Kuddel071089 6 Posted August 4 Report Share Posted August 4 Hallo zusammen, aktuell läuft auf einem unserer DCs ein Task, der alle DNS Zonen sichert und auf die Backups zur Sicherheit auf alle DCs verteilt. Problem an der Geschichte ist, dass der Task mit meinem persönlichen Domain-Admin ausgeführt wird. Ich habe jetzt einen User "DNS-Backup" eingerichtet, der das Ganze machen soll. Der Export der Zonen funktionert auch (Export-DNSServerZones), allerdings weiß ich jetzt nicht, wie ich an die Backup Datein ran komme. Export-DnsServerZone -ComputerName DC1 -Name "testomain.xxxxxx.de" -FileName "testomain.xxxxxx.de" Die Backups werden in dem Fall ja auf dem DC1 unter C:\Windows\System32\DNS gespeichert. Wie komme ich da jetzt mit dem SystemUser ohne DomainAdmin rechte ran? C:\Windows\System32\DNS freigeben kann ja auch nicht zielführend sein. Am Ende soll das Ganze so aussehen: -Das Skript läuft auf einem Skript Server und nicht auf einem DC -Alle Zonnen werden exportiert, auf alle DCs verteil und alle in C:\Windows\System32\DNS gelöscht Hat jemand eine Idee und kann helfen? Quote Link to comment
BOfH_666 401 Posted August 4 Report Share Posted August 4 vor 7 Minuten schrieb Kuddel071089: Die Backups werden in dem Fall ja auf dem DC1 unter C:\Windows\System32\DNS gespeichert. Den Pfad kannst Du doch aber ganz nach Belieben anpassen ... vor 8 Minuten schrieb Kuddel071089: Wie komme ich da jetzt mit dem SystemUser ohne DomainAdmin rechte ran? Der SystemUser hat auf der lokalen Maschine üblicherweise auf nahezu ALLES Zugriff. vor 10 Minuten schrieb Kuddel071089: -Alle Zonnen werden exportiert, auf alle DCs verteil Wozu eigentlich? vor 10 Minuten schrieb Kuddel071089: und alle in C:\Windows\System32\DNS gelöscht Das ist ja nur nötig, wenn Du sie dort speicherst ... was ich aber eher nicht empfehlen würde. 1 Quote Link to comment
NilsK 1,903 Posted August 4 Report Share Posted August 4 (edited) Moin, Zunächst sollten wir mal klären, warum du die DNS-Zonen überhaupt separat sicherst. Sind die nicht AD-integriert? Falls nein, wäre es eine Alternative, sie ins AD zu integrieren? Dann sind sie im AD-Backup enthalten und lassen sich darüber auch wiederherstellen. Gruß, Nils Edited August 4 by NilsK 1 Quote Link to comment
Kuddel071089 6 Posted August 4 Author Report Share Posted August 4 @NilsK es sind AD-integrierte Zonen und ein AD-Backup haben wir auch. Vor 3 Jahren hatten wir einen komplette DNS Ausfall und musste alle Zonen wiedeherstellen. Da hat uns ein Linux DNS geholfen, worauf alle Einträge vom Windows weitergelitet werden. Die AD als solche lief noch, sodass wir uns gegen einen AD-Restore und für einen Zonen-Restore entschieden haben (in Abstimmung mit Microsoft). Jetzt würde wir gerne die Möglichkeit haben, einzelne DNS Zonen schnell wiederherzustellen. @BOfH_666 Beim CMD-let Export-DNSServerZone kann man nur einen Filename. aber keine Path angeben Mit SystemUser meine ich nicht SYSTEM sondern den von mir erstellten User "DNS-Backup" Verteilung aud alle DCs, damit ein Restore der Zonen von jedem DC möglich ist Quote Link to comment
NorbertFe 836 Posted August 4 Report Share Posted August 4 vor 12 Minuten schrieb Kuddel071089: Jetzt würde wir gerne die Möglichkeit haben, einzelne DNS Zonen schnell wiederherzustellen. Hast du doch. Stehen im systembackup mit drin. Und deine Linux Zone hilft dir ja auch nur bedingt, weil da die ganzen Berechtigungen auf die Einträge fehlen. Quote Link to comment
BOfH_666 401 Posted August 4 Report Share Posted August 4 (edited) vor 15 Minuten schrieb Kuddel071089: Beim CMD-let Export-DNSServerZone kann man nur einen Filename. aber keine Path angeben Dazu meint die Docu aber etwas anderes ... Zitat -FileName Specifies a name for the export file. You can include a file path. Davon unabhängig könntest Du einfach ein gewünschtes Verzeichnis mittels Push-Location oder Set-Location als aktuelles Arbeitsverzeichnis setzen und dann landet die exportierte Datei auch dort. vor 15 Minuten schrieb Kuddel071089: Mit SystemUser meine ich nicht SYSTEM sondern den von mir erstellten User "DNS-Backup" Dann musst Du halt diesen Benutzer dort berechtigen, wo er Zugriff haben soll. vor 15 Minuten schrieb Kuddel071089: Verteilung aud alle DCs, damit ein Restore der Zonen von jedem DC möglich ist ... und dafür muss das Backup jederzeit auf dem lokalen Computer vorliegen? ... man könnte es also nicht im Fall der Fälle vorher von einem zentralen Share an die gewünschte Stelle kopieren? Ansonsten wär ich eher bei Nils ... Edited August 4 by BOfH_666 Quote Link to comment
Kuddel071089 6 Posted August 4 Author Report Share Posted August 4 Vielen Dank für die fixe hilfe. Ich werde mir den Restore aus dem AD Backup mal anschauen und weitertesten Quote Link to comment
cj_berlin 614 Posted August 4 Report Share Posted August 4 vor 44 Minuten schrieb Kuddel071089: Die AD als solche lief noch, sodass wir uns gegen einen AD-Restore und für einen Zonen-Restore entschieden haben (in Abstimmung mit Microsoft). Das Wording dieser Empfehlung von Microsoft hätte ich gern gelesen 1 1 Quote Link to comment
NilsK 1,903 Posted August 4 Report Share Posted August 4 Moin, Vor allem sollte man berücksichtigen, dass es nicht auf das Backup ankommt, sondern auf das Recovery. Mir wäre jetzt nicht klar, was du in welcher Situation aus deinen Exporten wiederherstellen willst. Und wozu du diese dann auf mehreren DCs bräuchtest. Vielleicht hast du da eine konkrete Idee, aber zumindest mir ist so eine Anforderung noch nie über den Weg gelaufen. Gruß, Nils Quote Link to comment
Kuddel071089 6 Posted August 5 Author Report Share Posted August 5 Hallo zusammen, das Verteilern der Zonen Backups auf alle DCs macht auf jeder Fall nicht so wirklich Sinn, da habt ihr Recht. Es reicht natürlich, wenn die Exporte auf einem zentralen Server (nicht DC) liegen. Bleibt die Frage, wie kommen die Exporte ohne Doamin Admin Rechte des System-Users "DNS-Backup" da hin. @BOfH_666 die Doku sagt bei "-FileName" zwar, dass man einen kompletten Pfad angeben kann, aber das funktioniert nicht. Man kann nur den Dateinamen angeben, da der Export immer in C:\Windows\System32\dns landet @NilsK Der Anwendungsfall ist, dass alle Einträge in den Zonen weg sind (wie 2019). Dann könnte man über den Export die komplette Zone wiederherstellen Quote Link to comment
cj_berlin 614 Posted August 5 Report Share Posted August 5 (edited) Moin, ja, das ist ein bekannter BugFehler in der Doku. Die Doku sagt zwar, man kann einen Pfad angeben, aber er nimmt nur Dateinamen. Dann fährst Du dein Skript halt als System und definierst auf dem zentralen Server eine Freigabe, in die Domain Controller schreiben dürfen. Edited August 5 by cj_berlin Quote Link to comment
Kuddel071089 6 Posted August 5 Author Report Share Posted August 5 vor 10 Minuten schrieb cj_berlin: Moin, ja, das ist ein bekannter BugFehler in der Doku. Die Doku sagt zwar, man kann einen Pfad angeben, aber er nimmt nur Dateinamen. Dann fährst Du dein Skript halt als System und definierst auf dem zentralen Server eine Freigabe, in die Domain Controller schreiben dürfen. Ja auf die Idee bin ich auch gerade gekommen. Scheint zu funktionieren Quote Link to comment
NorbertFe 836 Posted August 5 Report Share Posted August 5 vor 49 Minuten schrieb Kuddel071089: Dann könnte man über den Export die komplette Zone wiederherstellen Ohne Berechtigungen, die wären ja schon durch den Export nicht mehr gegeben. Wenn das egal ist, dann ok, aber andererseits stehen die Zonen nun auch mal im ad Backup drin. ;) Quote Link to comment
Kuddel071089 6 Posted August 5 Author Report Share Posted August 5 Gerade eben schrieb NorbertFe: Ohne Berechtigungen, die wären ja schon durch den Export nicht mehr gegeben. Wenn das egal ist, dann ok, aber andererseits stehen die Zonen nun auch mal im ad Backup drin. ;) Wir machen von unseren DCs ein BareMetalBackup. Kann man denn die DNS Zonen alleine Restoren, oder muss man das komeplette AD wiederherstellen? Quote Link to comment
cj_berlin 614 Posted August 5 Report Share Posted August 5 Ich habe die Anpassung der Doku angestoßen. 2 1 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.