Zweck
Vor einigen Jahren hatte ich einen Kunden, der seine in AD gespeicherten DNS-Datenbanken verloren hatte. Sie fragten mich, ob es eine Möglichkeit gäbe, diese Daten wiederherzustellen, ohne eine autorisierende Wiederherstellung durchzuführen. Das brachte mich dazu, darüber nachzudenken, was wir nativ für DNS verwenden könnten, um Backups und Wiederherstellungen bereitzustellen, die so wenig wie möglich von Active Directory betroffen wären. Ich konnte eine Lösung für sie finden, die ich seitdem bei jedem Kunden verwendet habe. Dieser Artikel zielt darauf ab, diese Methode mit Ihnen zu teilen und zu erklären, warum sie so effektiv war.
Wenn wir eine DNS-Zone in Active Directory integrieren, wird die DNS-Datenbank in der AD-Datenbank gespeichert. Dies ist eine phänomenale Funktion von Microsoft DNS, da es ein Maß an Fehlertoleranz und Verfügbarkeit für DNS bietet, das bis heute seinesgleichen sucht. Ganz zu schweigen davon, dass wir damit andere Dienste nutzen können, die AD zu bieten hat (z.-DNS-Record-Sicherheit, Zugriffskontrolle, …).
Der Nachteil davon ist, dass, wenn die DNS-Datenbank beschädigt ist, die Daten der gleichen Wiederherstellungsmethode folgen müssen, die die Active Directory-Datenbank selbst erfordert. Dies kann einen Neustart des Domänencontrollers und eine autorisierende Wiederherstellung erfordern. Dies kann für jeden Administrator oder jede Organisation zeitaufwändig und schmerzhaft sein. Darüber hinaus gibt es keine einfache Methode, nur die DNS-Datenbank von AD zu sichern.
Einfache Backups
Um die Standardeinschränkungen bei der Sicherung und Wiederherstellung von DNS zu überwinden, schlage ich einige einfache Schritte vor. Der DNS-Dienst selbst hat wirklich sehr wenig Overhead. Jeder Computer in Ihrem Netzwerk kann den Dienst ausführen, und genau das plane ich. Um eine einfache Sicherung der DNS-Datenbank bereitzustellen, richten Sie einfach DNS auf einem Mitgliedsserver ein. Sie sollten keine Server oder Clients auf diesen DNS-Server verweisen und könnten sogar so weit gehen, DNS-Anforderungen daran zu hindern, die Box zu treffen.
Der Mitgliedsserver ist kein Domänencontroller und kann daher DNS nicht in AD integrieren. Dadurch haben wir die Optionen für primäre und sekundäre eigenständige DNS-Zonen, die auf diesem Server konfiguriert werden können. Das Tolle an eigenständigen DNS-Zonen in Microsoft DNS ist, dass sie die Datenbank in eine Textdatei schreiben. Diese Textdatei befindet sich im Ordner %systemroot%system32dns unter dem Namen der Zone(n), die Sie konfiguriert haben. Wenn wir dann diesen Mitgliedsserver verwenden, um eine Kopie jeder in AD integrierten Zone in unserer Umgebung zu erstellen, verwendet der Mitgliedsserver die normale DNS-Replikation (anstelle der AD-Replikation), um die Zone lokal zu übertragen und in einer Textdatei zu speichern. Die Textdatei kann dann regelmäßig gesichert oder kopiert werden. Daher empfehle ich normalerweise ein einfaches Skript, um die Datei täglich zu kopieren (unter Verwendung des Datums im Dateinamen) und einen Verlauf der Dateien aufzubewahren.
Restoration
So, jetzt haben Sie ein Backup (und in einer Form, die Sie leicht manipulieren können, wenn Sie dies wünschen), lassen Sie uns so tun, als ob Ihr AD-integriertes DNS irgendwie beschädigt wird (wahrscheinlich wegen eines Replikationsproblems oder Sie haben das Setup-Scavenging nicht richtig eingerichtet: Link). Wie können wir jetzt dieses DNS-Backup verwenden?
Das ist eigentlich ganz einfach. Als erstes müssen Sie eine „gute“ Kopie der Zone (n) aus den von uns erstellten Sicherungen identifizieren. Sobald wir diese Datei (en) haben, sollten wir sie auf einem Domänencontroller ablegen, von dem aus Änderungen am schnellsten repliziert werden (oder mit anderen Worten, von dem aus die Domäne am schnellsten konvergiert).
Als nächstes löschen Sie die AD-integrierte Zone. Wählen Sie einen Domänencontroller aus, der sich am geeignetsten für eine beschleunigte Replikation befindet (wahrscheinlich derselbe Server, auf den wir die Backup-DNS-Datenbankdatei kopiert haben), und entfernen Sie alle beschädigten DNS-Zonen. Warten Sie, bis die Replikation erfolgt, oder erzwingen Sie die Replikation, um den Vorgang zu beschleunigen.
Sobald die Replikation stattgefunden hat und Sie sicher sind, dass die Zone aus der Umgebung entfernt wurde, fügen Sie die Zone(n) einfach wieder zum ausgewählten Domänencontroller hinzu, außer dass sie diesmal als primäre eigenständige Zonen konfiguriert werden. Stoppen Sie anschließend den DNS-Dienst. Kopieren Sie die Sicherungsdateien vom Mitgliedsserver in den Ordner%systemroot%system32dns und überschreiben Sie dort alle Dateien. Sobald die Dateien kopiert wurden, starten Sie DNS auf dem Domänencontroller neu und ändern Sie den / die Zonentyp (e) von „Primary-Standalone“ in „Primary-AD integrated“. Lehnen Sie sich nun zurück, warten Sie, bis die Replikation erfolgt und die DNS-Funktionalität wiederhergestellt ist (oder beeilen Sie sich, indem Sie die Replikation erneut erzwingen).
Zusammenfassung
Mein Lieblingsteil dieser Lösung ist, dass sie nativ für DNS ist. Ähnliche Dinge können durch Skripte oder 3rd-Party-Programme erreicht werden, wie ein Gymnasiallehrer einmal sagte: „Keep It Simple Stupid“ (oder K.I.S.S.). Da dies alles nativ ist, wird alles von Microsoft unterstützt. Es fällt in Best Practices und erfordert wenig Verwaltungs-, Netzwerk- oder Serverressourcen. Fügen wir hinzu, dass es relativ schnell ist, DNS mit dieser Methode einzurichten und wiederherzustellen.
