Настройка аварийного восстановления для Active Directory и DNSSet up disaster recovery for Active Directory and DNS

Правильная работа корпоративных приложений, таких как SharePoint, Dynamics AX и SAP, зависит от Active Directory и инфраструктуры DNS.Enterprise applications such as SharePoint, Dynamics AX, and SAP depend on Active Directory and a DNS infrastructure to function correctly. Когда вы настраиваете аварийное восстановление для приложений, часто требуется восстановить Active Directory и DNS, прежде чем восстанавливать другие компоненты приложения, чтобы обеспечить надлежащую работу приложения.When you set up disaster recovery for applications, you often need to recover Active Directory and DNS before you recover other application components, to ensure correct application functionality.

С помощью Site Recovery можно создать план аварийного восстановления для Active Directory.You can use Site Recovery to create a disaster recovery plan for Active Directory. В случае нарушения работы вы можете инициировать отработку отказа.When a disruption occurs, you can initiate a failover. Active Directory можно настроить и подготовить к работе за несколько минут.You can have Active Directory up and running in a few minutes. Если вы развернули Active Directory для нескольких приложений на основном сайте, например для SharePoint и SAP, может потребоваться выполнить отработку отказа для всего сайта.If you have deployed Active Directory for multiple applications in your primary site, for example, for SharePoint and SAP, you might want to fail over the complete site. Сначала можно выполнить отработку отказа Active Directory с помощью Site Recovery.You can first fail over Active Directory using Site Recovery. Затем выполните отработку отказа других приложений с помощью планов восстановления для конкретных приложений.Then, fail over the other applications, using application-specific recovery plans.

Из этой статьи вы узнаете, как создать решение аварийного восстановления для Active Directory.This article explains how to create a disaster recovery solution for Active Directory. Здесь указаны предварительные требования и инструкции по отработке отказа.It includes prerequisites, and failover instructions. Перед началом работы необходимо ознакомиться с Active Directory и Site Recovery.You should be familiar with Active Directory and Site Recovery before you begin.

Технические условияPrerequisites

  • Если выполняется репликация в Azure, подготовьте ресурсы Azure, включая подписку, виртуальную сеть Azure, учетную запись хранения и хранилище служб восстановления.If you're replicating to Azure, prepare Azure resources, including a subscription, an Azure Virtual Network, a storage account, and a Recovery Services vault.
  • Ознакомьтесь с требованиями поддержки для всех компонентов.Review the support requirements for all components.

Репликация контроллера доменаReplicate the domain controller

  • По крайней мере на одной виртуальной машине с контроллером домена или DNS необходимо настроить репликацию Site Recovery.You must set up Site Recovery replication, on at least one VM that hosts a domain controller or DNS.
  • Если в вашей среде несколько контроллеров домена, на целевом сайте также необходимо настроить дополнительный контроллер домена.If you have multiple domain controllers in your environment, you also must set up an additional domain controller on the target site. Он может находиться в Azure или в дополнительном локальном центре обработки данных.The additional domain controller can be in Azure, or in a secondary on-premises datacenter.
  • При наличии небольшого количества приложений и одного контроллера домена может потребоваться выполнить отработку отказа всего сайта.If you have only a few applications and one domain controller, you might want to fail over the entire site together. В этом случае мы рекомендуем использовать Site Recovery для репликации контроллера домена на целевой сайт (в Azure или в дополнительный локальный центр обработки данных).In this case, we recommend using Site Recovery to replicate the domain controller to the target site (either in Azure or in a secondary on-premises datacenter). Этот же реплицированный контроллер домена или виртуальную машину с DNS можно использовать для тестовой отработки отказа.You can use the same replicated domain controller or DNS virtual machine for test failover.
    • Если в вашей среде много приложений и несколько контроллеров доменов и при этом вы планируете выполнять отработку отказа для нескольких приложений одновременно, мы рекомендуем в дополнение к репликации виртуальной машины с контроллером домена с помощью Site Recovery также настроить дополнительный контроллер домена на целевом сайте (сайте Azure или в дополнительном локальном центре обработки данных).If you have many applications and more than one domain controller in your environment, or if you plan to fail over a few applications at a time, in addition to replicating the domain controller virtual machine with Site Recovery, we recommend that you set up an additional domain controller on the target site (either in Azure or in a secondary on-premises datacenter). Для тестовой отработки отказа можно использовать контроллер домена, реплицированный с помощью Site Recovery.For test failover, you can use domain controller that's replicated by Site Recovery. Для отработки отказа можно использовать дополнительный контроллер домена на целевом сайте.For failover, you can use the additional domain controller on the target site.

Включение защиты с помощью Site RecoveryEnable protection with Site Recovery

Site Recovery можно использовать для защиты виртуальной машины, на которой размещен контроллер домена или DNS.You can use Site Recovery to protect the virtual machine that hosts the domain controller or DNS.

Защита виртуальной машиныProtect the VM

Контроллер домена, реплицированный с помощью Site Recovery, используется для тестовой отработки отказа.The domain controller that is replicated by using Site Recovery is used for test failover. Убедитесь, что он соответствует следующим требованиям.Ensure that it meets the following requirements:

  1. Контроллер домена должен быть сервером глобального каталога.The domain controller is a global catalog server.
  2. Контроллер домена должен быть владельцем роли FSMO для ролей, которые необходимы во время тестовой отработки отказа.The domain controller should be the FSMO role owner for roles that are needed during a test failover. В противном случае эти роли должны быть заняты после отработки отказа.Otherwise, these roles will need to be seized after the failover.

Настройка параметров сети виртуальной машиныConfigure VM network settings

Для виртуальной машины, на которой размещен контроллер домена или DNS, в Site Recovery настройте параметры сети в разделе параметров Вычисления и сеть реплицированной виртуальной машины.For the virtual machine that hosts the domain controller or DNS, in Site Recovery, configure network settings under the Compute and Network settings of the replicated virtual machine. Это гарантирует, что виртуальная машина будет подключена к правильной сети после отработки отказа.This ensures that the virtual machine is attached to the correct network after failover.

Защита Active DirectoryProtect Active Directory

Защита "сайт-сайт"Site-to-site protection

Создайте контроллер домена на дополнительном сайте.Create a domain controller on the secondary site. При повышении роли сервера до роли контроллера домена укажите имя домена, которое используется на основном сайте.When you promote the server to a domain controller role, specify the name of the same domain that is being used on the primary site. Чтобы настроить параметры объекта связывания сайтов, в который добавляются сайты, можно использовать оснастку Active Directory — сайты и службы.You can use the Active Directory Sites and Services snap-in to configure settings on the site link object to which the sites are added. Настраивая параметры связи между сайтами, можно указать время и периодичность репликации между двумя или несколькими сайтами.By configuring settings on a site link, you can control when replication occurs between two or more sites, and how often it occurs. Дополнительные сведения см. в статье Расписание репликации между сайтами.For more information, see Scheduling replication between sites.

Защита "сайт-Azure"Site-to-Azure protection

Сначала создайте контроллер домена в виртуальной сети Azure.First, create a domain controller in an Azure virtual network. При повышении роли сервера до роли контроллера домена укажите имя домена, которое используется на основном сайте.When you promote the server to a domain controller role, specify the same domain name that's used on the primary site.

Затем измените конфигурацию DNS-сервера для виртуальной сети так, чтобы использовался DNS-сервер в Azure.Then, reconfigure the DNS server for the virtual network to use the DNS server in Azure.

Сеть Azure

Защита "Azure — Azure"Azure-to-Azure protection

Сначала создайте контроллер домена в виртуальной сети Azure.First, create a domain controller in an Azure virtual network. При повышении роли сервера до роли контроллера домена укажите имя домена, которое используется на основном сайте.When you promote the server to a domain controller role, specify the same domain name that's used on the primary site.

Затем измените конфигурацию DNS-сервера для виртуальной сети так, чтобы использовался DNS-сервер в Azure.Then, reconfigure the DNS server for the virtual network to use the DNS server in Azure.

Рекомендации по тестированию отработки отказаTest failover considerations

Чтобы не мешать выполнению рабочих нагрузок, тестовая отработка отказа проводится в сети, изолированной от рабочей сети.To avoid impact on production workloads, test failover occurs in a network that's isolated from the production network.

Для работы большинства приложений требуется контроллер домена и DNS-сервер.Most applications require the presence of a domain controller or a DNS server. Таким образом, прежде чем выполнять отработку отказа для приложения, необходимо создать в изолированной сети контроллер домена, который будет использоваться при отработке отказа.Therefore, before the application fails over, you must create a domain controller in the isolated network to be used for test failover. Это проще всего сделать, реплицировав с помощью Site Recovery виртуальную машину с контроллером домена или DNS.The easiest way to do this is to use Site Recovery to replicate a virtual machine that hosts a domain controller or DNS. Запустите тестовую отработку отказа виртуальной машины с контроллером домена, прежде чем запускать тестовую отработку отказа плана восстановления для приложения.Then, run a test failover of the domain controller virtual machine before you run a test failover of the recovery plan for the application. Вот как это сделать:Here's how you do that:

  1. Site Recovery можно использовать для репликации виртуальной машины, на которой размещен контроллер домена или DNS.Use Site Recovery to replicate the virtual machine that hosts the domain controller or DNS.

  2. Создайте изолированную сеть.Create an isolated network. Любая виртуальная сеть, созданная в Azure, по умолчанию изолируется от другой сети.Any virtual network that you create in Azure is isolated from other networks by default. Рекомендуем использовать для этой сети такой же диапазон IP-адресов, как у вашей рабочей сети.We recommend that you use the same IP address range for this network that you use in your production network. Не включайте для этой сети подключение между сайтами.Don't enable site-to-site connectivity on this network.

  3. Укажите IP-адрес DNS в изолированной сети.Provide a DNS IP address in the isolated network. Используйте IP-адрес, который должна получить виртуальная машина DNS.Use the IP address that you expect the DNS virtual machine to get. При репликации в Azure укажите IP-адрес для виртуальной машины, используемой при отработке отказа.If you're replicating to Azure, provide the IP address for the virtual machine that's used on failover. Чтобы ввести IP-адрес, в реплицированной виртуальной машине в разделе параметров Вычисления и сеть выберите параметры Целевой IP-адрес.To enter the IP address, in the replicated virtual machine, in the Compute and Network settings, select the Target IP settings.

    Тестовая сеть Azure

    Совет

    Служба Site Recovery попытается создать тестовые виртуальные машины в подсети с таким же именем, используя тот же IP-адрес, который был указан в разделе параметров Вычисления и сеть виртуальной машины.Site Recovery attempts to create test virtual machines in a subnet of the same name and by using the same IP address that's provided in the Compute and Network settings of the virtual machine. Если подсеть с таким же именем недоступна в виртуальной сети Azure, предоставленной для тестовой отработки отказа, тестовая виртуальная машина создается в первой по алфавиту подсети.If a subnet of the same name isn't available in the Azure virtual network that's provided for test failover, the test virtual machine is created in the alphabetically first subnet.

    Если целевой IP-адрес является частью выбранной подсети, Site Recovery попытается создать виртуальную машину для тестовой обработки отказа с его использованием.If the target IP address is part of the selected subnet, Site Recovery tries to create the test failover virtual machine by using the target IP address. Если целевой IP-адрес не является частью выбранной подсети, виртуальная машина для тестовой отработки отказа создается с использованием следующего доступного IP-адреса в выбранной подсети.If the target IP isn't part of the selected subnet, the test failover virtual machine is created by using the next available IP in the selected subnet.

Тестовая отработка отказа на дополнительный сайтTest failover to a secondary site

  1. Если выполняется репликация на другой локальный сайт и вы используете DHCP, настройте DNS и DHCP для тестовой отработки отказа.If you're replicating to another on-premises site and you use DHCP, set up DNS and DHCP for test failover.
  2. Выполняйте тестовую отработку отказа на виртуальной машине с контроллером домена в изолированной сети.Do a test failover of the domain controller virtual machine that runs in the isolated network. Для выполнения тестовой отработки отказа используйте последнюю точку восстановления виртуальной машины контроллера домена, согласованную с приложениями.Use the latest available application consistent recovery point of the domain controller virtual machine to do the test failover.
  3. Запустите тестовую отработку отказа для плана восстановления, который содержит виртуальные машины приложения.Run a test failover for the recovery plan that contains virtual machines that the application runs on.
  4. После завершения тестирования очистите тестовую отработку отказа на виртуальной машине с контроллером домена.When testing is complete, clean up the test failover on the domain controller virtual machine. Этот шаг удаляет контроллер домена, который был создан для тестовой отработки отказа.This step deletes the domain controller that was created for test failover.

Удаление ссылок на другие контроллеры доменаRemove references to other domain controllers

При запуске тестовой отработки отказа не нужно переносить все контроллеры домена в тестовую сеть.When you initiate a test failover, don't include all the domain controllers in the test network. Чтобы удалить ссылки на другие контроллеры домена, которые существуют в рабочей среде, необходимо занять роли FSMO Active Directory и очистить метаданные для отсутствующих контроллеров домена.To remove references to other domain controllers that exist in your production environment, you might need to seize FSMO Active Directory roles and do metadata cleanup for missing domain controllers.

Вопросы, связанные с мерами по обеспечению безопасности виртуализацииIssues caused by virtualization safeguards

Важно!

Некоторые конфигурации, описанные в следующем разделе, не являются стандартными для контроллера домена.Some of the configurations described in this section are not standard or default domain controller configurations. Если вы не хотите вносить эти изменения в рабочий контроллер домена, вы можете создать отдельный контроллер домена для тестовой отработки отказа Site Recovery.If you don't want to make these changes to a production domain controller, you can create a domain controller that's dedicated for Site Recovery to use for test failover. Внесите эти изменения только в этот контроллер домена.Make these changes only to that domain controller.

Начиная с Windows Server 2012 в Active Directory Domain Services (AD DS) предусмотрены дополнительные меры безопасности.Beginning with Windows Server 2012, additional safeguards are built into Active Directory Domain Services (AD DS). Эти меры безопасности помогают защитить виртуализированные контроллеры домена от откатов USN при условии, что базовая платформа низкоуровневой оболочки поддерживает VM-GenerationID.These safeguards help protect virtualized domain controllers against USN rollbacks if the underlying hypervisor platform supports VM-GenerationID. Azure поддерживает VM-GenerationID.Azure supports VM-GenerationID. А это значит, что контроллеры доменов, которые работают под управлением Windows Server 2012 или более поздних версий на виртуальных машинах Azure, будут защищены дополнительными мерами безопасности.Because of this, domain controllers that run Windows Server 2012 or later on Azure virtual machines have these additional safeguards.

Когда выполняется сброс VM-GenerationID, значение InvocationID базы данных AD DS также сбрасывается.When VM-GenerationID is reset, the InvocationID value of the AD DS database is also reset. Кроме того удаляется пул RID, и папки sysvol помечается как не заслуживающий.In addition, the RID pool is discarded, and sysvol folder is marked as non-authoritative. Дополнительные сведения см. в документах, посвященных знакомству с виртуализацией доменных служб Active Directory и безопасной виртуализации DFSR.For more information, see Introduction to Active Directory Domain Services virtualization and Safely virtualizing DFSR.

Отработка отказа в Azure может привести к сбросу VM-GenerationID.Failing over to Azure might cause VM-GenerationID to reset. Сброс VM-GenerationID запускает дополнительные меры безопасности при запуске виртуальной машины с контроллером домена в Azure.Resetting VM-GenerationID triggers additional safeguards when the domain controller virtual machine starts in Azure. Это может привести к значительная задержка в не может выполнить вход виртуальную машину контроллера домена.This might result in a significant delay in being able to sign in to the domain controller virtual machine.

Так как этот контроллер домена будет использоваться только для тестовой отработки отказа, меры безопасности виртуализации не обязательны.Because this domain controller is used only in a test failover, virtualization safeguards aren't necessary. Чтобы значение VM-GenerationID виртуальной машины с контроллером домена не изменялось, присвойте следующему параметру DWORD на локальном контроллере домена значение 4.To ensure that the VM-GenerationID value for the domain controller virtual machine doesn't change, you can change the value of following DWORD to 4 in the on-premises domain controller:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Признаки применения мер по обеспечению безопасности виртуализацииSymptoms of virtualization safeguards

Если меры безопасности виртуализации активированы после тестовой отработки отказа, вы увидите один или несколько следующих признаков.If virtualization safeguards are triggered after a test failover, you might see one or more of following symptoms:

  • Значение GenerationID изменилось.The GenerationID value changes.

    Изменение идентификатора создания

  • Значение InvocationID изменилось.The InvocationID value changes.

    Изменение идентификатора вызова

  • Папки SYSVOL и Netlogon недоступны.Sysvol folder and NETLOGON shares aren't available.

    Общей папке SYSVOL

    Папки sysvol NtFrs

  • Базы данных DFSR удалены.DFSR databases are deleted.

    Базы данных DFSR удалены

Устранение неполадок контроллера домена при тестовой отработке отказаTroubleshoot domain controller issues during test failover

Важно!

Некоторые конфигурации, описанные в следующем разделе, не являются стандартными для контроллера домена.Some of the configurations described in this section aren't standard or default domain controller configurations. Если вы не хотите вносить эти изменения в рабочий контроллер домена, вы можете создать отдельный контроллер домена для тестовой отработки отказа Site Recovery.If you don't want to make these changes to a production domain controller, you can create a domain controller that's dedicated for Site Recovery test failover. Внесите эти изменения только в этот выделенный контроллер домена.Make the changes only to that dedicated domain controller.

  1. В командной строке выполните следующую команду, чтобы проверить, являются ли папки sysvol и NETLOGON папку общими:At the command prompt, run the following command to check whether sysvol folder and NETLOGON folder are shared:

    NET SHARE

  2. В командной строке выполните следующую команду, чтобы убедиться, что контроллер домена работает правильно:At the command prompt, run the following command to ensure that the domain controller is functioning properly:

    dcdiag /v > dcdiag.txt

  3. В журнале выходных данных найдите следующий текст.In the output log, look for the following text. Текст подтверждает, что контроллер домена работает правильно.The text confirms that the domain controller is functioning correctly.

    • "passed test Connectivity""passed test Connectivity"
    • "passed test Advertising""passed test Advertising"
    • "passed test MachineAccount""passed test MachineAccount"

Если эти условия выполняются, скорее всего контроллер домена будет работать правильно.If the preceding conditions are satisfied, it's likely that the domain controller is functioning correctly. Если нет, сделайте следующее:If it's not, complete the following steps:

  1. Выполните заслуживающее доверия восстановление контроллера домена.Do an authoritative restore of the domain controller. Примите во внимание указанные ниже сведения.Keep the following information in mind:

  2. Пропустите требование начальной синхронизации, задав следующему разделу реестра значение 0 на локальном контроллере домена.Bypass the initial sync requirement by setting the following registry key to 0 in the on-premises domain controller. Если параметр DWORD не существует, его можно создать в узле Parameters.If the DWORD doesn't exist, you can create it under the Parameters node.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

    Дополнительные сведения см. в статье Устранение неполадок DNS код события: 4013: DNS-серверу не удалось загрузить зон DNS, интегрированных с AD.For more information, see Troubleshoot DNS Event ID 4013: The DNS server was unable to load AD integrated DNS zones.

  3. Отключите требование, чтобы сервер глобального каталога был доступен для проверки входа пользователя.Disable the requirement that a global catalog server be available to validate the user login. Для этого в локальном контроллере домена присвойте следующему разделу реестра значение 1.To do this, in the on-premises domain controller, set the following registry key to 1. Если параметр DWORD не существует, его можно создать в узле Lsa.If the DWORD doesn't exist, you can create it under the Lsa node.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

    Дополнительные сведения см. в статье Disable the requirement that a global catalog server be available to validate user logons (Отключение требования, чтобы сервер глобального каталога был доступен для проверки входов пользователей).For more information, see Disable the requirement that a global catalog server be available to validate user logons.

Контроллер домена и DNS на разных компьютерахDNS and domain controller on different machines

Если вы запускаете контроллер домена и DNS на одной виртуальной машине, вы можете пропустить эту процедуру.If you're running the domain controller and DNs on the same VM, you can skip this procedure.

Если DNS находится не на той же виртуальной машине, что и контроллер домена, необходимо создать виртуальную машину DNS для тестовой отработки отказа.If DNS isn't on the same VM as the domain controller, you need to create a DNS VM for the test failover. Вы можете использовать новый DNS-сервер и создать все необходимые зоны.You can use a fresh DNS server, and create all the required zones. Например, если используется домен Active Directory contoso.com, можно создать зону DNS с именем contoso.com.For example, if your Active Directory domain is contoso.com, you can create a DNS zone with the name contoso.com. Записи DNS, соответствующие Active Directory, необходимо обновить следующим образом:The entries that correspond to Active Directory must be updated in DNS as follows:

  1. До включения любой другой виртуальной машины в план восстановления убедитесь, что настроены указанные ниже параметры:Ensure that these settings are in place before any other virtual machine in the recovery plan starts:

    • Необходимо назвать зону именем корня леса.The zone must be named after the forest root name.
    • Зона должна предусматривать файловую поддержку.The zone must be file-backed.
    • Для зоны должна быть включена возможность установки безопасных и небезопасных обновлений.The zone must be enabled for secure and nonsecure updates.
    • Сопоставитель виртуальной машины, на которой размещен контроллер домена, должен указывать на IP-адрес виртуальной машины DNS.The resolver of the virtual machine that hosts the domain controller should point to the IP address of the DNS virtual machine.
  2. Выполните в виртуальной машине с контроллером домена следующую команду:Run the following command on the VM that hosts the domain controller:

    nltest /dsregdns

  3. Выполните следующие команды, чтобы добавить зону на DNS-сервер, разрешите небезопасные обновления и добавьте запись для зоны в DNS.Run the following commands to add a zone on the DNS server, allow nonsecure updates, and add an entry for the zone to DNS:

    dnscmd /zoneadd contoso.com /Primary

    dnscmd /recordadd contoso.com contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1

    dnscmd /recordadd contoso.com %computername% A <IP_OF_DNS_VM>

    dnscmd /config contoso.com /allowupdate 1

Дальнейшие действияNext steps

Узнайте больше о защите корпоративных приложений с помощью службы Azure Site Recovery.Learn more about protecting enterprise workloads with Azure Site Recovery.