適用於應用程式廠商的虛擬網域控制站複製測試指導方針

  • 發行項

適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

本主題說明應用程式廠商應該考慮哪些專案,以確保其應用程式在虛擬化網域控制站 (DC) 複製流程完成之後繼續如預期般運作。 它涵蓋那些應用程式廠商會感興趣、以及可能需要額外測試之案例的複製流程層面。 建議已驗證其應用程式在已複製的虛擬化網域控制站上運作的應用程式廠商,在本主題底部的社群內容中列出應用程式名稱,以及組織網站的連結,讓使用者可以深入了解驗證。

虛擬化 DC 複製概觀

Active Directory 網域服務 (AD DS) 虛擬化簡介 (層級 100)虛擬網域控制站技術參考 (層級 300) 中有詳細的虛擬網域控制站複製流程描述。 從應用程式廠商的觀點來看,在評估複製對應用程式的影響時,需要考慮這些觀點:

  • 原始電腦並未終結。 它仍保留在網路上,與用戶端互動。 與移除原始電腦的 DNS 記錄的重新命名不同,來源網域控制站的原始記錄會維持不變。

  • 在複製流程中,新電腦一開始會在舊電腦的身分識別下執行一段短暫的時間,直到複製流程起始並進行必要的變更。 建立主機記錄的應用程式應該確保複製的電腦不會在複製流程期間覆寫原始主機的相關記錄。

  • 複製是僅限虛擬化網域控制站的特定部署功能,而不是複製其他伺服器角色的一般延伸功能。 某些伺服器角色特別不支援複製:

    • 動態主機設定通訊協定 (DHCP)

    • Active Directory 憑證服務 (AD CS)

    • Active Directory 輕量型目錄服務 (AD LDS)

  • 在複製流程中,會複製代表原始 DC 的整個 VM,因此也會複製該 VM 上的任何應用程式狀態。 驗證應用程式是否適應複製 DC 上本機主機的狀態變更,或是否需要任何介入,例如服務重新開機。

  • 在複製時,新的 DC 會取得新的電腦身分識別,並在拓撲中將自己佈建為複寫 DC。 驗證應用程式是否相依於電腦身分識別,例如其名稱、帳戶、SID 等等。 它是否會自動適應複製上機器身分識別的變更? 如果該應用程式會快取資料,請確定它不會依賴可能快取的電腦身分識別資料。

應用程式廠商對什麽感興趣?

CustomDCCloneAllowList.xml

執行應用程式或服務的網域控制站,在應用程式或服務為完成下列動作之前會無法複製:

  • 使用 Get-ADDCCloningExcludedApplicationList Windows PowerShell Cmdlet 新增至 CustomDCCloneAllowList.xml 檔案

- 或者 -

  • 從網域控制站中移除

使用者第一次執行 Get-ADDCCloningExcludedApplicationList Cmdlet 時,它會傳回在網域控制站上執行的服務和應用程式清單,但不在支援複製的服務和應用程式預設清單中。 根據預設,不會列出您的服務或應用程式。 若要將服務或應用程式新增至可安全複製的應用程式和服務清單,使用者會再次使用 -GenerateXML 選項執行 Get-ADDCCloningExcludedApplicationList Cmdlet,以將其新增至 CustomDCCloneAllowList.xml 檔案。 如需詳細資訊,請參閱 步驟 2: 執行 Get-ADDCCloningExcludedApplicationList Cmdlet

分散式系統互動

通常,與本機電腦隔離的服務在參與複製時會通過或失敗。 分散式服務必須擔心網路上有兩個主機電腦的執行個體同時存在一段時間。 這可能表現為服務執行個體嘗試從合作夥伴系統提取資訊,其中該複製已註冊為該身分識別的新廠商。 或者,這兩個服務執行個體可能會以不同的結果同時將資訊推送至 AD DS 資料庫。 例如,當具有 Windows 測試技術 (WTT) 服務的兩部電腦與網域控制站均在網路上時,無法確定要與哪台電腦進行通訊。

對於散發的 DNS 伺服器服務,複製流程會小心避免在複製網域控制站以新的 IP 位址啟動時覆寫來源網域控制站的 DNS 記錄。

在複製結束前,您不應該依賴電腦移除所有舊的身分識別。 當新的網域控制站在新內容中升級之後,請選取 [Sysprep 提供者] 以清除電腦的其他狀態。 例如,此時會移除電腦的舊憑證,並變更電腦可存取的密碼編譯秘密。

複製時間變化的最大因素是有多少物件要從 PDC 進行複寫。 較舊的媒體會增加完成複製所需的時間。

因為您的服務或應用程式不明,所以它會保持執行狀態。 複製流程不會變更非 Windows 服務的狀態。

此外,新電腦具有與原始電腦不同的 IP 位址。 根據服務或應用程式在此環境中的行為,這些行為可能會對服務或應用程式造成副作用。

建議用於測試的其他案例

複製失敗

服務廠商應該測試此案例,因為當複製失敗時,電腦會開機進入目錄服務修復模式 (DSRM),這是一種安全模式。 此時電腦尚未完成複製。 某些狀態可能已變更,某些狀態可能仍會保留在原始網域控制站中。 測試此案例,以了解它對您的應用程式有何影響。

若要引發複製失敗,請嘗試複製網域控制站,而不授與複製的權限。 在此情況下,電腦只會變更 IP 位址,並依然會具有原始網域控制站的大部分狀態。 如需授與要複製之網域控制站權限的詳細資訊,請參閱 步驟 1: 將複製權限授與來源虛擬化網域控制站

PDC 模擬器複製

服務和應用程式廠商應該測試此案例,因為複製 PDC 模擬器時會有額外的重新開機。 此外,大部分的複製都是在暫存身分識別下執行,以允許新的複製在複製流程期間與 PDC 模擬器互動。

可寫入與唯讀網域控制站的比較

服務和應用程式廠商應該使用計畫執行服務的相同網域控制站類型 (也就是在可寫入或唯讀網域控制站上) 測試複製。