One way to backup and “restore” AD DNS zones

By Andrei Ungureanu - Last updated: Thursday, May 27, 2010 - Save & Share - Leave a Comment

Prin cautarile mele pe net gasisem o metoda interesanta de a face restore la zona DNS AD integrated ce corespunde domeniului AD si m-am gandit sa o explic putin. Locul in care am gasit aceasta metoda nu il mai retin insa o sa incerc eu sa explic cum se face si de ce eu nu as face asa 🙂

Dupa cum stiti fiecare domeniu AD are asociata si o zona DNS folosita in special pentru a localiza serviciile si sistemele din domeniu.

In majoritatea cazurilor aceasta zona este de tipul AD Integrated (poate fi si standard) adica zona e stocata in AD, replicata pe toate DC-urile, si incarcata automat la pornirea serviciului DNS. Fiind stocata in AD, backup-ul zonei este integrat in backup-ul de AD (systemstate) si bineinteles ca si restore-ul urmareste aceeasi procedura. Problema cu restore-ul de AD e ca trebuie sa restartezi DC-ul in modul de restore si in unele cazuri poate fi destul de neplacut. Plus ca trebuie sa faci restore la intreg systemstate-ul.

Deci, ce metoda mai buna de restore as avea daca accidental sterg zona sau o parte din ea?

Ideea ar fi sa creez o zona de tip standard secondary pe un alt server Windows:

 

image

image

image

Setez ca serverul sa traga o copie a zonei de pe un DNS server existent (domain controller).

image

Si pe serverul care are deja zona setez “allow zone transfers” sa imi permita transferuri catre noul server.

image

La scurt timp pot vedea o copie a zonei pe noul server:

image

Zona fiind de tip standard, o gasim aici:

image

Iar continutul arata cam asa:

image

Acest fisier se updateaza pe baza informatiilor din zona din AD, deci va fi necesar sa ii facem un backup schedulat. Nu o sa mai detaliez procesul pentru ca e banal.

Acum sa explic si in ce ar consta procesul de restore. Considerand ca informatiile din zona din AD au “disparut”, luam fisierul cu numele zonei de pe noul server, il copiem pe un DC unde facem urmatoarele:

-stergem zona existenta

-o recream cu acelasi nume dar de nu AD Integrated. In felul acesta zona va fi stocata in %windir%\system32\dns\

-inlocuim fisierul cu numele zonei folosind fisierul de pe serverul de backup

-schimbam modul de storage din nou ca AD Integrated

image

Nu spun ca e cea mai buna metoda, ci doar un mod de a realiza ceva. Acum daca stau sa ma gandesc as gasi metode chiar mai bune. As putea face backup-ul in felul urmator:

– schimb temporar zona de pe DC in standard primary

– fac backup

– schimb la loc in AD Integrated

Problema care o vad eu cu toate aceste metode, e cu permisiunile pe inregistrari. In momentul in care zona ajunge in AD, fiecare inregistrare de acolo reprezinta un obiect in AD cu ACL-uri la fel ca orice alt obiect. Daca ai apucat sa te folosesti de aceste ACL-uri (iar unele servicii se folosesc automat) atunci toate aceste proceduri iti vor sterge ACL-urile and it sucks!

Tocmai din cauza asta recomand ca restore-ul sa se faca via systemstate pe cat posibil.

Si ar mai fi si alte metode de a face backup/restore la zonele DNS. Dar … data viitoare.

Posted in Active Directory • Tags: Top Of Page

Write a comment