Active Directory ve DNS için olağanüstü durum kurtarmayı ayarlama

SharePoint, Dynamics AX ve SAP gibi kurumsal uygulamalar, düzgün çalışması için Active Directory'ye ve dns altyapısına bağımlıdır. Uygulamalar için olağanüstü durum kurtarmayı ayarlarken, doğru uygulama işlevselliğini sağlamak için diğer uygulama bileşenlerini kurtarmadan önce genellikle Active Directory ve Etki Alanı Adı Sistemi'ni (DNS) kurtarmanız gerekir.

Active Directory için olağanüstü durum kurtarma planı oluşturmak için Site Recovery kullanabilirsiniz. Bir kesinti oluştuğunda yük devretme başlatabilirsiniz. Birkaç dakika içinde Active Directory’niz çalışır duruma gelebilir. Active Directory'yi birincil sitenizdeki birden çok uygulama için (örneğin, SharePoint ve SAP için) dağıttıysanız, sitenin tamamının yükünü devretmek isteyebilirsiniz. Önce Site Recovery kullanarak Active Directory'de yük devredebilirsiniz. Ardından uygulamaya özgü kurtarma planlarını kullanarak diğer uygulamaların yükünü devredin.

Bu makalede, Active Directory için olağanüstü durum kurtarma çözümünün nasıl oluşturulacağı açıklanır. Önkoşulları ve yük devretme yönergelerini içerir. Başlamadan önce Active Directory ve Site Recovery hakkında bilgi sahibi olmanız gerekir.

Önkoşullar

• Azure'a çoğaltma yapıyorsanız abonelik, Azure Sanal Ağ, depolama hesabı ve Kurtarma Hizmetleri kasası gibi Azure kaynaklarını hazırlayın.
• Tüm bileşenler için destek gereksinimlerini gözden geçirin.

Etki alanı denetleyicisini çoğaltma

• Etki alanı denetleyicisini veya DNS'yi barındıran en az bir sanal makinede (VM) Site Recovery çoğaltma ayarlamanız gerekir.
• Ortamınızda birden çok etki alanı denetleyicisi varsa, hedef sitede ek bir etki alanı denetleyicisi de ayarlamanız gerekir. Ek etki alanı denetleyicisi Azure'da veya ikincil bir şirket içi veri merkezinde olabilir.
• Yalnızca birkaç uygulamanız ve bir etki alanı denetleyiciniz varsa, tüm sitenin yükünü birlikte devretmek isteyebilirsiniz. Bu durumda, etki alanı denetleyicisini Azure'da veya ikincil bir şirket içi veri merkezinde hedef siteye çoğaltmak için Site Recovery kullanmanızı öneririz. Yük devretme testi için aynı çoğaltılmış etki alanı denetleyicisini veya DNS sanal makinesini kullanabilirsiniz.
• Ortamınızda çok sayıda uygulama ve birden fazla etki alanı denetleyicisi varsa veya etki alanı denetleyicisi sanal makinesini Site Recovery ile çoğaltmaya ek olarak birkaç uygulamanın yükünü aynı anda devretmeyi planlıyorsanız, hedef sitede (Azure'da veya ikincil bir şirket içi veri merkezinde) ek bir etki alanı denetleyicisi ayarlamanızı öneririz. Yük devretme testi için Site Recovery tarafından çoğaltılan bir etki alanı denetleyicisi kullanabilirsiniz. Yük devretme için hedef sitedeki ek etki alanı denetleyicisini kullanabilirsiniz.

Site Recovery ile korumayı etkinleştirme

etki alanı denetleyicisini veya DNS'yi barındıran sanal makineyi korumak için Site Recovery kullanabilirsiniz.

VM'yi koruma

yük devretme testi için Site Recovery kullanılarak çoğaltılan etki alanı denetleyicisi kullanılır. Aşağıdaki gereksinimleri karşıladığından emin olun:

1. Etki alanı denetleyicisi bir genel katalog sunucusudur.
2. Etki alanı denetleyicisi, yük devretme testi sırasında gereken roller için Esnek Tek Ana İşlemler (FSMO) rol sahibi olmalıdır. Aksi takdirde, yük devretmeden sonra bu rollerin alınması gerekir.

VM ağ ayarlarını yapılandırma

Etki alanı denetleyicisini veya DNS'yi barındıran sanal makine için, Site Recovery,çoğaltılan sanal makinenin Ağ ayarları altında ağ ayarlarını yapılandırın. Bu, yük devretme sonrasında sanal makinenin doğru ağa bağlı olmasını sağlar.

Active Directory'i koruma

Siteden siteye koruma

İkincil sitede bir etki alanı denetleyicisi oluşturun. Sunucuyu bir etki alanı denetleyicisi rolüne yükseltirken, birincil sitede kullanılan etki alanının adını belirtin. Sitelerin eklendiği site bağlantısı nesnesindeki ayarları yapılandırmak için Active Directory Siteleri ve Hizmetleri ek bileşenini kullanabilirsiniz. Site bağlantısındaki ayarları yapılandırarak, iki veya daha fazla site arasında çoğaltmanın ne zaman gerçekleşebileceğini ve ne sıklıkta gerçekleşebileceğini denetleyebilirsiniz. Daha fazla bilgi için bkz. Siteler arasında çoğaltma zamanlama.

Siteden Azure'a koruma

İlk olarak, Azure sanal ağında bir etki alanı denetleyicisi oluşturun. Sunucuyu bir etki alanı denetleyicisi rolüne yükselttiğinızda, birincil sitede kullanılan etki alanı adını belirtin.

Ardından, Azure'da DNS sunucusunu kullanmak üzere sanal ağ için DNS sunucusunu yeniden yapılandırın.

Azure'da Azure'a koruma

İlk olarak, Azure sanal ağında bir etki alanı denetleyicisi oluşturun. Sunucuyu bir etki alanı denetleyicisi rolüne yükselttiğinızda, birincil sitede kullanılan etki alanı adını belirtin.

Ardından, Azure'da DNS sunucusunu kullanmak üzere sanal ağ için DNS sunucusunu yeniden yapılandırın.

Yük devretme testiyle ilgili dikkat edilmesi gerekenler

Üretim iş yüklerini etkilememek için yük devretme testi, üretim ağından yalıtılmış bir ağda gerçekleşir.

Çoğu uygulama için bir etki alanı denetleyicisi veya DNS sunucusu bulunması gerekir. Bu nedenle, uygulama yük devretmeden önce, yük devretme testi için kullanılacak yalıtılmış ağda bir etki alanı denetleyicisi oluşturmanız gerekir. Bunu yapmanın en kolay yolu, etki alanı denetleyicisi veya DNS barındıran bir sanal makineyi çoğaltmak için Site Recovery kullanmaktır. Ardından, uygulama için kurtarma planının yük devretme testini çalıştırmadan önce etki alanı denetleyicisi sanal makinesinin yük devretme testini çalıştırın.

1. Etki alanı denetleyicisini veya DNS'yi barındıran sanal makineyi çoğaltmak için Site Recovery kullanın.

2. Yalıtılmış ağ oluşturma. Azure'da oluşturduğunuz tüm sanal ağlar varsayılan olarak diğer ağlardan yalıtılır. Bu ağ için üretim ağınızda kullandığınız IP adresi aralığını kullanmanızı öneririz. Bu ağda siteden siteye bağlantıyı etkinleştirmeyin.

3. Yalıtılmış ağda bir DNS IP adresi sağlayın. DNS sanal makinesinin aldırmasını beklediğiniz IP adresini kullanın. Azure'a çoğaltma yapıyorsanız yük devretmede kullanılan sanal makinenin IP adresini sağlayın. IP adresini girmek için çoğaltılan sanal makinedeki Ağ ayarları'nda Hedef IP ayarları'nı seçin.

   

   İpucu

   Site Recovery, aynı ada sahip bir alt ağda ve sanal makinenin Ağ ayarlarında sağlanan ip adresini kullanarak test sanal makineleri oluşturmayı dener. Yük devretme testi için sağlanan Azure sanal ağında aynı ada sahip bir alt ağ yoksa, test sanal makinesi alfabetik olarak ilk alt ağda oluşturulur.

   Hedef IP adresi seçili alt ağın parçasıysa Site Recovery hedef IP adresini kullanarak yük devretme testi sanal makinesini oluşturmaya çalışır. Hedef IP seçili alt ağın bir parçası değilse, yük devretme testi sanal makinesi seçili alt ağda bir sonraki kullanılabilir IP kullanılarak oluşturulur.

İkincil siteye yük devretme testi

1. Başka bir şirket içi siteye çoğaltıyorsanız ve DHCP kullanıyorsanız yük devretme testi için DNS ve DHCP'yi ayarlayın.
2. Yalıtılmış ağda çalışan etki alanı denetleyicisi sanal makinesinin yük devretmesini test edin. Yük devretme testi yapmak için etki alanı denetleyicisi sanal makinesinin en son kullanılabilir uygulamayla tutarlı kurtarma noktasını kullanın.
3. Uygulamanın üzerinde çalıştığı sanal makineleri içeren kurtarma planı için yük devretme testi çalıştırın.
4. Test tamamlandığında, etki alanı denetleyicisi sanal makinesinde yük devretme testini temizleyin . Bu adım, yük devretme testi için oluşturulan etki alanı denetleyicisini siler.

Diğer etki alanı denetleyicilerine başvuruları kaldırma

Yük devretme testi başlattığınızda, test ağına tüm etki alanı denetleyicilerini eklemeyin. Üretim ortamınızda bulunan diğer etki alanı denetleyicilerine yapılan başvuruları kaldırmak için FSMO Active Directory rollerini almanız ve eksik etki alanı denetleyicileri için meta veri temizleme yapmanız gerekebilir.

Sanallaştırma korumalarının neden olduğu sorunlar

Önemli

Bu bölümde açıklanan yapılandırmalardan bazıları standart veya varsayılan etki alanı denetleyicisi yapılandırmaları değildir. Üretim etki alanı denetleyicisinde bu değişiklikleri yapmak istemiyorsanız, yük devretme testi için kullanmak üzere Site Recovery ayrılmış bir etki alanı denetleyicisi oluşturabilirsiniz. Bu değişiklikleri yalnızca bu etki alanı denetleyicisinde yapın.

Windows Server 2012 başlayarak, Active Directory Domain Services (AD DS) içinde ek korumalar bulunur. Bu korumalar, temel alınan hiper yönetici platformu VM-GenerationID'yi destekliyorsa, sanallaştırılmış etki alanı denetleyicilerini güncelleştirme dizisi numarası (USN) geri almalarına karşı korumaya yardımcı olur. Azure , VM-GenerationID'i destekler. Bu nedenle, Azure sanal makinelerinde Windows Server 2012 veya üzerini çalıştıran etki alanı denetleyicileri bu ek güvenlik önlemlerine sahiptir.

VM-GenerationID sıfırlandığında, AD DS veritabanının InvocationID değeri de sıfırlanır. Buna ek olarak, göreli kimlik (RID) havuzu atılır ve SYSVOL klasör yetkili değil olarak işaretlenir. Daha fazla bilgi için bkz. Active Directory Domain Services sanallaştırmaya giriş ve Dağıtılmış Dosya Sistemi Çoğaltmasını (DFSR) güvenli bir şekilde sanallaştırma.

Azure'a yük devretmek VM-GenerationID'nin sıfırlanmasına neden olabilir. VM-GenerationID'nin sıfırlanması, etki alanı denetleyicisi sanal makinesi Azure'da başlatıldığında ek korumalar tetikler. Bu, etki alanı denetleyicisi sanal makinesinde oturum açabilmekte önemli bir gecikmeye neden olabilir.

Bu etki alanı denetleyicisi yalnızca yük devretme testinde kullanıldığından, sanallaştırma korumaları gerekli değildir. Etki alanı denetleyicisi sanal makinesinin VM-GenerationID değerinin değişmediğinden emin olmak için, şirket içi etki alanı denetleyicisinde aşağıdaki DWORD değerini 4 olarak değiştirebilirsiniz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gencounter\Start

Sanallaştırma korumalarının belirtileri

Yük devretme testi sonrasında sanallaştırma korumaları tetiklenirse aşağıdaki belirtilerden birini veya daha fazlasını görebilirsiniz:

• GenerationID değeri değişir:

  

• InvocationID değeri değişir:

  

• SYSVOL klasörü ve NETLOGON paylaşımları kullanılamaz.

  

  

• DFSR veritabanları silinir.

  

Yük devretme testi sırasında etki alanı denetleyicisi sorunlarını giderme

Önemli

Bu bölümde açıklanan yapılandırmalardan bazıları standart veya varsayılan etki alanı denetleyicisi yapılandırmaları değildir. Bir üretim etki alanı denetleyicisinde bu değişiklikleri yapmak istemiyorsanız, yük devretme testi Site Recovery ayrılmış bir etki alanı denetleyicisi oluşturabilirsiniz. Değişiklikleri yalnızca bu ayrılmış etki alanı denetleyicisinde yapın.

1. Komut isteminde, klasör ve NETLOGON klasörün paylaşılıp paylaşılmadığını SYSVOL denetlemek için aşağıdaki komutu çalıştırın:

   NET SHARE

2. Komut isteminde, etki alanı denetleyicisinin düzgün çalıştığından emin olmak için aşağıdaki komutu çalıştırın:

   dcdiag /v > dcdiag.txt

3. Çıkış günlüğünde aşağıdaki metni arayın. Metin, etki alanı denetleyicisinin düzgün çalıştığını onaylar.

   • passed test Connectivity
   • passed test Advertising
   • passed test MachineAccount

Yukarıdaki koşullar karşılanırsa, etki alanı denetleyicisinin düzgün çalışıyor olması olasıdır. Aksi takdirde aşağıdaki adımları tamamlayın:

1. Etki alanı denetleyicisinin yetkili bir geri yüklemesini yapın. Aşağıdaki bilgileri göz önünde bulundurun:

   • Dosya Çoğaltma Hizmeti 'ni (FRS) kullanarak çoğaltmayı önermesek de, FRS çoğaltması kullanıyorsanız, yetkili geri yükleme adımlarını izleyin. İşlem, Dosya Çoğaltma Hizmeti'ni yeniden etkinleştirmek için BurFlags kayıt defteri anahtarını kullanma bölümünde açıklanmıştır.

     BurFlags hakkında daha fazla bilgi için D2 ve D4: Ne için? blog gönderisine bakın.

   • DFSR çoğaltması kullanıyorsanız, yetkili geri yükleme adımlarını tamamlayın. İşlem DFSR tarafından çoğaltılan SYSVOL klasörü için yetkili ve yetkili olmayan eşitlemeye zorlama (FRS için "D4/D2" gibi) başlığında açıklanmıştır.

     PowerShell işlevlerini de kullanabilirsiniz. Daha fazla bilgi için bkz. DFSR-SYSVOL yetkili/yetkili olmayan PowerShell işlevlerini geri yükleme.

2. Şirket içi etki alanı denetleyicisinde aşağıdaki kayıt defteri anahtarını 0 olarak ayarlayarak ilk eşitleme gereksinimini atlayabilirsiniz. DWORD yoksa, Parametreler düğümü altında oluşturabilirsiniz.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations

   Daha fazla bilgi için bkz . DNS Olay Kimliği 4013: DNS sunucusu AD tümleşik DNS bölgelerini yükleyemedi sorunlarını giderme.

3. Kullanıcı oturum açma bilgilerini doğrulamak için genel katalog sunucusunun kullanılabilir olması gereksinimini devre dışı bırakın. Bunu yapmak için, şirket içi etki alanı denetleyicisinde aşağıdaki kayıt defteri anahtarını 1 olarak ayarlayın. DWORD yoksa, bunu Lsa düğümü altında oluşturabilirsiniz.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\IgnoreGCFailures

   Daha fazla bilgi için bkz. Genel Katalog Nasıl Çalışır?

Farklı makinelerde DNS ve etki alanı denetleyicisi

Etki alanı denetleyicisini ve DNS'yi aynı VM'de çalıştırıyorsanız, bu yordamı atlayabilirsiniz.

DNS, etki alanı denetleyicisiyle aynı VM'de değilse, yük devretme testi için bir DNS VM oluşturmanız gerekir. Yeni bir DNS sunucusu kullanabilir ve gerekli tüm bölgeleri oluşturabilirsiniz. Örneğin, Active Directory etki alanınız ise contoso.com, adlı contoso.combir DNS bölgesi oluşturabilirsiniz. Active Directory'ye karşılık gelen girdilerin DNS'de aşağıdaki gibi güncelleştirilmiş olması gerekir:

1. Kurtarma planındaki diğer sanal makineler başlatılmadan önce bu ayarların geçerli olduğundan emin olun:

   • Bölge, orman kök adından sonra adlandırılmalıdır.
   • Bölge dosya destekli olmalıdır.
   • Güvenli ve güvenli olmayan güncelleştirmeler için bölgenin etkinleştirilmesi gerekir.
   • Etki alanı denetleyicisini barındıran sanal makinenin çözümleyicisi, DNS sanal makinesinin IP adresine işaret etmelidir.

2. Etki alanı denetleyicisini barındıran VM'de aşağıdaki komutu çalıştırın:

   nltest /dsregdns

3. DNS sunucusuna bir bölge eklemek, güvenli olmayan güncelleştirmelere izin vermek ve DNS'e bölge için bir giriş eklemek için aşağıdaki komutları çalıştırın:

   dnscmd /zoneadd contoso.com  /Primary
   
   dnscmd /recordadd contoso.com  contoso.com. SOA %computername%.contoso.com. hostmaster. 1 15 10 1 1
   
   dnscmd /recordadd contoso.com %computername%  A <IP_OF_DNS_VM>
   
   dnscmd /config contoso.com /allowupdate 1
   

Sonraki adımlar

Azure Site Recovery ile kurumsal iş yüklerini koruma hakkında daha fazla bilgi edinin.