formål
for et par år siden havde jeg en kunde, der mistede deres DNS-databaser, der blev gemt i AD. De spurgte mig, om der var nogen måde at gendanne disse data uden at udføre en autoritativ gendannelse. Det fik mig til at tænke på, hvad vi kunne bruge native til DNS, der kunne give sikkerhedskopier og gendanner, der ville blive påvirket af Active Directory så lidt som muligt. Jeg var i stand til at komme med en løsning til dem, som jeg har brugt hos hver kunde siden. Denne artikel har til formål at dele med dig denne metode og forklare, hvorfor den har været så effektiv.
udfordring
når vi integrerer et DNS-område i Active Directory, gemmes DNS-databasen i ANNONCEDATABASEN. Dette er en fænomenal funktion af Microsoft DNS, da det giver et niveau af fejltolerance og tilgængelighed til DNS, som den dag i dag ikke er ens. For ikke at nævne, det giver os mulighed for at drage fordel af andre tjenester, som AD har at tilbyde (dvs.- DNS record sikkerhed, adgangskontrol,…).
ulempen ved dette er, at hvis DNS-databasen er beskadiget, skal dataene følge den samme restaureringsmetode, som Active Directory-databasen selv kræver. Dette kan medføre genstart af domænecontrolleren og udførelse af en autoritativ gendannelse. Dette kan være tidskrævende og smertefuldt for enhver administrator eller organisation. Derudover er der ingen nem metode til at sikkerhedskopiere bare DNS-databasen fra AD.
Simple Backups
for at overvinde standardbegrænsningerne med backup og gendannelse af DNS foreslår jeg et par enkle trin. Selve DNS-tjenesten har virkelig meget lidt overhead. Enhver computer i dit netværk kan håndtere at køre tjenesten, og det er netop det, jeg planlægger. For at give enkel sikkerhedskopi af DNS-databasen skal du bare konfigurere DNS på en medlemsserver. Du bør ikke pege på servere eller klienter til denne DNS-server og kan endda gå så langt for at blokere DNS-anmodninger fra at ramme boksen.
medlemsserveren vil ikke være en domænecontroller, så den kan ikke integrere DNS i AD. Dette giver os mulighederne for primære og sekundære enkeltstående DNS-områder, der kan konfigureres på denne server. Den store del om Stand-alone DNS-områder i Microsoft DNS, er, at de skriver ud databasen til en tekstfil. Denne tekstfil findes i mappen%systemroot % system32dns under navnet på det eller de områder, du har konfigureret. Hvis vi derefter bruger denne medlemsserver til at oprette en sekundær af hvert ANNONCEINTEGRERET område i vores miljø, bruger medlemsserveren normal DNS-replikation (i stedet for ANNONCEREPLIKATION) til at overføre området lokalt og gemme det til en tekstfil. Tekstfilen kan derefter sikkerhedskopieres eller kopieres regelmæssigt. Denne fil er naturligvis lille og endnu mindre, når den komprimeres, så jeg anbefaler typisk et simpelt script til at kopiere filen dagligt (ved hjælp af datoen i filnavnet) og holde nogle historik over filer.
restaurering
så nu har du en sikkerhedskopi (og i en form, som du nemt kan manipulere, hvis du vælger det), lad os lade som om din ANNONCEINTEGREREDE DNS bliver ødelagt på en eller anden måde (sandsynligvis på grund af et replikationsproblem, eller du har muligvis ikke setup scavenging korrekt: Link). Hvordan kan vi nu bruge denne DNS-sikkerhedskopi?
dette er faktisk virkelig simpelt. Den første ting at gøre er at identificere en “god” kopi af området(E) fra de sikkerhedskopier, vi har taget. Når vi har denne fil(er), skal vi placere den på en domænecontroller, hvorfra ændringer replikerer hurtigst (eller med andre ord, hvorfra domænet konvergerer hurtigst).
Dernæst vil du slette det ANNONCEINTEGREREDE område. Vælg en domænecontroller, der ser ud til at være på det mest passende sted for replikering, der skal fremskyndes (sandsynligvis den samme server, som vi kopierede backup DNS-databasefilen til), og fjern et af de DNS-områder, der er beskadiget. Vent på, at replikation finder sted, eller tving replikation for at fremskynde processen.
når replikationen er sket, og du er sikker på, at området er blevet fjernet fra miljøet, skal du blot tilføje området / områderne tilbage til den valgte domænecontroller, undtagen denne gang konfigurere dem som primære enkeltstående områder. Når du har gjort dette, skal du stoppe DNS-tjenesten. Kopier sikkerhedskopieringsfilerne fra medlemsserveren til mappen %systemroot%system32dns, der overskriver alle filer der. Når filerne er kopieret genstart DNS på domænecontrolleren, skift derefter områdetype (r) fra” primær-Standalone “til”primær-ad integreret”. Læn dig nu tilbage, Vent på, at replikering finder sted, og at DNS-funktionaliteten gendannes (eller skynd dig med ved at tvinge replikering igen).
Resume
Min favorit del af denne løsning er, at den er hjemmehørende i DNS. Lignende ting kan opnås gennem scripts eller 3.parts programmer, som en gymnasielærer engang sagde “Keep it Simple Stupid” (eller K. I. S. S.). Fordi dette er alt indfødt, understøttes det hele af Microsoft. Det falder inden for bedste praksis og kræver lidt administrative, netværk, eller serverressourcer at opnå. Lad os også tilføje, at det er relativt hurtigt til både opsætning og at gendanne DNS ved hjælp af denne metode.
