a remek trükk, hogy biztonsági mentést AD integrált DNS zónák

DNS Jared Crandall December 2013

cél

néhány évvel ezelőtt volt egy ügyfelem, aki elvesztette az AD-ben tárolt DNS-adatbázisait. Megkérdezték tőlem, hogy van-e mód az adatok helyreállítására hiteles visszaállítás nélkül. Ez elgondolkodtatott azon, hogy mit használhatnánk a natív DNS-hez, amely biztonsági mentéseket és visszaállításokat biztosíthat, amelyeket az Active Directory a lehető legkisebb mértékben érintene. Tudtam, hogy dolgozzon ki egy megoldást számukra, hogy én használtam minden ügyfél óta. Ez a cikk célja, hogy megosszák veled ezt a módszert, és elmagyarázza, miért volt olyan hatékony.

kihívás

amikor DNS-zónát integrálunk az Active Directoryba, a DNS-adatbázis az AD-adatbázisban tárolódik. Ez a Microsoft DNS fenomenális funkciója, mivel olyan szintű hibatűrést és rendelkezésre állást biztosít a DNS számára, amely a mai napig nem egyenlő. Nem is beszélve arról, hogy lehetővé teszi számunkra, hogy kihasználjuk az AD által kínált egyéb szolgáltatásokat (pl.- DNS rekord biztonság, hozzáférés-vezérlés,…).

ennek hátránya, hogy ha a DNS-adatbázis sérült, az adatoknak ugyanazt a helyreállítási módszert kell követniük, amelyet maga az Active Directory-adatbázis igényel. Ez magában foglalhatja a tartományvezérlő újraindítását és egy hiteles Visszaállítás végrehajtását. Ez időigényes és fájdalmas lehet bármely adminisztrátor vagy szervezet számára. Ezenkívül nincs egyszerű módszer a DNS-adatbázis mentésére az AD – ből.

egyszerű biztonsági mentések

a DNS biztonsági mentésével és helyreállításával kapcsolatos szabványos korlátozások leküzdése érdekében néhány egyszerű lépést javasolok. Maga a DNS-szolgáltatás valóban nagyon kevés rezsi. A hálózat bármely számítógépe képes kezelni a szolgáltatás futtatását, és éppen ezt tervezem. A DNS-adatbázis egyszerű biztonsági mentésének biztosítása érdekében csak állítsa be a DNS-t egy tagkiszolgálón. Nem szabad egyetlen szervert vagy ügyfelet sem erre a DNS-kiszolgálóra irányítani, sőt akár olyan messzire is eljuthat, hogy megakadályozza a DNS-kérések bejutását a dobozba.

a tagkiszolgáló nem lesz tartományvezérlő, így nem tudja integrálni a DNS-t az AD-be. Ez lehetővé teszi számunkra az elsődleges és másodlagos önálló DNS-zónák beállításait, amelyeket ezen a szerveren konfigurálhatunk. A Microsoft DNS önálló DNS-zónáinak nagy része az, hogy az adatbázist szöveges fájlba írják. Ez a szövegfájl a %systemroot%system32dns mappában található, a konfigurált zóna(ok) neve alatt. Ha ezután ezt a tagkiszolgálót használjuk a környezetünkben lévő minden hirdetés-integrált zóna másodlagos létrehozásához, akkor a tagkiszolgáló normál DNS-replikációt használ (az AD-replikáció helyett) a zóna helyi átviteléhez és szöveges fájlba mentéséhez. A szövegfájlt ezután rendszeresen mentheti vagy másolhatja. Ez a fájl természetesen apró, és tömörítve még kisebb, ezért általában egy egyszerű szkriptet ajánlok a fájl napi másolásához (a fájlnévben szereplő dátum felhasználásával), és a fájlok előzményeinek megőrzéséhez.

Restoration

tehát most van egy biztonsági másolat (és olyan formában, hogy könnyen manipulálható, ha úgy dönt), tegyük fel, hogy a hirdetés-integrált DNS megsérül valahogy (valószínűleg azért, mert a replikációs probléma, vagy lehet, hogy nem setup takarító helyesen: Link). Hogyan használhatjuk most ezt a DNS-mentést?

ez valójában nagyon egyszerű. Az első dolog az, hogy azonosítsuk a zóna(ok) “jó” példányát az általunk készített biztonsági másolatokból. Miután megvan ez a fájl(ok), el kell helyeznünk egy tartományvezérlőre, ahonnan a változások a leggyorsabban replikálódnak (vagy más szavakkal, ahonnan a tartomány a leggyorsabban konvergál).

ezután törli a hirdetésbe integrált zónát. Válasszon egy tartományvezérlőt, amely úgy tűnik, hogy a legmegfelelőbb helyen van a replikáció felgyorsításához (valószínűleg ugyanazon a kiszolgálón, ahová a biztonsági DNS-adatbázisfájlt másoltuk), és távolítsa el a sérült DNS-zónákat. Várja meg a replikáció bekövetkezését, vagy kényszerítse a replikációt a folyamat felgyorsítására.

miután megtörtént a replikáció, és biztos benne, hogy a zóna eltávolításra került a környezetből, egyszerűen adja hozzá a zónákat a kiválasztott tartományvezérlőhöz, kivéve, ha ezúttal elsődleges önálló zónákként konfigurálja őket. Miután ezt megtette, állítsa le a DNS szolgáltatást. Másolja a biztonsági mentési fájlokat a tagkiszolgálóról a %systemroot%system32dns mappába, amely felülírja az ott található fájlokat. A fájlok másolása után indítsa újra a DNS-t a tartományvezérlőn, majd változtassa meg a zónatípus(oka) t “elsődleges-önálló”-ról “elsődleges-ad integrated” – re. Most dőljön hátra, várja meg, amíg a replikáció megtörténik, és a DNS-funkciók helyreállnak (vagy siessen a dolgok mentén a replikáció újbóli kényszerítésével).

Összegzés

kedvenc részem ebben a megoldásban az, hogy natív A DNS-hez. Hasonló dolgokat lehet elérni szkriptekkel vagy 3rd-party programokkal, mivel egy középiskolai tornatanár egyszer azt mondta:” tartsd egyszerűen hülyén ” (vagy K. I. S. S.). Mivel ez mind natív, mindezt a Microsoft támogatja. A legjobb gyakorlatok közé tartozik, és kevés adminisztratív, hálózati vagy szerver erőforrást igényel. Tegyük hozzá azt is, hogy viszonylag gyors mind a beállítás, mind a DNS visszaállítása ezzel a módszerrel.

Write a Comment

Az e-mail-címet nem tesszük közzé.