doel
een paar jaar geleden had ik een klant die zijn DNS-databases verloor die in AD waren opgeslagen. Ze vroegen me of er een manier was om deze gegevens te herstellen zonder het uitvoeren van een gezaghebbende herstellen. Dat zette me aan het denken over wat we kunnen gebruiken native DNS die back-ups en herstelt die zou worden beïnvloed door Active Directory zo weinig mogelijk. Ik was in staat om te komen met een oplossing voor hen die ik heb gebruikt bij elke klant sinds. Dit artikel is gericht op het delen met u deze methode, en uit te leggen waarom het zo effectief is geweest.
Challenge
wanneer we een DNS-zone in Active Directory integreren, wordt de DNS-database opgeslagen in de AD-database. Dit is een fenomenale functie van Microsoft DNS, omdat het een niveau van fouttolerantie en beschikbaarheid voor DNS biedt dat tot op de dag van vandaag geen gelijke heeft. Niet te vergeten, het stelt ons in staat om te profiteren van andere diensten die AD te bieden heeft (d.w.z.- DNS record beveiliging, toegangscontrole,…).
het nadeel hiervan is dat als de DNS-database beschadigd is, de gegevens dezelfde herstelmethode moeten volgen die de Active Directory-database zelf vereist. Dit kan inhouden dat de domeincontroller opnieuw moet worden opgestart en een gezaghebbende hersteloperatie moet worden uitgevoerd. Dit kan tijdrovend en pijnlijk zijn voor elke beheerder of organisatie. Bovendien is er geen eenvoudige methode om een back-up te maken van alleen de DNS-database van AD.
eenvoudige back-ups
om de standaardbeperkingen met de back-up en het herstel van DNS te overwinnen, stel ik een paar eenvoudige stappen voor. De DNS-service zelf heeft echt heel weinig overhead. Elke computer in uw netwerk kan omgaan met het uitvoeren van de service, en dat is precies wat ik van plan ben voor. Om een eenvoudige back-up van de DNS-database te bieden, hoeft u alleen maar DNS op een lidserver in te stellen. Je moet geen servers of clients naar deze DNS-server wijzen, en zou zelfs zo ver kunnen gaan om DNS-verzoeken te blokkeren.
de lidserver is geen domeincontroller, dus kan DNS niet in AD worden geïntegreerd. Dit laat ons met de opties van de primaire en secundaire standalone DNS-zones die kunnen worden geconfigureerd op deze server. Het grote deel over stand-alone DNS-zones in Microsoft DNS, is dat ze schrijven de database naar een tekstbestand. Dit tekstbestand bevindt zich in de map %systemroot%system32dns onder de naam van de zone(s) die u hebt geconfigureerd. Als we deze lidserver vervolgens gebruiken om een secundaire van elke met advertenties geïntegreerde zone in onze omgeving te maken, gebruikt de lidserver normale DNS-replicatie (in plaats van AD-replicatie) om de zone Lokaal over te dragen en op te slaan in een tekstbestand. Het tekstbestand kan dan regelmatig worden geback-upt of gekopieerd. Dit bestand is van nature klein, en zelfs kleiner wanneer gecomprimeerd, dus ik meestal raden een eenvoudig script om het bestand dagelijks te kopiëren (met behulp van de datum in de bestandsnaam) en een aantal geschiedenis van bestanden te houden.
Restoration
dus nu heb je een back-up (en in een vorm die je gemakkelijk kunt manipuleren als je daarvoor kiest), laten we doen alsof je AD-geà ntegreerde DNS op de een of andere manier beschadigd raakt (waarschijnlijk door een replicatieprobleem of je hebt misschien niet de juiste setup-opruiming: Link). Hoe kunnen we nu deze DNS backup gebruiken?
dit is eigenlijk heel eenvoudig. Het eerste wat je moet doen is een “goede” kopie van de zone(s) te identificeren van de back-ups die we hebben genomen. Zodra we dit bestand(en) hebben, moeten we het op een domeincontroller plaatsen van waaruit wijzigingen het snelst zouden repliceren (of met andere woorden van waaruit het domein het snelst zou convergeren).
vervolgens verwijdert u de AD-geïntegreerde zone. Kies een domeincontroller die zich op de meest geschikte locatie voor replicatie lijkt te bevinden (waarschijnlijk dezelfde server waarnaar we de back-up van het DNS-databasebestand hebben gekopieerd) en verwijder alle beschadigde DNS-zones. Wacht tot replicatie plaatsvindt of forceer replicatie om het proces te versnellen.
zodra de replicatie heeft plaatsgevonden en u er zeker van bent dat de zone uit de omgeving is verwijderd, voegt u de zone(s) gewoon toe aan de geselecteerde domeincontroller, behalve dat u deze keer als primaire standalone zones moet configureren. Nadat u dit doet, stopt u de DNS-service. Kopieer de back-upbestanden van de lidserver naar de map %systemroot%system32dns die alle bestanden daar overschrijft. Zodra de bestanden zijn gekopieerd herstart DNS op de domeincontroller, verander dan het zonetype(s) van “Primary-Standalone” naar “Primary-AD integrated”. Leun nu achterover en wacht tot replicatie plaatsvindt en DNS-functionaliteit wordt hersteld (of haast dingen door replicatie opnieuw te forceren).
samenvatting
mijn favoriete deel van deze oplossing is dat het native is in DNS. Soortgelijke dingen kunnen worden bereikt door middel van scripts of 3rd-party programma ‘ s, door als een middelbare school gym leraar ooit zei “Keep It Simple Stupid” (of K. I. S. S.). Omdat dit allemaal native is, wordt het allemaal ondersteund door Microsoft. Het valt binnen best practices en vereist weinig administratieve, netwerk-of serverbronnen om te bereiken. Laten we ook toevoegen dat het relatief snel is om zowel de installatie en om DNS te herstellen met behulp van deze methode.