ett snyggt Trick för att säkerhetskopiera Annonsintegrerade DNS-zoner

DNS av Jared Crandall den Dec 2013

syfte

för några år sedan hade jag en kund som förlorade sina DNS-databaser som lagrades i AD. De frågade mig om det fanns något sätt att återställa dessa data utan att utföra en auktoritativ återställning. Det fick mig att tänka på vad vi kunde använda infödda till DNS som kan ge säkerhetskopior och åter som skulle påverkas av Active Directory så lite som möjligt. Jag kunde komma med en lösning för dem som jag har använt hos varje kund sedan dess. Den här artikeln syftar till att dela med dig den här metoden och förklara varför den har varit så effektiv.

utmaning

när vi integrerar en DNS-zon i Active Directory lagras DNS-databasen i ANNONSDATABASEN. Detta är en fenomenal funktion av Microsoft DNS, eftersom det ger en nivå av feltolerans och tillgänglighet till DNS som till denna dag inte är lika. För att inte tala om, det gör det möjligt för oss att dra nytta av andra tjänster som AD har att erbjuda (dvs.- DNS-rekord säkerhet, åtkomstkontroll,…).

nackdelen med detta är att om DNS-databasen är skadad måste data följa samma återställningsmetod som Active Directory-databasen själv kräver. Detta kan innebära att du startar om domänkontrollanten och utför en auktoritativ återställning. Detta kan vara tidskrävande och smärtsamt för någon administratör eller organisation. Dessutom finns det ingen enkel metod att säkerhetskopiera bara DNS-databasen från AD.

enkla säkerhetskopior

för att övervinna standardbegränsningarna med säkerhetskopiering och återställning av DNS föreslår jag några enkla steg. DNS-tjänsten i sig har verkligen mycket lite overhead. Alla datorer i ditt nätverk kan hantera att köra tjänsten, och det är precis vad jag planerar för. För att ge enkel säkerhetskopiering av DNS-databasen, bara ställa DNS på en medlemsserver. Du bör inte peka några servrar eller klienter till denna DNS-server, och kan även gå så långt för att blockera DNS-förfrågningar från att träffa rutan.

medlemsservern kommer inte att vara en domänkontrollant, så den kan inte integrera DNS i AD. Detta ger oss alternativen för primära och sekundära fristående DNS-zoner som kan konfigureras på den här servern. Den stora delen om fristående DNS-zoner i Microsoft DNS, är att de skriver ut databasen till en textfil. Den här textfilen finns i mappen % systemroot % system32dns under namnet på den eller de zoner du har konfigurerat. Om vi sedan använder den här medlemsservern för att skapa en sekundär av varje Annonsintegrerad zon i vår miljö använder medlemsservern normal DNS-replikering (istället för ANNONSREPLIKATION) för att överföra zonen lokalt och spara den i en textfil. Textfilen kan sedan säkerhetskopieras eller kopieras regelbundet. Den här filen är naturligtvis liten och ännu mindre när den komprimeras, så jag rekommenderar vanligtvis ett enkelt skript för att kopiera filen dagligen (med datumet i filnamnet) och behålla en del historia av filer.

restaurering

så nu har du en säkerhetskopia (och i en form som du enkelt kan manipulera om du väljer det), låt oss låtsas att din ANNONSINTEGRERADE DNS blir skadad på något sätt (förmodligen på grund av ett replikeringsproblem eller du kanske inte har installationen som rensar korrekt: länk). Hur kan vi nu använda denna DNS-säkerhetskopiering?

Detta är faktiskt riktigt enkelt. Det första du behöver göra är att identifiera en ”bra” kopia av zonen(erna) från de säkerhetskopior som vi har tagit. När vi har den här filen / filerna bör vi placera den på en domänkontrollant från vilken ändringar skulle replikera snabbast (eller med andra ord från vilka domänen skulle konvergera snabbast).

därefter tar du bort den ANNONSINTEGRERADE zonen. Välj en domänkontrollant som verkar vara på den lämpligaste platsen för replikering som ska påskyndas (sannolikt samma server som vi kopierade backup DNS-databasfilen till) och ta bort någon av DNS-zonerna som är skadade. Vänta tills replikering inträffar eller tvinga replikering för att påskynda processen.

när replikering har inträffat och du är säker på att zonen har tagits bort från miljön, lägg bara till zonen(erna) tillbaka till den valda domänkontrollanten, förutom den här gången konfigurera dem som primära fristående zoner. När du har gjort det, stoppa DNS-tjänsten. Kopiera säkerhetskopiorna från medlemsservern till mappen %systemroot%system32dns som skriver över alla filer där. När filerna har kopierats startar du om DNS på domänkontrollanten och ändrar sedan zontypen(erna) från” primär-fristående ”till”Primär-ad integrerad”. Luta dig tillbaka, vänta på att replikering ska inträffa och att DNS-funktionaliteten återställs (eller skynda på saker genom att tvinga replikering igen).

sammanfattning

min favorit del av denna lösning är att den är inbyggd i DNS. Liknande saker kan åstadkommas genom skript eller 3: e partiprogram, genom att en gymnasielärare en gång sa ”Keep It Simple Stupid” (eller Kiss). Eftersom detta är alla infödda, det är alla stöds av Microsoft. Det faller inom bästa praxis och kräver lite administrativa, nätverks-eller serverresurser för att uppnå. Låt oss också lägga till att det är relativt snabbt att både installera och återställa DNS med den här metoden.

Write a Comment

Din e-postadress kommer inte publiceras.