Active Directory: DNS-Zonen vor versehentlichem Löschen schützen

    DNS-Zone aus dem AD löschenDer DNS-Server ist mit einer der wichtigsten Bestand­teile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das ver­sehent­liche Löschen einer DNS-Zone hat daher unange­nehme Konse­quenzen. Ein solches Malheur lässt sich durch einen ent­sprechen­den Schutz vermeiden.

    Wenn man versehentlich nur einen einzelnen DNS-Eintrag entfernt und diesen erneut anlegen muss, dann ist das mit wenig Arbeit schnell getan. Aufwändiger wird es jedoch, wenn ganze DNS-Zonen mitsamt der in ihnen enthal­tenen Einträgen ver­schwinden, weil der AD-Papierkorb für jedes gelöschte Objekt zuerst eine Eltern­struktur braucht, in die es wieder­hergestellt werden kann. Somit ist es umso wichtiger, präventiv vorzugehen, und auch die Zonen im DNS vor versehentlichen Löschen zu schützen.

    Schutz in AD-Computer und -Benutzer aktivieren

    Im DNS-Manager gibt es keine Möglichkeit, DNS-Zonen vor dem unerwünschten Entfernen zu schützen. Unter den GUI-Tools bietet sich daher Active Directory-Benutzer und -Computer für diese Aufgabe an. Dort existiert bereits in den Eigenschaften anderer Objekte (OUs, Gruppen, etc.) eine entsprechende Option.

    Erweiterte Features anzeigen in AD-Benutzer und -Computer

    Dafür muss man jedoch zuvor die Erweiterten Features im Menü Ansicht aktivieren. Dann lässt sich hier auch der Schutz für die jeweiligen Objekte einrichten. In den Eigenschaften eines Objekts, beispielsweise bei einer OU, unter dem Reiter Objekt findet sich dann die gewünschte Option.

    DNS-Zonen mit PowerShell anzeigen und ändern

    Bei den integrierten AD DNS-Zonen gibt es zwei Typen. Zum einen die Domain DNS-Zonen und zum anderen die Forest DNS-Zonen. Wie die Namen schon erahnen lassen, sind diese Zonen Domain- oder Forest-weit gültig.

    Agiert das Unter­nehmen im Forest über mehrere Domänen, dann ist es sinnvoll, bestimmte Zonen unterhalb des Forests zu pflegen, um Über­schneidungen beispielsweise in den Rückwärts­zonen zu vermeiden. Das aber nur nebenbei als Hinweis.

    Ob eine DNS-Zone nun geschützt ist, lässt sich in PowerShell mit dem Cmdlet Get-ADObject abfragen.

    Der folgende Befehl zeigt, welche Forest DNS-Zonen nicht vor dem versehent­lichen Löschen geschützt sind. Hierbei muss die SearchBase mit dem gleichnamigen Parameter auf die betroffene Domain angepasst werden.

    Nach dem Ausführen des Befehls erscheint dann die Grid-View mit einer Liste der ungeschützten DNS-Zonen.

    Ungeschützte DNS-Zonen anzeigen mit PowerShell

    Sollen diese Zonen nun geschützt werden, dann geht das mit dem folgenden Befehl. Hierbei holt man sich die ungeschützten Zonen erneut mit Get-ADObject und schützt diese per Set-ADObject:

    Nach dem Setzen des Schutzes lassen sich DNS-Zonen nicht mehr versehentlich löschen. 

    Das Gleiche können wir nun auch für die DNS Domain Zonen anwenden. Hierbei wird die SearchBase von ForestDNSZones auf DomainDNSZones geändert. Mit dem ersten Befehl ermitteln wir wieder die ungeschützten Domain DNS Zonen:

    Anschließend schützt man die Domain Zonen mit folgenden Befehl.

    Eine Nebenwirkung dieser Maßnahme gegen das unbeabsichtigte Löschen kann darin bestehen, dass sie Einstellungen für DNS-Zonen gegen Änderungen sperrt.

    Bei geschützten DNS-Zonen lässt sich der Replikationsbereich nicht ändern.

    Das gilt zum Beispiel, wenn man den Bereich für die Replikation anpassen möchte. In diesem Fall muss man den Schutz temporär entfernen.

    Keine Kommentare