Kuddel071089 9 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 Hallo zusammen, aktuell läuft auf einem unserer DCs ein Task, der alle DNS Zonen sichert und auf die Backups zur Sicherheit auf alle DCs verteilt. Problem an der Geschichte ist, dass der Task mit meinem persönlichen Domain-Admin ausgeführt wird. Ich habe jetzt einen User "DNS-Backup" eingerichtet, der das Ganze machen soll. Der Export der Zonen funktionert auch (Export-DNSServerZones), allerdings weiß ich jetzt nicht, wie ich an die Backup Datein ran komme. Export-DnsServerZone -ComputerName DC1 -Name "testomain.xxxxxx.de" -FileName "testomain.xxxxxx.de" Die Backups werden in dem Fall ja auf dem DC1 unter C:\Windows\System32\DNS gespeichert. Wie komme ich da jetzt mit dem SystemUser ohne DomainAdmin rechte ran? C:\Windows\System32\DNS freigeben kann ja auch nicht zielführend sein. Am Ende soll das Ganze so aussehen: -Das Skript läuft auf einem Skript Server und nicht auf einem DC -Alle Zonnen werden exportiert, auf alle DCs verteil und alle in C:\Windows\System32\DNS gelöscht Hat jemand eine Idee und kann helfen? Zitieren
BOfH_666 586 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 vor 7 Minuten schrieb Kuddel071089: Die Backups werden in dem Fall ja auf dem DC1 unter C:\Windows\System32\DNS gespeichert. Den Pfad kannst Du doch aber ganz nach Belieben anpassen ... vor 8 Minuten schrieb Kuddel071089: Wie komme ich da jetzt mit dem SystemUser ohne DomainAdmin rechte ran? Der SystemUser hat auf der lokalen Maschine üblicherweise auf nahezu ALLES Zugriff. vor 10 Minuten schrieb Kuddel071089: -Alle Zonnen werden exportiert, auf alle DCs verteil Wozu eigentlich? vor 10 Minuten schrieb Kuddel071089: und alle in C:\Windows\System32\DNS gelöscht Das ist ja nur nötig, wenn Du sie dort speicherst ... was ich aber eher nicht empfehlen würde. 1 Zitieren
NilsK 3.019 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 (bearbeitet) Moin, Zunächst sollten wir mal klären, warum du die DNS-Zonen überhaupt separat sicherst. Sind die nicht AD-integriert? Falls nein, wäre es eine Alternative, sie ins AD zu integrieren? Dann sind sie im AD-Backup enthalten und lassen sich darüber auch wiederherstellen. Gruß, Nils bearbeitet 4. August 2022 von NilsK 1 Zitieren
Kuddel071089 9 Geschrieben 4. August 2022 Autor Melden Geschrieben 4. August 2022 @NilsK es sind AD-integrierte Zonen und ein AD-Backup haben wir auch. Vor 3 Jahren hatten wir einen komplette DNS Ausfall und musste alle Zonen wiedeherstellen. Da hat uns ein Linux DNS geholfen, worauf alle Einträge vom Windows weitergelitet werden. Die AD als solche lief noch, sodass wir uns gegen einen AD-Restore und für einen Zonen-Restore entschieden haben (in Abstimmung mit Microsoft). Jetzt würde wir gerne die Möglichkeit haben, einzelne DNS Zonen schnell wiederherzustellen. @BOfH_666 Beim CMD-let Export-DNSServerZone kann man nur einen Filename. aber keine Path angeben Mit SystemUser meine ich nicht SYSTEM sondern den von mir erstellten User "DNS-Backup" Verteilung aud alle DCs, damit ein Restore der Zonen von jedem DC möglich ist Zitieren
NorbertFe 2.236 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 vor 12 Minuten schrieb Kuddel071089: Jetzt würde wir gerne die Möglichkeit haben, einzelne DNS Zonen schnell wiederherzustellen. Hast du doch. Stehen im systembackup mit drin. Und deine Linux Zone hilft dir ja auch nur bedingt, weil da die ganzen Berechtigungen auf die Einträge fehlen. Zitieren
BOfH_666 586 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 (bearbeitet) vor 15 Minuten schrieb Kuddel071089: Beim CMD-let Export-DNSServerZone kann man nur einen Filename. aber keine Path angeben Dazu meint die Docu aber etwas anderes ... Zitat -FileName Specifies a name for the export file. You can include a file path. Davon unabhängig könntest Du einfach ein gewünschtes Verzeichnis mittels Push-Location oder Set-Location als aktuelles Arbeitsverzeichnis setzen und dann landet die exportierte Datei auch dort. vor 15 Minuten schrieb Kuddel071089: Mit SystemUser meine ich nicht SYSTEM sondern den von mir erstellten User "DNS-Backup" Dann musst Du halt diesen Benutzer dort berechtigen, wo er Zugriff haben soll. vor 15 Minuten schrieb Kuddel071089: Verteilung aud alle DCs, damit ein Restore der Zonen von jedem DC möglich ist ... und dafür muss das Backup jederzeit auf dem lokalen Computer vorliegen? ... man könnte es also nicht im Fall der Fälle vorher von einem zentralen Share an die gewünschte Stelle kopieren? Ansonsten wär ich eher bei Nils ... bearbeitet 4. August 2022 von BOfH_666 Zitieren
Kuddel071089 9 Geschrieben 4. August 2022 Autor Melden Geschrieben 4. August 2022 Vielen Dank für die fixe hilfe. Ich werde mir den Restore aus dem AD Backup mal anschauen und weitertesten Zitieren
cj_berlin 1.451 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 vor 44 Minuten schrieb Kuddel071089: Die AD als solche lief noch, sodass wir uns gegen einen AD-Restore und für einen Zonen-Restore entschieden haben (in Abstimmung mit Microsoft). Das Wording dieser Empfehlung von Microsoft hätte ich gern gelesen 1 1 Zitieren
NilsK 3.019 Geschrieben 4. August 2022 Melden Geschrieben 4. August 2022 Moin, Vor allem sollte man berücksichtigen, dass es nicht auf das Backup ankommt, sondern auf das Recovery. Mir wäre jetzt nicht klar, was du in welcher Situation aus deinen Exporten wiederherstellen willst. Und wozu du diese dann auf mehreren DCs bräuchtest. Vielleicht hast du da eine konkrete Idee, aber zumindest mir ist so eine Anforderung noch nie über den Weg gelaufen. Gruß, Nils Zitieren
Kuddel071089 9 Geschrieben 5. August 2022 Autor Melden Geschrieben 5. August 2022 Hallo zusammen, das Verteilern der Zonen Backups auf alle DCs macht auf jeder Fall nicht so wirklich Sinn, da habt ihr Recht. Es reicht natürlich, wenn die Exporte auf einem zentralen Server (nicht DC) liegen. Bleibt die Frage, wie kommen die Exporte ohne Doamin Admin Rechte des System-Users "DNS-Backup" da hin. @BOfH_666 die Doku sagt bei "-FileName" zwar, dass man einen kompletten Pfad angeben kann, aber das funktioniert nicht. Man kann nur den Dateinamen angeben, da der Export immer in C:\Windows\System32\dns landet @NilsK Der Anwendungsfall ist, dass alle Einträge in den Zonen weg sind (wie 2019). Dann könnte man über den Export die komplette Zone wiederherstellen Zitieren
cj_berlin 1.451 Geschrieben 5. August 2022 Melden Geschrieben 5. August 2022 (bearbeitet) Moin, ja, das ist ein bekannter BugFehler in der Doku. Die Doku sagt zwar, man kann einen Pfad angeben, aber er nimmt nur Dateinamen. Dann fährst Du dein Skript halt als System und definierst auf dem zentralen Server eine Freigabe, in die Domain Controller schreiben dürfen. bearbeitet 5. August 2022 von cj_berlin Zitieren
Kuddel071089 9 Geschrieben 5. August 2022 Autor Melden Geschrieben 5. August 2022 vor 10 Minuten schrieb cj_berlin: Moin, ja, das ist ein bekannter BugFehler in der Doku. Die Doku sagt zwar, man kann einen Pfad angeben, aber er nimmt nur Dateinamen. Dann fährst Du dein Skript halt als System und definierst auf dem zentralen Server eine Freigabe, in die Domain Controller schreiben dürfen. Ja auf die Idee bin ich auch gerade gekommen. Scheint zu funktionieren Zitieren
NorbertFe 2.236 Geschrieben 5. August 2022 Melden Geschrieben 5. August 2022 vor 49 Minuten schrieb Kuddel071089: Dann könnte man über den Export die komplette Zone wiederherstellen Ohne Berechtigungen, die wären ja schon durch den Export nicht mehr gegeben. Wenn das egal ist, dann ok, aber andererseits stehen die Zonen nun auch mal im ad Backup drin. ;) Zitieren
Kuddel071089 9 Geschrieben 5. August 2022 Autor Melden Geschrieben 5. August 2022 Gerade eben schrieb NorbertFe: Ohne Berechtigungen, die wären ja schon durch den Export nicht mehr gegeben. Wenn das egal ist, dann ok, aber andererseits stehen die Zonen nun auch mal im ad Backup drin. ;) Wir machen von unseren DCs ein BareMetalBackup. Kann man denn die DNS Zonen alleine Restoren, oder muss man das komeplette AD wiederherstellen? Zitieren
cj_berlin 1.451 Geschrieben 5. August 2022 Melden Geschrieben 5. August 2022 Ich habe die Anpassung der Doku angestoßen. 2 1 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.