maak eerst een domeincontroller in een virtueel Azure-netwerk. Wanneer u de server promoveert naar een domeincontrollerrol, geeft u dezelfde domeinnaam op die op de primaire site wordt gebruikt.

Configureer vervolgens de DNS-server voor het virtuele netwerk opnieuw om de DNS-server in Azure te gebruiken.

Overwegingen voor testfailover

Om gevolgen voor productieworkloads te voorkomen, vindt de testfailover plaats in een netwerk dat is geïsoleerd van het productienetwerk.

Voor de meeste toepassingen is de aanwezigheid van een domeincontroller of een DNS-server vereist. Daarom moet u, voordat de toepassing een failover uitvoert, een domeincontroller in het geïsoleerde netwerk maken die moet worden gebruikt voor testfailover. De eenvoudigste manier om dit te doen, is door Site Recovery te gebruiken om een virtuele machine te repliceren die als host fungeert voor een domeincontroller of DNS. Voer vervolgens een testfailover van de virtuele machine van de domeincontroller uit voordat u een testfailover van het herstelplan voor de toepassing uitvoert.

1. Gebruik Site Recovery om de virtuele machine te repliceren die als host fungeert voor de domeincontroller of DNS.

2. Maak een geïsoleerd netwerk. Elk virtueel netwerk dat u in Azure maakt, is standaard geïsoleerd van andere netwerken. U wordt aangeraden hetzelfde IP-adresbereik voor dit netwerk te gebruiken als in uw productienetwerk. Schakel site-naar-site-connectiviteit niet in op dit netwerk.

3. Geef een DNS-IP-adres op in het geïsoleerde netwerk. Gebruik het IP-adres dat u verwacht voor de virtuele DNS-machine. Als u repliceert naar Azure, geeft u het IP-adres op voor de virtuele machine die wordt gebruikt bij failover. Als u het IP-adres wilt invoeren, selecteert u in de gerepliceerde virtuele machine in de Netwerkinstellingen de doel-IP-instellingen .

   

   Tip

   Site Recovery probeert virtuele testmachines te maken in een subnet met dezelfde naam en met behulp van hetzelfde IP-adres dat is opgegeven in de netwerkinstellingen van de virtuele machine. Als er geen subnet met dezelfde naam beschikbaar is in het virtuele Azure-netwerk dat is opgegeven voor testfailover, wordt de virtuele testmachine gemaakt in het alfabetisch eerste subnet.

   Als het doel-IP-adres deel uitmaakt van het geselecteerde subnet, probeert Site Recovery de virtuele testfailovermachine te maken met behulp van het doel-IP-adres. Als het doel-IP-adres geen deel uitmaakt van het geselecteerde subnet, wordt de virtuele testfailover-machine gemaakt met behulp van het volgende beschikbare IP-adres in het geselecteerde subnet.

Testfailover naar een secundaire site

1. Als u repliceert naar een andere on-premises site en u DHCP gebruikt, stelt u DNS en DHCP in voor testfailover.
2. Voer een testfailover uit van de virtuele machine van de domeincontroller die wordt uitgevoerd in het geïsoleerde netwerk. Gebruik het meest recente beschikbare toepassingsconsistente herstelpunt van de virtuele machine van de domeincontroller om de testfailover uit te voeren.
3. Voer een testfailover uit voor het herstelplan dat virtuele machines bevat waarop de toepassing wordt uitgevoerd.
4. Wanneer het testen is voltooid, schoont u de testfailover op de virtuele machine van de domeincontroller op. Met deze stap verwijdert u de domeincontroller die is gemaakt voor testfailover.

Verwijzingen naar andere domeincontrollers verwijderen

Wanneer u een testfailover start, moet u niet alle domeincontrollers in het testnetwerk opnemen. Als u verwijzingen naar andere domeincontrollers in uw productieomgeving wilt verwijderen, moet u mogelijk FSMO Active Directory-rollen overnemen en metagegevens opschonen voor ontbrekende domeincontrollers.

Problemen die worden veroorzaakt door virtualisatiebeveiligingen

Belangrijk

Sommige van de configuraties die in deze sectie worden beschreven, zijn geen standaardconfiguraties voor domeincontrollers. Als u deze wijzigingen niet wilt aanbrengen in een productiedomeincontroller, kunt u een domeincontroller maken die is toegewezen voor Site Recovery om te gebruiken voor testfailover. Breng deze wijzigingen alleen aan op die domeincontroller.

Vanaf Windows Server 2012 zijn aanvullende beveiligingen ingebouwd in Active Directory Domain Services (AD DS). Deze beveiligingen helpen gevirtualiseerde domeincontrollers te beschermen tegen usn-rollbacks (Update Sequence Number) als het onderliggende hypervisorplatform VM-GenerationID ondersteunt. Azure ondersteunt VM-GenerationID. Daarom beschikken domeincontrollers die Windows Server 2012 of hoger worden uitgevoerd op virtuele Azure-machines over deze extra beveiligingen.

Wanneer VM-GenerationID opnieuw wordt ingesteld, wordt de waarde van de InvocationID van de AD DS-database ook opnieuw ingesteld. Bovendien wordt de relatieve id -groep (RID) verwijderd en SYSVOL wordt de map gemarkeerd als niet-gezaghebbend. Zie Inleiding tot Active Directory Domain Services-virtualisatie en Veilig virtualiseren van Distributed File System Replication (DFSR) voor meer informatie.

Een failover naar Azure kan ertoe leiden dat VM-GenerationID opnieuw wordt ingesteld. Het opnieuw instellen van VM-GenerationID activeert extra beveiligingen wanneer de virtuele machine van de domeincontroller wordt gestart in Azure. Dit kan leiden tot een aanzienlijke vertraging bij het aanmelden bij de virtuele machine van de domeincontroller.

Omdat deze domeincontroller alleen wordt gebruikt in een testfailover, zijn virtualisatiebeveiligingen niet nodig. Om ervoor te zorgen dat de waarde VM-GenerationID voor de virtuele machine van de domeincontroller niet wordt gewijzigd, kunt u de waarde van het volgende DWORD wijzigen in 4 in de on-premises domeincontroller:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Symptomen van virtualisatiebeveiligingen

Als virtualisatiebeveiligingen worden geactiveerd na een testfailover, ziet u mogelijk een of meer van de volgende symptomen:

• De generationID-waarde wordt gewijzigd:

  

• De waarde van InvocationID wordt gewijzigd:

  

• SYSVOL mappen en NETLOGON shares zijn niet beschikbaar.

  

  

• DFSR-databases worden verwijderd.

  

Problemen met domeincontrollers tijdens testfailover oplossen

Belangrijk

Sommige van de configuraties die in deze sectie worden beschreven, zijn geen standaardconfiguraties of standaardconfiguraties voor domeincontrollers. Als u deze wijzigingen niet wilt aanbrengen in een productiedomeincontroller, kunt u een domeincontroller maken die is toegewezen voor Site Recovery testfailover. Breng de wijzigingen alleen aan op die toegewezen domeincontroller.

1. Voer bij de opdrachtprompt de volgende opdracht uit om te controleren of SYSVOL map en NETLOGON map worden gedeeld:

   NET SHARE

2. Voer bij de opdrachtprompt de volgende opdracht uit om ervoor te zorgen dat de domeincontroller goed werkt:

   dcdiag /v > dcdiag.txt

3. Zoek in het uitvoerlogboek naar de volgende tekst. De tekst bevestigt dat de domeincontroller correct werkt.

   • passed test Connectivity
   • passed test Advertising
   • passed test MachineAccount

Als aan de voorgaande voorwaarden wordt voldaan, werkt de domeincontroller waarschijnlijk correct. Als dat niet zo is, voert u de volgende stappen uit:

1. Een gezaghebbend herstel van de domeincontroller uitvoeren. Houd rekening met de volgende informatie:

   • Hoewel replicatie met behulp van de File Replication Service (FRS) niet wordt aanbevolen, volgt u de stappen voor een gezaghebbend herstel als u FRS-replicatie gebruikt. Het proces wordt beschreven in De Registersleutel BurFlags gebruiken om de File Replication-service opnieuw te initialiseren.

     Zie de blogpost D2 en D4: Waar is het voor? voor meer informatie over BurFlags.

   • Als u DFSR-replicatie gebruikt, voert u de stappen voor een gezaghebbend herstel uit. Het proces wordt beschreven in Force an authoritative and non-authoritative sync for DFSR-repliced SYSVOL folder (like "D4/D2" for FRS).

     U kunt ook de PowerShell-functies gebruiken. Zie Voor meer informatie DFSR-SYSVOL gezaghebbende/niet-gezaghebbende herstel PowerShell-functies.

2. Sla de initiële synchronisatievereiste over door de volgende registersleutel in te stellen op 0 in de on-premises domeincontroller. Als de DWORD niet bestaat, kunt u deze maken onder het knooppunt Parameters .

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

   Zie Problemen met DNS-gebeurtenis-id 4013 oplossen: de DNS-server kan geen met AD geïntegreerde DNS-zones laden voor meer informatie.

3. Schakel de vereiste uit dat een globale catalogusserver beschikbaar is om de gebruikersaanmelding te valideren. Stel hiervoor in de on-premises domeincontroller de volgende registersleutel in op 1. Als de DWORD niet bestaat, kunt u deze maken onder het Lsa-knooppunt .

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

   Zie Hoe de globale catalogus werkt voor meer informatie.

DNS en domeincontroller op verschillende computers

Als u de domeincontroller en DNS op dezelfde VM uitvoert, kunt u deze procedure overslaan.

Als DNS zich niet op dezelfde VM bevindt als de domeincontroller, moet u een DNS-VM maken voor de testfailover. U kunt een nieuwe DNS-server gebruiken en alle vereiste zones maken. Als uw Active Directory-domein bijvoorbeeld is contoso.com, kunt u een DNS-zone maken met de naam contoso.com. De vermeldingen die overeenkomen met Active Directory moeten als volgt in DNS worden bijgewerkt:

1. Zorg ervoor dat deze instellingen aanwezig zijn voordat een andere virtuele machine in het herstelplan wordt gestart:

   • De zone moet de naam hebben van de foresthoofdnaam.
   • De zone moet een back-up van het bestand hebben.
   • De zone moet zijn ingeschakeld voor veilige en niet-beveiligde updates.
   • De resolver van de virtuele machine die als host fungeert voor de domeincontroller moet verwijzen naar het IP-adres van de virtuele DNS-machine.

2. Voer de volgende opdracht uit op de VM die als host fungeert voor de domeincontroller:

   nltest /dsregdns

3. Voer de volgende opdrachten uit om een zone toe te voegen op de DNS-server, niet-beveiligde updates toe te staan en een vermelding voor de zone toe te voegen aan DNS:

   dnscmd /zoneadd contoso.com  /Primary
   
   dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1
   
   dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>
   
   dnscmd /config contoso.com /allowupdate 1
   

Volgende stappen

Meer informatie over het beveiligen van zakelijke workloads met Azure Site Recovery.