But
Il y a quelques années, j’avais un client qui perdait ses bases de données DNS stockées dans AD. Ils m’ont demandé s’il existait un moyen de récupérer ces données sans effectuer de restauration faisant autorité. Cela m’a amené à penser à ce que nous pourrions utiliser en natif pour DNS qui pourrait fournir des sauvegardes et des restaurations qui seraient affectées le moins possible par Active Directory. J’ai pu trouver une solution pour eux que j’ai utilisée chez tous les clients depuis. Cet article vise à partager avec vous cette méthode et à expliquer pourquoi elle a été si efficace.
Défi
Lorsque nous intégrons une zone DNS dans Active Directory, la base de données DNS est stockée dans la base de données AD. C’est une fonction phénoménale du DNS de Microsoft, car elle fournit un niveau de tolérance aux pannes et de disponibilité du DNS qui n’a pas d’égal à ce jour. Sans oublier, cela nous permet de profiter d’autres services que AD a à offrir (p. ex.- Sécurité des enregistrements DNS, contrôle d’accès, control).
L’inconvénient de ceci est que si la base de données DNS est corrompue, les données doivent suivre la même méthode de restauration que la base de données Active Directory elle-même. Cela peut entraîner le redémarrage du contrôleur de domaine et l’exécution d’une restauration faisant autorité. Cela peut prendre du temps et être douloureux pour tout administrateur ou organisation. De plus, il n’existe pas de méthode facile pour sauvegarder uniquement la base de données DNS de AD.
Sauvegardes simples
Afin de surmonter les limitations standard avec la sauvegarde et la récupération du DNS, je suggère quelques étapes simples. Le service DNS lui-même a vraiment très peu de frais généraux. N’importe quel ordinateur de votre réseau peut gérer l’exécution du service, et c’est exactement ce que je prévois. Afin de fournir une sauvegarde simple de la base de données DNS, il suffit de configurer DNS sur un serveur membre. Vous ne devez pas pointer de serveurs ou de clients vers ce serveur DNS, et vous pouvez même aller aussi loin pour bloquer les requêtes DNS.
Le serveur membre ne sera pas un contrôleur de domaine, il ne peut donc pas intégrer DNS dans AD. Cela nous laissera les options de zones DNS autonomes primaires et secondaires qui peuvent être configurées sur ce serveur. La grande partie des zones DNS autonomes dans Microsoft DNS, c’est qu’elles écrivent la base de données dans un fichier texte. Ce fichier texte se trouve dans le dossier %systemroot%system32dns sous le nom de la ou des zones que vous avez configurées. Si nous utilisons ensuite ce serveur membre pour créer une zone secondaire de chaque zone intégrée aux ANNONCES dans notre environnement, le serveur membre utilisera la réplication DNS normale (au lieu de la réplication des annonces) pour transférer la zone localement et l’enregistrer dans un fichier texte. Le fichier texte peut ensuite être sauvegardé ou copié régulièrement. Ce fichier est naturellement minuscule, et encore plus petit lorsqu’il est compressé, donc je recommande généralement un script simple pour copier le fichier quotidiennement (en utilisant la date dans le nom du fichier) et conserver un historique des fichiers.
Restauration
Maintenant que vous avez une sauvegarde (et sous une forme que vous pouvez manipuler facilement si vous le souhaitez), faisons comme si votre DNS intégré à l’AD était corrompu d’une manière ou d’une autre (probablement à cause d’un problème de réplication ou vous n’avez peut-être pas configuré correctement le balayage: Lien). Comment pouvons-nous maintenant utiliser cette sauvegarde DNS ?
C’est en fait très simple. La première chose à faire est d’identifier une « bonne » copie de la (des) zone(s) à partir des sauvegardes que nous avons prises. Une fois que nous avons ce(s) fichier (s), nous devons le placer sur un contrôleur de domaine à partir duquel les modifications se répliqueraient le plus rapidement (ou en d’autres termes à partir duquel le domaine convergerait le plus rapidement).
Ensuite, vous allez supprimer la zone AD intégrée. Choisissez un contrôleur de domaine qui semble se trouver à l’emplacement le plus approprié pour accélérer la réplication (probablement le même serveur sur lequel nous avons copié le fichier de base de données DNS de sauvegarde) et supprimez toutes les zones DNS corrompues. Attendez que la réplication se produise ou forcez la réplication pour accélérer le processus.
Une fois que la réplication a eu lieu et que vous êtes sûr que la zone a été supprimée de l’environnement, ajoutez simplement la ou les zones au contrôleur de domaine sélectionné, sauf que cette fois, configurez-les en tant que zones autonomes principales. Après cela, arrêtez le service DNS. Copiez les fichiers de sauvegarde du serveur membre dans le dossier %systemroot%system32dns en écrasant tous les fichiers qui s’y trouvent. Une fois les fichiers copiés, redémarrez DNS sur le contrôleur de domaine, puis changez le ou les types de zone de « Primaire -Autonome » à « Primaire – AD intégré ». Maintenant, asseyez-vous, attendez que la réplication se produise et que la fonctionnalité DNS soit restaurée (ou accélérez les choses en forçant à nouveau la réplication).
Résumé
Ma partie préférée de cette solution est qu’elle est native du DNS. Des choses similaires peuvent être accomplies par le biais de scripts ou de programmes tiers, comme un professeur de gym du secondaire a dit un jour « Keep It Simple Stupid » (ou K.I.S.S.). Parce que tout cela est natif, tout est pris en charge par Microsoft. Il s’inscrit dans les meilleures pratiques et nécessite peu de ressources administratives, réseau ou serveur pour y parvenir. Ajoutons également qu’il est relativement rapide à la fois pour la configuration et pour restaurer le DNS en utilisant cette méthode.