PS: DNS Zonen exportieren

[Kuddel071089 9]

Hallo zusammen,

 

aktuell läuft auf einem DC täglich ein PS Skript, dass alle DNS-Zonen als Backup exportiert.

 

Dieser Task wird mit einem Domain-Admin ausgeführt.

 

Ich würde jetzt gerne den ganzen Prozess auf einen zentralen Task-Server umziehen und einen SystemAccount verwenden.

 

Der SystemAccount ist jetzt in der Gruppe "DNSAdmins".

 

Leider funktioniert der Export jetzt nicht.

 

#DC für den Export definieren
$dc = Get-ADDomainController
$dc = $dc.Name

#Alle DNS Zonen abfragen
$dnszonen = Get-DnsServerZone -ComputerName $dc | Where-Object {$_.IsAutoCreated -eq $false}

#Alle Zonen exportieren
foreach($zone in $dnszonen) {
    
    #Zonennamen definieren
    $zonenname = $zone.ZoneName
    $zonenname = $($zone.ZoneName)

    $zonenname
    
    #Export der Zone
    Export-DnsServerZone -Name $zonenname -FileName "$zonenname" -EA SilentlyContinue
}

 

Fehlermeldung:

Export-DnsServerZone : Fehler beim Exportieren des Zoneninhalts für "X.X.X.in-addr.arpa" auf dem Server "Task-Server" in die Datei "X.X.X.in-addr.arpa".
In Zeile:1 Zeichen:1
+ Export-DnsServerZone -Name $zonenname -FileName "$zonenname" -EA Sile ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (X.X.X.in-addr.arpa:root/Microsoft/...S_DnsServerZone) [Export-DnsServerZone], CimException
    + FullyQualifiedErrorId : WIN32 1722,Export-DnsServerZone

 

Standarmäßig werden die Exporte ja unter C:\Windows\System32\dns gesichert.

Diesen Ordner habe ich erstellt und der SystemAccount kann dort auch scrheiben.

 

 

Kann jemand helfen?

[NorbertFe 2.034]

vor 16 Minuten schrieb Kuddel071089:

aktuell läuft auf einem DC täglich ein PS Skript, dass alle DNS-Zonen als Backup exportiert.

 

Wozu das denn? Sichert ihr euren DC nicht sowieso? Denn falls ja, dann wären die DNS Zonen dort im Backup doch sowieso enthalten.

[Kuddel071089 9]

Gerade eben schrieb NorbertFe:

Wozu das denn? Sichert ihr euren DC nicht sowieso? Denn falls ja, dann wären die DNS Zonen dort im Backup doch sowieso enthalten.

 

Doch, die DCs werden komplet gesichert.

 

Ein Restore einer einzelnen Zone im Fehlerfall ist aber einfach, als erst auf das Backup des gesamtes Servers zugreifen zu müssen

 

 

[NorbertFe 2.034]

vor 1 Minute schrieb Kuddel071089:

Ein Restore einer einzelnen Zone im Fehlerfall ist aber einfach, als erst auf das Backup des gesamtes Servers zugreifen zu müssen

 

Naja jeder wie er meint. Sorry, für dein Problem hab ich grad leider keine Lösung. War nur als Denkanstoß, dass du ein Problem hast, was meiner Meinung nach überflüssig ist. ;)

[daabm 1.354]

# for decimal 1722 / hex 0x6ba :
  RPC_S_SERVER_UNAVAILABLE                                      winerror.h
# The RPC server is unavailable.

 

Kann es sein, daß das Export-Cmdlet noch wissen sollte, gegen welchen Server es gehen soll? Der "Task-Server" ist ja vermutlich kein DNS-Server (könnte man aber leicht dazu machen - so als Spoiler...)

[MurdocX 950]

vor 25 Minuten schrieb daabm:

(könnte man aber leicht dazu machen - so als Spoiler...)

Denkst du da an eine „Secondary Zone“?

[daabm 1.354]

Kommt auf die Anzahl Domänen an - wenn es nur eine ist, einfach als zusätzlichen DNS mit reinhängen oder Zonenreplikation erlauben, ja. Geht alles, muß man nur ein Konzept haben, was man erreichen will.

[Kuddel071089 9]

Kurzes Update:

 

mit -ComputerName $dc

 

funktioniert jetzt schon einmal der Export der DNS-Zonen in C:\Windows\System32\dns

 

Da sollen die Zonen aber nicht liegen bleiben.

 

1. Verschieben auf D:\ auf jedem DC

2. Kopieren auf einen externen Speicherort

 

Wie bekomme ich das jetzt hin, ohne auf jedem DC zwei Freigaben (C:\Windows\System32\dns\ und D:\DNS-Backups) zu erstellen, worauf der SystemUser Zugriff erhält ?

[tesso 375]

Der Filename kann auch einen Pfad enthalten. 

[MurdocX 950]

Ich gehe jetzt mal in die Richtung von @NorbertFe. Wie du weißt kommt die Frage nach der Sinnhaftigkeit immer, denn es gibt meist mehrere Wege nach Rom.  @daabm meinte auch, dass manche Wege recht steinig sein können. Meiner Meinung nach trifft das hier zu  

 

Ausreden möchte ich Dir dein Backup nicht. Man kann die AD-DNS-Zonen wiederherstellen. Wie vieles im AD, falls dein Backup beschädigt sein sollte. Das soll Dir die Sicherheit geben auf dein extra Backup verzichten zu können. Bei einem Ausfall wirst du das extra Backup sehr wahrscheinlich nicht brauchen, denn das wird dann das kleinste Problem sein

 

Des Weiteren legen die Clients die DNS-Einträge selbstständig wieder an. Probier´s einfach mal aus. Eintrag löschen und Client neustarten. Das mache ich nach einem Deployment regelmäßig mit ca. 150 Clients.