Scopo
Alcuni anni fa ho avuto un cliente che ha perso i loro database DNS che sono stati memorizzati in AD. Mi hanno chiesto se c’era un modo per recuperare questi dati senza eseguire un ripristino autorevole. Questo mi ha fatto pensare a cosa potremmo usare nativo per DNS che potrebbe fornire backup e ripristini che sarebbero influenzati da Active Directory il meno possibile. Sono stato in grado di trovare una soluzione per loro che ho usato in ogni cliente da allora. Questo articolo ha lo scopo di condividere con voi questo metodo e spiegare perché è stato così efficace.
Sfida
Quando integriamo una zona DNS in Active Directory, il database DNS viene memorizzato all’interno del database AD. Questa è una funzione fenomenale di Microsoft DNS, in quanto fornisce un livello di tolleranza ai guasti e la disponibilità di DNS che fino ad oggi non ha eguali. Per non parlare, ci permette di usufruire di altri servizi che AD ha da offrire (cioè- DNS record di sicurezza, controllo degli accessi,…).
Lo svantaggio di questo è che se il database DNS è danneggiato, i dati devono seguire lo stesso metodo di ripristino richiesto dal database di Active Directory stesso. Ciò può comportare il riavvio del controller di dominio e l’esecuzione di un ripristino autorevole. Questo può richiedere molto tempo, e doloroso per qualsiasi amministratore o organizzazione. Inoltre, non esiste un metodo semplice per eseguire il backup solo del database DNS da AD.
Backup semplici
Per superare le limitazioni standard con il backup e il ripristino del DNS, suggerisco alcuni semplici passaggi. Il servizio DNS stesso ha davvero poco overhead. Qualsiasi computer nella tua rete può gestire l’esecuzione del servizio, e questo è proprio quello che sto pianificando. Al fine di fornire un semplice backup del database DNS, basta impostare DNS su un server membro. Non si dovrebbe puntare alcun server o client a questo server DNS, e potrebbe anche andare fino a bloccare le richieste DNS di colpire la casella.
Il server membro non sarà un controller di dominio, quindi non può integrare DNS in AD. Questo ci lascerà con le opzioni di zone DNS standalone primarie e secondarie che possono essere configurate su questo server. La gran parte delle zone DNS autonome in Microsoft DNS è che scrivono il database in un file di testo. Questo file di testo si trova nella cartella % systemroot % system32dns sotto il nome delle zone configurate. Se poi usiamo questo server membro per creare un secondario di ogni zona AD-integrato nel nostro ambiente, il server membro utilizzerà replica DNS normale (invece di replica AD) per trasferire la zona localmente e salvarlo in un file di testo. Il file di testo può quindi essere eseguito il backup o copiato su base regolare. Questo file è naturalmente piccolo, e ancora più piccolo quando compresso, quindi in genere consiglio un semplice script per copiare il file ogni giorno (usando la data nel nome del file) e mantenere una cronologia dei file.
Ripristino
Quindi ora hai un backup (e in una forma che puoi manipolare facilmente se lo desideri), facciamo finta che il tuo DNS AD-Integrated venga danneggiato in qualche modo (probabilmente a causa di un problema di replica o potresti non aver impostato correttamente lo scavenging: Link). Come possiamo ora utilizzare questo backup DNS?
Questo è in realtà molto semplice. La prima cosa da fare è identificare una copia “buona” delle zone dai backup che abbiamo preso. Una volta che abbiamo questo file, dovremmo posizionarlo su un controller di dominio da cui le modifiche replicherebbero il più veloce(o in altre parole da cui il dominio convergerebbe il più veloce).
Successivamente si elimina la zona AD-integrato. Scegliere un controller di dominio che sembra essere nella posizione più appropriata per la replica da accelerare (probabilmente lo stesso server abbiamo copiato il file di database DNS di backup), e rimuovere qualsiasi delle zone DNS che sono danneggiati. Attendere che si verifichi la replica o forzare la replica per accelerare il processo.
Una volta che si è verificata la replica e si è certi che la zona sia stata rimossa dall’ambiente, è sufficiente aggiungere le zone al controller di dominio selezionato, tranne che questa volta configurarle come zone standalone primarie. Dopo aver eseguito questa operazione, interrompere il servizio DNS. Copiare i file di backup dal server membro nella cartella % systemroot % system32dns sovrascrivendo qualsiasi file lì. Una volta copiati i file, riavviare il DNS sul controller di dominio, quindi modificare i tipi di zona da “Primary-Standalone” a “Primary-AD integrated”. Ora siediti, attendi che si verifichi la replica e che la funzionalità DNS venga ripristinata (o sbrigati forzando di nuovo la replica).
Riepilogo
La mia parte preferita di questa soluzione è che è nativa del DNS. Cose simili possono essere realizzate attraverso script o programmi di terze parti, come un insegnante di ginnastica delle scuole superiori ha detto una volta” Keep It Simple Stupid ” (o K. I. S. S.). Poiché questo è tutto nativo, è tutto supportato da Microsoft. Rientra nelle best practice e richiede poche risorse amministrative, di rete o server da realizzare. Aggiungiamo anche che è relativamente veloce sia per l’installazione che per il ripristino del DNS utilizzando questo metodo.