Windows Server 2003 - Handbuch für die Bereitstellung
Bereitstellen von DNS
Dieses Kapitel des "Handbuchs für die Bereitstellung von Windows Server 2003" behandelt das Domain Name System (DNS) des neuen Netzwerkbetriebssystems. Das DNS bietet Funktionen zur effizienten Namensauflösung. Darüber hinaus unterstützt es die Active Directory-Verzeichnisdienste und die Zusammenarbeit mit anderen Standardtechnologien.
Die Bereitstellung von DNS in Ihrer Client-/Serverinfrastruktur sorgt dafür, dass sich Ressourcen im TCP/IP-Netzwerk gegenseitig ausfindig machen können. Dies erfolgt durch die Auflösung von Hostnamen in IP-Adressen oder von IP-Adressen in Hostnamen.
Zurück zur Übersichtsseite
DownloadArtikel im Word-Format
Artikel im PDF-Format
|
Auf dieser Seite
Bereitstellen von DNS
Bereitstellen von DNS
Das Domain Name System (DNS) von Microsoft® Windows Server 2003 bietet Funktionen zur effizienten Namensauflösung, Unterstützung für Active DirectoryT-Verzeichnisdienste und Zusammenarbeit mit anderen Standardtechnologien. Durch die Bereitstellung von DNS in Ihrer Client-/Serverinfrastruktur können Ressourcen in einem TCP/IP-Netzwerk andere Ressourcen im Netzwerk durch die Auflösung von Hostnamen in IP-Adressen oder von IP-Adressen in Hostnamen ausfindig machen.
Verwandte englischsprachige Informationen in den Resource Kits
Weitere Informationen zu DNS finden Sie unter 'Introduction to DNS' im Networking Guide des Microsoft® Windows® Server 2003 Resource Kit (oder in 'Introduction to DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Informationen über den DNS-Server und -Client von Windows Server 2003 finden Sie unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kit (oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Informationen über den DNS-Client finden Sie unter 'Configuring IP Addressing and Name Resolution' in Administering Microsoft® Windows® XP Professional.
Informationen über das Festlegen von Sicherheitsrichtlinien finden Sie unter 'Designing an Authorization Strategy' in Designing and Deploying Directory and Security Services in diesem Kit.
Informationen zum Bereitstellen von DNS speziell im Hinblick auf Active Directory finden Sie unter 'Designing the Logical Structure' in Designing and Deploying Directory and Security Services.
Übersicht über DNS-Bereitstellung
DNS ist die Hauptmethode für die Namensauflösung in Windows Server 2003. DNS ist auch eine grundlegende Voraussetzung für das Bereitstellen von Active Directory. Hingegen ist Active Directory keine Voraussetzung für das Bereitstellen von DNS. Die Integration von DNS in Active Directory ermöglicht die beste Kombination aus Sicherheit, Leistung und Verfügbarkeit bei der Namensauflösung in Organisationen.
Durch die Kombination von DNS mit Active Directory können Sie die Multimaster-Replikationstopologie von Active Directory einsetzen, um dadurch die Leistung und Integrität der Namensauflösung zu verbessern. Aufgrund von Active Directory-integrierten Zonen wird eine separate Einzelmastertopologie mit Übertragung von primärer zu sekundärer Zone überflüssig. Active Directory-integrierte Zonen speichern die Zonendaten in der Active Directory-Datenbank. Da Sie keine sekundären Zonen in Active Directory speichern können, müssen Sie für Active Directory-integrierte Zonen den DNS-Serverdienst auf Domänencontrollern ausführen und ausschließlich primäre Zonen verwenden. Durch den Einsatz von Active Directory-integrierten Zonen können Sie auch das Active Directory-Sicherheitsmodell nutzen, indem Sie sichere dynamische Aktualisierungen implementieren, bei denen es sich um eine Erweiterung des dynamischen Aktualisierungsprotokolls von DNS handelt.
Anhand von DNS verfügen Sie über einen skalierbaren Mechanismus für die Ressourcensuche in Netzwerken. Durch die Integration von DNS in Active Directory steigern Sie die Sicherheit und Leistung von DNS.
DNS-Bereitstellungsprozess
Für das Bereitstellen von DNS müssen Sie die DNS-Infrastruktur planen und entwerfen, wozu DNS-Namespace, -Serverplatzierung, -Zonen und -Clientkonfiguration zählen. Zudem müssen Sie die Integrationsstufe mit Active Directory planen und Ihre Sicherheits-, Skalierbarkeits- und Leistunganforderungen ermitteln, bevor Sie die DNS-Lösung in der Produktionsumgebung implementieren. Abbildung 4.1 zeigt den DNS-Bereitstellungsprozess.
Abbildung 4.1 DNS-Bereitstellungsprozess
DNS-Konzepte
Das Microsoft® Windows Server 2003-DNS arbeitet mit vielen Betriebssystemen zusammen. Zudem verwendet DNS eine verteilte Datenbank für die Implementierung eines hierarchischen Namensystems. Mit diesem Namensystem kann eine Organisation ihre Präsenz im Internet erweitern und die Erstellung von Namen ermöglichen, die sowohl im Internet als auch in internen TCP/IP-basierten Intranets eindeutig sind.
Aufgrund seiner verteilten, hierarchischen Struktur wird DNS weltweit für den Internetnamespace verwendet. Mithilfe von DNS kann jeder Computer im Internet den Namen eines anderen Computers im Internetnamespace ermitteln. Computer unter Windows Server 2003 und Windows 2000 verwenden DNS auch für die Suche nach Domänencontrollern.
Neue Funktionen von Windows Server 2003
Das Microsoft® Windows Server 2003-DNS bietet mehrere neue Funktionen. Dazu zählen u. a.:
| • | Bedingte Weiterleitung. Durch die bedingte Weiterleitung können Sie DNS-Abfragen auf Grundlage des DNS-Domänennamens in der Abfrage weiterleiten. Weitere Informationen über Weiterleitungen mit Bedingungen finden Sie im Hilfe- und Supportcenter für Windows Server 2003. |
| • | Stubzonen. Stubzonen ermöglichen Ihnen das Synchronisieren von DNS-Servern, die übergeordnete Zonen mit den autorisierenden DNS-Servern für die entsprechenden untergeordneten Zonen hosten. Weitere Informationen über Stubzonen finden Sie im Hilfe- und Supportcenter für Windows Server 2003. |
| • | Active Directory-integrierte Zonen. Active Directory-integrierte Zonen ermöglichen Ihnen das Speichern der Zonendaten in der Active Directory-Datenbank. Die Zoneninformationen in jedem primären DNS-Server innerhalb einer Active Directory-integrierten Zone werden immer repliziert. Weitere Informationen über Active Directory-integrierte Zonen finden Sie im Hilfe- und Supportcenter für Windows Server 2003. |
Tools für die DNS-Bereitstellung
Windows Server 2003 enthält eine Reihe von Tools, die Sie beim Bereitstellen einer DNS-Infrastruktur unterstützen.
Active Directory Sizer
Mit Active Directory Sizer können Sie die für die Active Directory-Bereitstellung erforderliche Hardware einschätzen, wobei das Organisationsprofil, Domäneninformationen und Standorttopologie als Kriterien herangezogen werden. Active Directory Sizer verwendet die Benutzereingabe und interne Formeln, um Schätzungen für folgende Komponenten zu erstellen:
| • | Domänencontroller pro Domäne je Standort |
| • | Globale Katalogserver pro Domäne je Standort |
| • | CPUs pro Computer und Typ der CPU |
| • | Erforderliche Datenträger für die Active Directory-Datenspeicherung |
Active Directory Sizer liefert auch Schätzungen für Folgendes:
| • | Benötigter Speicher |
| • | Nutzung der Netzwerkbandbreite |
| • | Größe der Domänendatenbank |
| • | Größe der Datenbank des Globalen Katalogservers |
| • | Erforderliche Bandbreite für die Replikation zwischen Standorten |
Netdiag
Das Tool Netdiag unterstützt Sie beim Erkennen von Netzwerk- und Verbindungsproblemen. Netdiag führt eine Reihe von Tests aus, mit denen Sie den Zustand des Netzwerkclients bestimmen können. Weitere Informationen über Netdiag finden Sie unter 'Supporttools' im Hilfe- und Supportcenter für Windows Server 2003.
Dnscmd.exe
Mit dem Befehlszeilenprogramm Dnscmd.exe können Sie die meisten Aufgaben ausführen, die über das DNS-MMC-Snap-In (Microsoft Management Console) vorgenommen werden können.
Begriffe und Definitionen
Die folgenden Begriffe spielen eine wichtige Rolle bei DNS:
| • | Autorisierender Nameserver. Ein Server, der über die Autorität zum Auflösen von DNS-Abfragen für eine bestimmte Zone verfügt. Ein autorisierender Nameserver enthält eine lokale Zonendatei mit Ressourceneinträgen für die Computer innerhalb der Zone. Jede Zone verfügt mindestens über einen autorisierenden Nameserver. |
| • | Bedingte Weiterleitung . Anhand der bedingten Weiterleitung können Sie einen internen Domänennamen und eine interne IP-Adresse angeben, welche die Weiterleitung mit dem in der Abfrage angegebenen Domänennamen verknüpft. Im Windows Server 2003-DNS können Sie die Leistung bei der Namensauflösung verbessern, indem Sie Bedingungen mit DNS-Weiterleitungen verknüpfen. Wenn die Weiterleitung den in der Abfrage angegebenen Domänennamen dem in der Bedingung festgelegten Domänennamen zuordnet, übergibt die Weiterleitung die Abfrage an einen DNS-Server in der angegebenen Domäne. DNS-Server, die für die bedingte Weiterleitung konfiguriert sind, müssen zur Namensauflösung nicht auf Rekursion zurückgreifen. |
| • | Delegierung. Der Prozess zum Verteilen von Verantwortung für Domänennamen zwischen verschiedenen DNS-Servern im Netzwerk. Für jeden delegierten Domänennamen müssen Sie mindestens eine Zone erstellen. Je mehr Domänen Sie delegieren, desto mehr Zonen müssen Sie erstellen. |
| • | DNS-Namespace. Die hierarchische Struktur des Domänennamenbaums. Jede Domänenbezeichnung, die in einem vollqualifizierten Domänennamen (Fully Qualified Domain Name oder FQDN) verwendet wird, bezeichnet einen Knoten oder eine Teilstruktur in der Domänen-Namespacestruktur. Beispiel: host1.contoso.com ist ein vollqualifizierter Name, der den Knoten host1 unter dem Knoten Contoso, unter dem Knoten com und unter dem Internetstamm repräsentiert. |
| • | DNS-Resolver. Ein Dienst, der auf Clientcomputern ausgeführt wird und DNS-Abfragen an einen DNS-Server sendet. |
| • | DNS-Server. Ein Computer, der den DNS-Serverdienst ausführt. Ein DNS-Server verwaltet Informationen über einen Teil der DNS-Datenbank und löst DNS-Abfragen auf. |
| • | Externer Namespace. Ein öffentlicher Namespace wie das Internet, auf den jedes angeschlossene Gerät zugreifen kann. Unterhalb der Domänen der obersten Ebene delegieren die ICANN (Internet Corporation for Assigned Names and Numbers) und andere Vergabestellen für Internetnamen die Domänen an Organisationen wie Internetdienstanbieter (Internet Service Providers oder ISPs), die wiederum untergeordnete Domänen an ihre Kunden delegieren. |
| • | Vollqualifizierter Domänenname (FQDN). Ein DNS-Name, der einen Knoten in einem DNS-Namespace eindeutig identifiziert. Der FQDN eines Computers ist eine Verkettung des Computernamens (beispielsweise client1) und des primären DNS-Suffixes des Computers (beispielsweise contoso.com). |
| • | Interner Namespace. Ein Namespace, bei dem Organisationen den Zugriff steuern können. Organisationen können den internen Namespace verwenden, um die Namen und IP-Adressen der internen Computer vom Internet abzuschirmen. Eine einzelne Organisation könnte mehrere interne Namespaces einsetzen. Organisationen können eigene Stammserver und untergeordnete Domänen nach Bedarf erstellen. Der interne Namespace kann gemeinsam mit einem externen Namespace genutzt werden. |
| • | Nameserver. Ein DNS-Server, der auf DNS-Auflösungsanforderungen von Clients innerhalb einer bestimmten Zone reagiert und FQDNs in IP-Adressen auflöst. Zonen können primäre und sekundäre Nameserver enthalten. |
| • | Masternamensserver. Ein Server, der die Zonendatei mit Ressourceneinträgen anderen (sekundären) Nameservern zur Verfügung stellt. Wenn ein Masternamensserver ein sekundärer Nameserver ist, muss er Ressourceneinträge für die Zone von einem anderen Masternamensserver während einer Zonenübertragung erhalten. |
| • | Primärer Nameserver. Ein Server, der für die Namensauflösung in der Zone verantwortlich ist, für die er Autorität besitzt. Ein primärer Nameserver weist eine beschreibbare DNS-Masterdatenbank mit Ressourceneinträgen auf. DNS-Masterdatenbankeinträge sind in einer lokalen Zonendatei enthalten. |
| • | Sekundärer Nameserver. Ein Server, der Ressourceneinträge für eine Zone von einem Masternamensserver bei einer Zonenübertragung erhalten muss. Ein sekundärer Nameserver besitzt keine beschreibbare Zonendatei. Wenn ein sekundärer Nameserver ein Masternamensserver ist, verfügt er über die Autorität zur Namensauflösung für eine Zone, muss aber Ressourceneinträge von einem anderen Masternamensserver erhalten. Wenn ein sekundärer Nameserver kein Masternamensserver ist, kann er für Redundanz und Lastenausgleich verwendet werden. |
| • | Ressourceneintrag (Resource Record oder RR). Eine standardmäßige DNS-Datenbankstruktur mit Informationen zum Verarbeiten von DNS-Abfragen. Beispielsweise enthält ein A-Ressourceneinträge (für Adressen) eine IP-Adresse, die einem Hostnamen entspricht. Die meisten grundlegenden RR-Typen werden in RFC 1035, 'Domain Names - Implementation and Specification', definiert, aber zusätzliche RR-Typen werden in anderen RFCs definiert und für den Einsatz mit DNS genehmigt. |
| • | Stubzone. Eine Teilkopie einer Zone, die von einem DNS-Server gehostet und zum Auflösen von rekursiven oder iterativen Abfragen genutzt werden kann. Stubzonen enthalten die SOA-Ressourceneinträge (Start of Authority oder Autoritätsursprung), die DNS-Ressourceneinträge, in denen die autorisierenden Server der Zone aufgelistet werden, sowie die 'Glue A'-Ressourceneinträge (Adresse), die für die Verbindung mit den autorisierenden Servern der Zone erforderlich sind. |
| • | Zone. Ein zusammengehöriger Bereich des DNS-Baums in einer DNS-Datenbank, der als einzelne separate Entität von einem DNS-Server verwaltet wird. Die Zone enthält Ressourceneinträge für alle Namen innerhalb der Zone. |
| • | Zonendatei. Eine Datei, die aus den Ressourceneinträgen der DNS-Datenbank besteht, welche die Zone definieren. Jeder primäre oder sekundäre Nameserver enthält eine Zonendatei, die allerdings nur auf dem primären Nameserver geändert werden kann. |
| • | Zonenübertragung. Der Prozess, bei dem der Inhalt der Zonendatei, die sich auf einem primären Nameserver befindet, auf einen sekundären Nameserver verschoben wird. Die Zonenübertragung ermöglicht Fehlertoleranz durch Synchronisierung der Zonendatei auf einem primären Nameserver mit der Zonendatei auf einem sekundären Nameserver. Der sekundäre Nameserver kann die Namensauflösung bei einem Ausfall des primären Nameserver weiterhin ausführen. Die Zonenübertragung ermöglicht zudem Lastenausgleich, indem die Netzwerklast zwischen primärem und sekundärem Nameserver in Phasen mit zahlreichen Namensauflösungsanfragen aufgeteilt wird. |
Untersuchen der aktuellen Umgebung
Bevor Sie das DNS von Microsoft® Windows Server 2003 in Ihrer Umgebung bereitstellen, müssen Sie Ihre aktuellen Anforderungen analysieren. Auf diese Weise können Sie feststellen, ob Sie eine eigene DNS-Infrastruktur bereitstellen müssen oder die DNS-Verwaltung auslagern können. Darüber hinaus müssen Sie einen Bereitstellungsplan für das DNS von Windows Server 2003 aufstellen, der den aktuellen und künftigen Anforderungen Ihrer Organisation entspricht. Abbildung 4.2 zeigt den Prozess zum Untersuchen der aktuellen Umgebung.
Abbildung 4.2 Untersuchen der aktuellen Umgebung
Bestimmen des Internetstatus
Um die Namensauflösung über den Bereich Ihrer internen Domäne hinaus zu ermöglichen, müssen Ihre IP-Adressen und DNS-Domänennamen bei einer Internetregistrierungsstelle erfasst werden. Internetregistrierungsstellen sind Organisationen, die folgende Aufgaben erfüllen:
| • | Zuweisen von IP-Adressen |
| • | Registrieren von DNS-Domänennamen |
| • | Anlegen von öffentlichen Einträgen mit registrierten IP-Adressen und Domänennamen |
Wenn Ihr Netzwerk momentan mit dem Internet verbunden ist oder künftig verbunden sein wird, müssen Sie den Registrierungsstatus Ihrer IP-Adressen bestimmen. Ihre Netzwerk-IP-Adressen werden von anderen Computern im Internet verwendet, um Ressourcen in Ihrem Netzwerk ausfindig zu machen.
Wenn Sie bereits mit dem Internet verbunden sind, ist Ihr Netzwerk ein Teilnetz des Netzwerks Ihres Internetdienstanbieters. Vergewissern Sie sich, dass Ihr Internetdienstanbieter (Internet Service Provider oder ISP) die IP-Adressen dieses Teilnetzes bei einer Internetregistrierungsstelle registriert hat. Wenn Ihr Internetdienstanbieter die Netzwerk-IP-Adressen registriert hat, müssen Sie diese nicht selbst registrieren.
Identifizieren des DNS-Datenhosts
Bestimmen Sie, wer die DNS-Daten hosten wird. Sie können Ihre eigenen DNS-Daten entweder intern hosten oder einen externen Internetdienstanbieter mit dem Hosten der DNS-Daten beauftragen. Wenn Sie Ihre DNS-Daten selbst hosten, können Sie alle Aspekte der Zuweisung von Netzwerkressourcen und der Sicherheit vollständig steuern. Verwenden Sie nur dann einen Internetdienstanbieter, wenn Sie über ein kleines Netzwerk verfügen, das in naher Zukunft nicht rasch erweitert werden soll. Wenn Sie sich für das Hosten der eigenen DNS-Daten entscheiden, sollten Sie in Erwägung ziehen, Ihre DNS-Clients und -Server für die Verwendung der DNS-Server eines Internetdienstanbieters vorzubereiten, um die Namensauflösung für externe Hosts auszuführen. Diese Konfiguration kann die Bandbreitennutzung in Ihrem Netzwerk verbessern.
Wenn Sie sich für einen Internetdienstanbieter als Host für die DNS-Daten entscheiden, müssen Sie sicherstellen, dass die DNS-Infrastruktur des Internetdienstanbieters Ihre DNS-Bereitstellung unterstützen kann. Hierzu müssen Sie überprüfen, ob die DNS-Serversoftware des Internetdienstanbieters mit dem DNS von Windows Server 2003 kompatibel ist. Wenn der Internetdienstanbieter bestimmte Funktionen von Windows Server 2003 unterstützen soll, müssen Sie sich vergewissern, dass die von Ihrem Internetdienstanbieter verwendete DNS-Version diese Funktionen unterstützt. Stellen Sie sicher, dass Sie die von Ihrem Internetdienstanbieter verwendete DNS-Serversoftware kennen. Darüber hinaus müssen Sie wissen, wie die Funktionen und Optionen dieser Software mit dem DNS von Windows Server 2003 zusammenarbeiten. Unterschiedliche DNS-Serversoftwarelösungen bieten unterschiedliche Funktionen und Optionen.
Wenn Ihre Organisation alle DNS-Daten hostet, müssen Sie die DNS-Infrastruktur des Internetdienstanbieters nicht berücksichtigen. Beachten Sie, dass Sie sogar beim Hosten der DNS-Daten ohne Hilfe des Internetdienstanbieters die Option haben, Ihre DNS-Clients und -Server für die Verwendung der DNS-Server des Internetdienstanbieters einzurichten, um die Namensauflösung für externe Hosts auszuführen. In diesem Fall müssen Sie den Internetdienstanbieter nicht über diese Konfiguration informieren.
Analysieren der Netzwerktopologie
Analysieren Sie die vorhandene Netzwerktopologie, und ermitteln Sie, welche Zielsetzung hinsichtlich Diensten und Verwaltung bei der Konzeption des Netzwerks eine Rolle gespielt hat. Bei der Planung des DNS-Namespaces müssen Sie diese Zielsetzungen Ihrer Organisation einbeziehen. Sie müssen die voraussichtliche Erweiterung der Knotenanzahl in der DNS-Hierarchie berücksichtigen, indem Sie Platzhalter für Domänennamen zwischen die anfänglich bereitgestellten Domänennamen einfügen. Durch das Hinzufügen von Platzhaltern für Domänennamen müssen Sie die DNS-Infrastruktur für zusätzliche Domänennamen nicht neu entwerfen.
Sie sollten auch mögliche künftige Änderungen am Geschäftsmodell bereits jetzt berücksichtigen, indem Sie Domänennamen zuweisen, die auch in einem geänderten Kontext verwendet werden können. Beispielsweise bietet sich anstelle des Domänennamens accounting.contoso.com die Verwendung von finance.contoso.com an, um auf eine künftige Ausweitung des Geschäfts auf weitere Finanzdienstleistungen über die Buchhaltung hinaus vorbereitet zu sein.
Erstellen von Diagrammen zur vorhandenen DNS-Infrastruktur
Wenn Sie eine Aktualisierung auf Windows Server 2003 ausführen, eine neue DNS-Bereitstellung vornehmen oder das Windows Server 2003-DNS in Active Directory-Dienste integrieren, müssen Sie keine Änderungen an der vorhandenen DNS-Infrastruktur vornehmen. Wenn Sie hingegen eine Migration von einer DNS-Infrastruktur eines Drittanbieters ausführen oder das Windows Server 2003-DNS in eine vorhandene DNS-Infrastruktur eines Drittanbieters integrieren, müssen Sie ein Diagramm der vorhandenen DNS-Infrastruktur einschließlich Domänen, Servern und Clients erstellen. Dieses Diagramm hilft Ihnen bei der Entscheidung, ob Sie die aktuelle DNS-Infrastruktur beim Bereitstellen von Windows Server 2003-DNS ändern müssen.
Bestimmen der Sicherheitsrichtlinien
Bestimmen und dokumentieren Sie die Sicherheitsrichtlinien der Organisation, bevor Sie mit dem Entwerfen und Bereitstellen der Infrastuktur des Windows Server 2003-DNS beginnen. Auf diese Weise können Sie sicherstellen, dass die DNS-Server, -Zonen und -Ressourceneinträge diese Richtlinien unterstützen. Mit den DNS-Funktionen in Windows Server 2003 können Sie eine sichere DNS-Infrastruktur bereitstellen.
Entwerfen eines DNS-Namespaces
Vor der Bereitstellung einer DNS-Infrastruktur müssen Sie einen DNS-Namespace entwerfen. Sie können einen externen Namespace entwerfen, der für Internetbenutzer und Computer sichtbar ist. Sie können aber auch einen internen Namespace entwerfen, auf den nur der Zugriff durch Benutzer und Computer innerhalb des internen Namespaces möglich ist. Abbildung 4.3 zeigt den Prozess zum Erstellen eines DNS-Namespaces.
Abbildung 4.3 Erstellen eines DNS-Namespaces
Bestimmen der Anforderungen an den DNS-Namespace
Der erste Schritt beim Entwerfen eines DNS-Namespaces besteht darin, die Entscheidung zu treffen, ob ein neuer Namespace für die Organisation erforderlich ist oder ob Sie einen vorhandenen Windows- oder DNS-Namespace beibehalten können.
Wenn Sie von einer früheren Version von Windows auf das Windows Server 2003-DNS aktualisieren, müssen Sie möglicherweise ein vorhandenes Namensauflösungssystem wie beispielsweise WINS (Windows Internet Name Service) durch eine Windows Server 2003-DNS -Infrastruktur ersetzen oder in diese integrieren. Sie können eine vorhandene WINS-Implementierung integrieren, indem Sie die DNS-Zonen auf dem Windows Server 2003-DNS-Server so konfigurieren, dass sie einen WINS-Server abfragen.
Wenn Sie das DNS von Windows Server 2003 in eine DNS-Infrastruktur eines Drittanbieters migrieren oder integrieren, müssen Sie den in der DNS-Infrastruktur verwendeten Namespaceentwurf nicht ändern. Bei der Bereitstellung einer neuen Infrastruktur des Windows Server 2003-DNS müssen Sie eine Strategie zum Benennen von DNS-Domänen und Computernamen entwerfen und einen Plan für die Auflösung dieser Namen innerhalb des Netzwerks und im Internet erarbeiten.
Wenn Sie das DNS von Windows Server 2003 für die Unterstützung von Active Directory bereitstellen, müssen Sie die Active Directory-Gesamtstruktur und den Active Directory-Domänennamen in die DNS-Infrastrukur integrieren. Sie können beispielsweise den vorhandenen DNS-Namespaceentwurf so ändern, dass Netzwerkressourcen unterstützt werden, welche die spezifischen Namen von Active Directory-Domänencontrollern, -OUs (Organizational Units oder Organisationseinheiten), -Standorten und -Subnetzen ausfindig machen müssen.
Anmerkung Sie müssen den DNS-Namespace in Übereinstimmung mit den Planungen der logischen Struktur von Active Directory entwerfen. Weitere englischsprachige Informationen zum Entwerfen der logischen Struktur von Active Directory finden Sie unter 'Designing the Logical Structure' in Designing and Deploying Directory and Security Services.
Tabelle 4.1 fasst die Entwurfsanforderungen an DNS-Namespaces für alle möglichen Szenarien zusammen.
Tabelle 4.1 Anforderungen an DNS-Namespaceentwürfe
| Szenarien | Entwurfsanforderungen |
Sie aktualisieren eine vorhandene DNS-Infrastruktur von einer früheren Version von Windows als Windows Server 2003. | Der DNS-Namespaceentwurf kann beibehalten werden. |
Sie aktualisieren von einer DNS-Infrastruktur eines Drittanbieters, die auf DNS-Software beruht, bei der die standardisierten Richtlinien für DNS-Domänennamen berücksichtigt werden. | Der DNS-Namespaceentwurf kann beibehalten werden. |
Ihre vorhandene DNS-Software entspricht nicht den standardisierten Richtlinien für DNS-Domänennamen. | Passen Sie den vorhandenen DNS-Namespaceentwurf in Übereinstimmung mit den Richtlinien für DNS-Domänennamen an, bevor Sie einen Namespace des Windows Server 2003-DNS bereitstellen. |
Die vorhandene DNS-Software des Drittanbieters erfüllt die standardisierten Richtlinien für DNS-Domänennamen. | Integrieren Sie das DNS von Windows Server 2003 in die aktuelle DNS-Infrastruktur. Sie müssen weder den Namespaceentwurf der DNS-Infrastruktur des Drittanbieters noch den vorhandenen Namespace ändern. |
Sie stellen eine neue Infrastruktur des Windows Server 2003-DNS bereit. | Entwerfen Sie eine logische Namenskonvention für den DNS-Namespace, die auf den Namenskonventionen für DNS-Domänen beruht. |
Sie stellen das DNS von Windows Server 2003 für die Unterstützung von Active Directory bereit. | Erstellen Sie einen DNS-Namespaceentwurf, der auf der Active Directory-Namenskonvention beruht. |
Sie ändern den vorhandenen DNS-Namespace für die Unterstützung von Active Directory, möchten aber den DNS-Namespace nicht neu entwerfen. | Vergewissern Sie sich, dass die Active Directory-Domänennamen mit den vorhandenen DNS-Namen übereinstimmen. Auf diese Weise können Sie die höchste Sicherheitsstufe bereitstellen und müssen hierzu nur einfache Verwaltungstechniken verwenden. |
Erstellen von internen und externen Domänen
Organisationen, die eine Internetpräsenz und einen internen Namespace benötigen, müssen sowohl einen internen als auch einen externen DNS-Namespace bereitstellen und jeden Namespace separat verwalten. Sie können mit drei verschiedenen Methoden einen gemischten internen und externen DNS-Namespace erstellen:
| • | Die interne Domäne kann zu einer untergeordneten Domäne der externen Domäne gemacht werden. |
| • | Es können unterschiedliche Namen für die internen und externen Domänen verwendet werden. |
| • | Derselbe Name kann für die interne und die externe Domäne verwendet werden, wobei ein privater Namespace für die Organisation verwendet wird. Diese Methode wird nicht empfohlen. Sie verursacht Probleme bei der Namensauflösung aufgrund der Einführung von nicht eindeutigen DNS-Namen. |
Wählen Sie die Entwurfsoption für die Konfiguration aus, die den Anforderungen Ihrer Organisation am besten entspricht. Tabelle 4.2 listet die Entwurfsoptionen für das Bereitstellen eines gemischten internen und externen Namespaces und die Komplexitätsstufe bei der Verwaltung für die einzelnen Optionen auf. Zudem wird jede Option mit einem Beispiel veranschaulicht.
Tabelle 4.2 Entwurfsoptionen für gemischten internen und externen DNS-Namespace
| Entwurfsoption | Verwaltungskomplexität | Beispiel |
Die interne Domäne ist eine untergeordnete Domäne der externen Domäne. | Diese Konfiguration kann einfach bereitgestellt und verwaltet werden. | Eine Organisation mit dem Domänennamen contoso.com für die externe Domäne verwendet den Domänennamen corp.contoso.com für die interne Domäne. |
Die Namen der internen und externen Domänen stehen nicht in Beziehung zueinander. | Diese Konfiguration kann mit gewissen Schwierigkeiten bereitgestellt und verwaltet werden. | Eine Organisation verwendet contoso.com für den Domänennamen des externen Namespaces und contoso01-int.com für den Domänennamen des internen Namespaces. |
Der interne Domänenname stimmt mit dem externen Domänennamen überein. Die Organisation verfügt jedoch über einen privaten Namespace. | Diese Konfiguration kann nur mit großen Schwierigkeiten bereitgestellt und verwaltet werden. Diese Option wird nicht empfohlen. | Eine Organisation verwendet den Domänennamen contoso.com für den Domänennamen des privaten internen Namespaces und den Domänennamen des öffentlichen externen Namespaces. |
Verwenden einer internen untergeordneten Domäne
Die optimale Konfigurationsoption für einen gemischten internen und externen DNS-Namespace besteht darin, die interne Domäne als untergeordnete Domäne der externen Domäne einzurichten. Wenn beispielsweise eine Organisation als Domänennamen für den externen Namespace contoso.com verwendet, könnte der Domänenname für den internen Namespace corp.contoso.com lauten. Die Verwendung einer internen Domäne, die eine untergeordnete Domäne einer externen Domäne ist, bietet die folgenden Vorteile:
| • | Sie müssen lediglich einen einzelnen Namen bei einer Internetnamensstelle registrieren. |
| • | Es wird sichergestellt, dass die internen Domänennamen global eindeutig sind. |
| • | Die Verwaltung wird vereinfacht, da Sie die Verantwortung für die Verwaltung über interne und externe Domänen verteilen können. |
Sie können die interne untergeordnete Domäne als übergeordnete Domäne für zusätzliche untergeordnete Domänen verwenden, die Sie zum Verwalten der Abteilungen in Ihrem Unternehmen erstellen. Untergeordnete Domänen verfügen über DNS-Namen, die dem DNS-Domänennamen der übergeordneten Domäne unmittelbar untergeordnet sind. Wenn beispielsweise eine untergeordnete Domäne für die Abteilung Personalwesen zum Namespace us.corp.contoso.com hinzugefügt wird, könnte für diesen Namespace hr.us.corp.constoso.com verwendet werden.
Wenn Sie diese Konfigurationsoption für die interne Domäne verwenden, müssen Sie die Computer, die Sie für den Zugriff über das Internet freigeben möchten, in Ihrer externen Domäne außerhalb der Firewall bereitstellen. Die Computer, die Sie nicht für den Zugriff über das Internet freigeben möchten, stellen Sie hingegen in der untergeordneten Domäne bereit, die als interne Domäne eingerichtet ist.
Verwenden einer internen eigenständigen Domäne
Wenn Sie die interne Domäne nicht als untergeordnete Domäne der externen Domäne konfigurieren können, verwenden Sie eine eigenständige interne Domäne. Auf diese Weise besteht kein Zusammenhang zwischen den internen und externen Domänennamen. Eine Organisation mit dem Domänennamen contoso.com für den externen Namespace verwendet beispielsweise den Namen contoso01-int.com für den internen Namespace.
Der Vorteil dieses Ansatzes besteht darin, dass Sie einen eindeutigen internen Domänennamen erhalten. Der Nachteil ist hingegen, dass Sie zwei separate Namespaces verwalten müssen. Darüber hinaus kann die Verwendung einer eigenständigen internen Domäne, die nicht in Beziehung zur externen Domäne steht, zu Verwirrung bei Benutzern führen, da die Namespaces keinen Bezug zwischen den Ressourcen innerhalb und außerhalb des Netzwerks widerspiegeln. Zudem müssen Sie zwei DNS-Namen bei einer Internetnamensstelle registrieren.
Verwenden identischer interner und externen Domänennamen
Es wird nicht empfohlen, denselben Domänennamen für den internen und externen Namespace zu verwenden.Diese Konfiguration verursacht aufgrund der Einführung nicht eindeutiger DNS-Namen Probleme bei der Namensauflösung. Bei dieser Konfiguration kann ein Computer im internen Namespace denselben Namen wie ein Computer im Internetnamespace aufweisen. Beim Versuch, diesen Namen aufzulösen, können daher Fehler auftreten. Dadurch wird der Verwaltungsaufwand erhöht, da Sie alle möglicherweise doppelt vorkommenden Namen vorhersehen müssen.
Sie können eine der folgenden Methoden ausführen, um die Verwendung desselben Domänennamens für interne und externe DNS-Namespaces zu ermöglichen:
| • | Wenn Ihre Clients Abfragen an externe Server (wie Webserver) durch einen Firewall weiterleiten können, kopieren Sie die Zonendaten vom externen DNS-Server auf den internen DNS-Server. |
| • | Wenn Ihre Clients keine Abfragen durch einen Firewall weiterleiten können, duplizieren Sie alle öffentlichen DNS-Zonendaten und alle öffentlichen Server (wie Webserver) Ihrer Organisation in das interne Netzwerk. |
| • | Verwalten Sie eine Liste der öffentlichen Server, die Ihrer Organisation zugehören, in der Proxy-Autokonfigurationsdatei (Proxy Auto-Configuration oder PAC) auf jedem DNS-Client. |
Die von Ihnen gewählte Methode richtet sich nach den Softwareproxyfunktionen des Clients. Tabelle 4.3 listet die möglichen Methoden auf, die Sie ausführen können, um die Verwendung desselben Domänennamens für den internen und externen Namespace zu ermöglichen. Zudem werden die Proxyfunktionen der Clientsoftware angegeben, die bei jeder Methode verfügbar sind.
Tabelle 4.3 Methoden für die Verwendung desselben Namens für interne und externe Namespaces und kompatible Proxyfunktionen
| Methode | Proxyfunktion der SoftwareKein Proxy | Lokale Adresstabelle (Local Address Table oder LAT) | Namensausschlussliste | Proxy-Autokonfigurationsdatei |
Verwenden unterschiedlicher Domänennamen | . | . | . | . |
Kopieren der Zonendaten vom externen zum internen DNS-Server | . | . | . | . |
Duplizieren der gesamten öffentlichen DNS-Zonendaten und aller öffentlichen Server in das interne Netzwerk | . | . | . | . |
Verwalten der Liste mit öffentlichen Servern in den PAC-Dateien auf den DNS-Clients. |
|
|
| . |
Entscheidung für oder gegen das Bereitstellen eines internen DNS-Stammes
Wenn Sie über ein großes verteiltes Netzwerk und einen komplexen DNS-Namespace verfügen, empfiehlt sich die Verwendung eines internen DNS-Stammes, der von öffentlichen Netzwerken isoliert ist. Durch einen internen DNS-Stamm wird die Verwaltung des DNS-Namespaces optimiert, da Sie die DNS-Infrastruktur so verwalten können, als ob der gesamte Namespace aus den DNS-Daten innerhalb des Netzwerks bestehen würde.
Bei einem internen DNS-Stamm wird eine private DNS-Stammzone auf einem DNS-Server im internen Netzwerk gehostet. Auf diese private DNS-Stammzone kann kein Zugriff über das Internet erfolgen. In gleicher Weise, wie die Internetstammzone Delegierungen mit allen Domänennamen der obersten Ebene im Internet wie .com, .net und .org enthält, sind in einer privaten Stammzone Delegierungen mit allen Domänennamen der obersten Ebene in Ihrem Netzwerk enthalten. Der DNS-Server, der die private Stammzone hostet, wird als autorisierender Server für alle Namen im internen DNS-Namespace betrachtet.
Die Verwendung eines internen DNS-Stammes bietet die folgenden Vorteile:
| • | Skalierbarkeit. Ein großes Netzwerk mit einem internen DNS-Namespace, der auf mehreren DNS-Servern gehostet wird, ist leicht skalierbar. Wenn sich Ihr Netzwerk über mehrere Standorte erstreckt, ist ein interner DNS-Stamm die beste Methode zum Verwalten der gesamten DNS-Aktivität im verteilten Netzwerk. |
| • | Effiziente Namensauflösung. Mit einem internen DNS-Stamm müssen DNS-Clients und -Server keine Verbindung mit dem Internet herstellen, um interne Namen aufzulösen. Daher werden die DNS-Daten für das Netzwerk nicht über das Internet übermittelt. Sie können die Namensauflösung für jeden beliebigen Namen in einem anderen Namespace aktivieren, indem Sie eine Delegierung von Ihrer Stammzone hinzufügen. Wenn die Computer beispielsweise auf Ressourcen in einer Partnerorganisation zugreifen müssen, können Sie eine Delegierung von Ihrer Stammzone mit der obersten Ebene des DNS-Namespaces der Partnerorganisation hinzufügen. |
| • | Beseitigung von Weiterleitungen. Durch die Verwendung eines internen DNS-Stammes sind keine Weiterleitungen mehr erforderlich, da die Namensauflösung intern ausgeführt wird. DNS-Server in einem internen DNS-Namespace werden mit Stammhinweisen konfiguriert, die auf die internen DNS-Stammserver zeigen. |
Wenn die Computer im Netzwerk nicht auf Ressourcen außerhalb des DNS-Namespaces zugreifen müssen, können Sie einen internen DNS-Stamm bereitstellen und verwalten. Wenn die Computer hingegen auf Ressourcen außerhalb des DNS-Namespaces zugreifen müssen, könnten Sie u. U. keinen internen Stamm für die Namensauflösung verwenden, je nach den Proxyfunktionen der Computer im Netzwerk.
Wenn die Namensauflösung von Computern benötigt wird, die keinen Proxy unterstützen, oder von Computern, die nur LATs unterstützen, können Sie keinen internen Stamm für den DNS-Namespace verwenden. In diesem Fall müssen Sie einen oder mehrere interne DNS-Server für das Weiterleiten von Abfragen an das Internet konfigurieren, die nicht lokal aufgelöst werden können.
Tabelle 4.4 listet die Typen von Clientproxyfunktionen auf und gibt an, ob Sie einen internen DNS-Stamm für jeden Typ verwenden können.
Tabelle 4.4 Clientproxyfunktionen
| Proxyfunktion | Microsoft-Software mit entsprechenden Proxyfunktionen | Weiterleiten von Abfragen | Ist die Verwendung eines internen Stammes möglich? |
Kein Proxy | Allgemeines Telnet | . |
|
Lokale Adresstabelle (LAT) |
Winsock-Proxy (WSP) 1.x oder höher | . |
|
Namensausschlussliste |
WSP 1.x oder höher | . | . |
Proxy-Autokonfigurationsdatei (PAC) |
WSP 2.x | . | . |
Konfigurieren der Namensauflösung für mehrere Domänen der obersten Ebene
Wenn Sie beim Bereitstellen des Windows Server 2003-DNS zwei DNS-Namespaces erstellen oder zusammenführen müssen und dies zu einer DNS-Infrastrukur mit zwei oder mehr DNS-Domänennamen der obersten Ebene führt, müssen Sie sicherstellen, dass die interne Namensauflösung ordnungsgemäß funktioniert. Um die Namensauflösung für mehrere DNS-Domänen der obersten Ebene zu konfigurieren, müssen Sie eine der folgenden Anweisungen ausführen:
| • | Bei einem internen DNS-Stamm fügen Sie Delegierungen für jede DNS-Zone der obersten Ebene zur internen DNS-Stammzone hinzu. |
| • | Konfigurieren Sie die DNS-Server, auf denen die DNS-Zonen der obersten Ebene im ersten Namespace gehostet werden, damit Abfragen nach Namensauflösung in einem zweiten Namespace an die DNS-Server weitergeleitet werden, welche die DNS-Zonen der obersten Ebene für den zweiten Namespace hosten. Konfigurieren Sie dann die DNS-Server, auf denen die DNS-Zonen der obersten Ebene im zweiten Namespace gehostet werden, damit Abfragen nach Namensauflösung im ersten Namespace an die DNS-Server weitergeleitet werden, welche die DNS-Zonen der obersten Ebene für den ersten Namespace hosten. Sie können die Weiterleitungen mit Bedingungen des Windows Server 2003-DNS für diese Konfiguration verwenden. |
| • | Konfigurieren Sie die DNS-Server, welche die DNS-Zonen der obersten Ebene im ersten und im zweiten Namespace hosten, um die sekundären Zonen für die DNS-Zonen der obersten Ebene in den jeweils anderen Namespaces zu hosten. In dieser Konfiguration liegen den DNS-Servern, welche die DNS-Zonen der obersten Ebene in jedem Namespace hosten, Informationen über die DNS-Server im anderen Namespace vor. Diese Lösung erfordert erhöhten Speicherplatz für das Hosten von sekundären Kopien der Domänen der obersten Ebene in verschiedenen Namespaces und erzeugt erhöhten Zonenübertragungsverkehr. |
Sie können Stubzonen des Windows Server 2003-DNS verwenden, um die DNS-Datenverteilung zwischen separaten Namespaces zu erleichtern. Die Verwendung von Stubzonen ist jedoch weniger effizient als die Verwendung der bedingten Weiterleitung von Windows Server 2003. Weitere Information über bedingte Weiterleitungen und Stubzonen finden Sie im Hilfe- und Supportcenter für Windows Server 2003 und unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits (oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp (beide englischsprachig).
Integrieren einer DNS-Infrastruktur von Windows Server 2003 in einen vorhandenen DNS-Namespace
Das DNS von Windows Server 2003 ist mit den relevanten Standards kompatibel und kann mit anderen Implementierungen von DNS zusammenarbeiten, einschließlich Windows NT 4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 und BIND 4.9.7. Die Komplexität des Integrationsprozesses hängt teilweise von den DNS-Funktionen ab, die Sie unterstützen müssen. Wenn auf den Computern in der DNS-Infrastruktur Versionen von DNS ausgeführt werden, die dieselben Funktionen unterstützen, ist die Integration der DNS-Infrastruktur von Windows Server 2003 ein einfacher Prozess. Wenn auf den Computern in der DNS-Infrastruktur Versionen von DNS ausgeführt werden, die nicht dieselben DNS-Funktionen unterstützen, wird der Integrationsprozess komplexer.
Tabelle 4.5 vergleicht die Funktionsunterstützung im DNS von Windows Server 2003 mit anderen Implementierungen von DNS.
Tabelle 4.5 Funktionsunterstützung in verschiedenen Implementierungen von DNS
| Funktion | Windows Server 2003 | Windows 2000 | Windows NT 4.0 | BIND 9 | BIND 8.2 | BIND 8.1.2 | BIND 4.9.7 |
Unterstützt den IETF-Internetdraft (Internet Engineering Task Force), 'A DNS RR for specifying the location of services (DNS SRV).' (SRV-Einträge) | . | . | . | . | . | . | . |
Dynamische Aktualisierung | . | . |
| . | . | . |
|
Sichere dynamische Aktualisierung basierend auf dem GSS-TSIG-Algorithmus (Transaction Signature oder Transaktionssignatur) | . | . |
|
|
|
|
|
WINS- und WINS-R-Einträge | . | . | . |
|
|
|
|
Schnelle Zonenübertragung | . | . | . | . | . | . | . |
Inkrementelle Zonenübertragung | . | . |
| . | . |
|
|
UTF-8-Zeichencodierung | . | . |
|
|
|
|
|
DNS-Snap-In MMC | . | . |
|
|
|
|
|
Dnscmd.exe | . | . |
|
|
|
|
|
Active Directory-integrierte Zonen | . | . |
|
|
|
|
|
Speicherung von Zonen in der Anwendungspartition von Active Directory | . |
|
|
|
|
|
|
Ablaufzeit und Aufräumvorgänge bei veralteten Einträgen | . | . |
|
|
|
|
|
Stubzonen | . |
|
| . |
|
|
|
Bedingte Weiterleitung | . |
|
| . |
|
|
|
Erweiterungsmechanismus für DNS (EDNS0) | . |
|
| . |
|
|
|
Erstellen von untergeordneten Domänen
Wenn Sie DNS in einem großen Unternehmensnetzwerk bereitstellen oder wenn Sie davon ausgehen, dass das Netzwerk um zusätzliche Subnetze und Standorte erweitert wird, müssen Sie die Verwaltung von Teilen des DNS-Namespaces an die Administratoren der verschiedenen Subnetze und Standorte im Netzwerk verteilen. Zum Verteilen der Verwaltung des DNS-Namespaces erstellen Sie untergeordnete Domänen der ursprünglichen DNS-Domäne, und delegieren Sie die Autorität für diese untergeordneten Domänen an DNS-Server, die sich in verschiedenen Subnetzen oder Standorten befinden. Auf diese Weise können Sie eine beliebige Anzahl von separaten und autonomen Entitäten innerhalb eines DNS-Namespaces erstellen, von denen jede einzelne für einen Teil des gesamten Namespaces autorisierend ist.
Durch das Erstellen von untergeordneten Domänen der internen DNS-Domäne können Sie folgende Vorteile nutzen:
| • | Verteilung der Netzwerkverwaltung. Untergeordnete Domänen ermöglichen die Verteilung und Verwaltung von Netzwerkressourcen über administrative Gruppen oder Abteilungen. Sie können untergeordnete DNS-Domänen bereitstellen, welche die vorhandenen administrativen Abteilungen im Unternehmen widerspiegeln, indem eine separate untergeordnete Domäne für jedes Netzwerksegment erstellt wird. |
| • | Netzwerklastenausgleich. Durch die Verteilung der Netzwerklast auf mehrere untergeordnete Domänen können Sie die Effizienz und Leistung des DNS-Namespaces erhöhen. |
Wenn Sie über Entitäten in der Organisation verfügen, die zurzeit eigene Netzwerkressourcen verwalten, müssen Sie bestimmen, ob diese die Autorität für ihren Teil des DNS-Namespaces besitzen müssen. Wenn dies der Fall ist, delegieren Sie die Autorität für diese untergeordnete Domäne.
Erstellen von DNS-Domänennamen und Computernamen
Bevor Sie die DNS-Infrastruktur von Windows Server 2003 bereitstellen, müssen Sie eine Namenskonvention für die DNS-Internetdomänen und internen Domänen sowie für die DNS-Computer im Netzwerk erstellen. Um eine DNS-Namenskonvention zu erstellen, müssen Sie Folgendes festlegen:
| • | Einen Internet-DNS-Domänennamen, wenn die Organisation mit dem Internet verbunden ist |
| • | Einen internen DNS-Domänennamen für die Organisation |
| • | Eine DNS-Computernamenskonvention |
Zudem müssen Sie ermitteln, ob Sie NetBIOS-Namen in Ihrer Organisation unterstützen müssen.
Erstellen eines Internet-DNS-Domänennamens
Wenn Sie eine neue DNS-Infrastruktur mit Windows Server 2003 bereitstellen, die mit dem Internet verbunden ist, müssen Sie einen Internet-DNS-Domänennamen für Ihre Organisation erstellen. Da allen Knoten im Netzwerk, für die Namensauflösung erforderlich ist, ein DNS-Name zugewiesen ist, der den Internet-DNS-Domänennamen für die Organisation enthält, sollten Sie einen kurzen und einprägsamen Internet-DNS-Domänennamen auswählen. Weil DNS hierarchisch ist, werden die DNS-Domänennamen länger, wenn Sie Ihrer Organisation untergeordnete Domänen hinzufügen. Kurze Domänennamen ermöglichen einprägsame Computernamen, die den Zugriff auf Ressourcen erleichtern.
Ein mit dem Internet verbundener DNS-Namespace muss eine untergeordnete Domäne einer Domäne der obersten Ebene oder der zweitobersten Ebene des Internet-DNS-Namespaces sein. Wenn Sie einen neuen DNS-Namespace von Windows Server 2003 bereitstellen, müssen Sie eine Internet-DNS-Domäne der obersten Ebene auswählen, in welcher der Internet-DNS-Domänenname registriert wird. Sie können beispielsweise die Domäne als untergeordnete Domäne von .com, .org oder .net registrieren, oder als untergeordnete Domäne des Domänennamens, der Ihrem Land oder Ihrer Region zugewiesen wurde, wie beispielsweise .au (Australien), .fr (Frankreich) oder .ca (Kanada).
Wenn Sie den Internet-DNS-Domänennamen ausgewählt und die Domäne der obersten Ebene festgelegt haben, von der Ihre DNS-Domäne eine untergeordnete Domäne ist, führen Sie zum Registrieren des DNS-Domänennamens die folgenden Schritte durch:
1. | Durchsuchen Sie das Internet, um zu überprüfen, ob der von Ihnen für die Organisation ausgewählte DNS-Domänenname nicht von einer anderen Organisation registriert wurde. Wenn sich der von Ihnen ausgewählte DNS-Domänenname im Eigentum einer anderen Organisation befindet, können Sie entweder einen anderen DNS-Domänennamen auswählen oder versuchen, den Namen von dieser Organisation zu kaufen. |
2. | Konfigurieren Sie mindestens einen autorisierenden DNS-Server zum Hosten der DNS-Zone für den Domänennamen. Dieser DNS-Server könnte sich in Ihrem Netzwerk oder im Netzwerk Ihres Internetdienstanbieters befinden. |
Registrieren Sie den DNS-Domänennamen bei einer Internetregistrierungsstelle, und stellen Sie der Registrierungsstelle den DNS-Namen und die IP-Adresse von mindestens einem DNS-Server zur Verfügung, der für Ihren DNS-Domänennamen autorisierend ist. Eine englischsprachige Liste von Internetregistrierungsstellen finden Sie unter der Verknüpfung 'I-CANN-Accredited Registrars' auf der Seite Web Resources unter http://www.microsoft.com/windows/reskits/webresources/.
Der Registrierungsprozess von Internetdomänennamen variiert je nach Entwurf des DNS-Namespaces. Tabelle 4.6 listet die Domänennamen auf, die Sie für jeden Typ von DNS-Namespaceentwürfen registrieren müssen.
Tabelle 4.6 Registrierung von Internet-DNS-Domänennamen
| Namespaceentwurf | Domänennamenregistrierung | Beispiel |
Der interne Domänenname ist eine untergeordnete Domäne der externen Domäne. | Registrieren Sie nur den externen Domänennamen. |
Der Domänenname contoso.com wird für den externen Namespace verwendet. |
Die Namen der internen und externen Domänen stehen nicht in Bezug zueinander. | Registrieren Sie sowohl den internen als auch den externen Domänennamen. |
Der Domänenname contoso.com wird für den externen Namespace verwendet. |
Der interne Domänenname stimmt mit dem externen Domänennamen überein. Die Organisation verfügt jedoch über einen privaten Namespace. | Registrieren Sie den internen/externen Domänennamen. | Der Domänenname contoso.com wird sowohl für den internen als auch den externen Namespace verwendet. |
Wenn Sie den DNS-Domänennamen registrieren, erstellt die Internetregistrierungsstelle eine Delegierung in der DNS-Zone, die für die von Ihnen ausgewählte Domäne der obersten Ebene autorisierend ist. Dabei handelt es sich um die Domäne der obersten Ebene für die DNS-Server, die für den Internet-DNS-Domänennamen Ihrer Organisation autorisierend sind.
Anmerkung Wenn ein Domänenname, den Sie registrieren möchten, nicht in einer Domäne der obersten Ebene wie .com verfügbar ist, dürfen Sie denselben Domänennamen nicht in einer anderen Domäne der obersten Ebene wie .net registrieren. Benutzer, die nach Ihrem Domänennamen suchen, könnten sonst davon ausgehen, dass die Computer und Dienste in der anderen Domäne der obersten Ebene zu Ihrem Unternehmen gehören.
Erstellen von internen DNS-Domänennamen
Beim Erstellen von Namen für die internen Domänen müssen Sie die folgenden Richtlinien beachten:
| • | Wenn Ihre Organisation über eine Internetpräsenz verfügt, verwenden Sie Namen mit Bezug auf Ihren registrierten Internet-DNS-Domänennamen. Wenn Sie beispielsweise den Internet-DNS-Domänennamen contoso.com für Ihre Organisation registriert haben, verwenden Sie einen DNS-Domänennamen wie corp.contoso.com für den Intranetdomänennamen. |
| • | Um Probleme mit der Namensauflösung zu vermeiden, dürfen Sie nicht den Namen einer externen Unternehmensentität oder einen Produktnamen als Domänennamen verwenden. |
| • | Verwenden Sie keine Internetdomänennamen der obersten Ebene wie .com, .net, .org, .us, .fr oder .gr in Ihrem Intranet. Wenn Sie Internetdomänennamen der obersten Ebene für Domänennamen in Ihrem Intranet verwenden, kann dies zu Namensauflösungsfehlern bei Computern in Ihrem Netzwerk führen, die mit dem Internet verbunden sind. |
| • | Verwenden Sie keine Akronyme oder Abkürzungen für Domänennamen. Unternehmenseinheiten, die mit solchen Akronymen bezeichnet werden, sind für die Benutzer schwer zu erkennen. |
| • | Verwenden Sie keine Namen von Unternehmenseinheiten oder Abteilungen als Domänennamen. Unternehmenseinheiten und andere Abteilungen ändern sich in regelmäßigen Abständen, und die Domänennamen sind dann nicht mehr aktuell oder irreführend. |
| • | Verwenden Sie keine geografischen Namen mit komplizierter Schreibweise, die sich die Benutzer nicht einprägen können. |
| • | Vermeiden Sie es, die DNS-Domänennamenhierarchie über mehr als fünf Ebenen von der internen oder Internetstammdomäne auszudehnen. Wenn Sie das Ausmaß der Domänennamenhierarchie begrenzen, werden die Verwaltungskosten verringert. |
Wenn Sie DNS in einem privaten Netzwerk bereitstellen und das Erstellen eines externen Namespaces nicht planen, wird empfohlen, dass Sie den DNS-Domänennamen registrieren, den Sie für die interne Domäne erstellen. Wenn Sie den Namen nicht registrieren und später versuchen, ihn im Internet zu verwenden oder eine Verbindung mit einem Netzwerk herzustellen, das mit dem Internet verbunden ist, könnten Sie möglicherweise feststellen, dass der Name nicht verfügbar ist.
Erstellen von DNS-Computernamen
Es ist wichtig, eine verwendbare DNS-Computernamenkonvention für das Netzwerk zu entwickeln. Dadurch können sich die Benutzer die Namen der Computer in öffentlichen und privaten Netzwerken leicht einprägen, und der Zugriff auf Ressourcen in Ihrem Netzwerk wird vereinfacht.
Der Erstellungsprozess von DNS-Computernamen variiert je nachdem, ob Sie eine neue DNS-Infrastruktur erstellen, die DNS-Infrastruktur in eine vorhandene Infrastruktur eines Drittanbieters integrieren oder eine vorhandene DNS-Infrastruktur aktualisieren.
Erstellen von Computernamen in einer neuen DNS-Infrastruktur von Windows Server 2003
Verwenden Sie die folgenden Richtlinien, wenn Sie Namen für die DNS-Computer in der neuen DNS-Infrastruktur von Windows Server 2003 gestalten:
| • | Wählen Sie für Benutzer leicht einprägsame Computernamen aus. |
| • | Kennzeichnen Sie den Eigentümer eines Computers im Computernamen. Beispielsweise gibt john-doe-1 an, dass John Doe den Computer verwendet. |
| • | Wählen Sie Namen aus, die den Zweck des Computers beschreiben. Beispielsweise gibt ein Dateiserver mit der Bezeichnung past-accounts-1 an, dass der Dateiserver Daten zu früheren Konten speichert. |
| • | Unterscheiden Sie nicht zwischen Groß- und Kleinschreibung, wenn Sie den Eigentümer oder Zweck eines Computers bezeichnen. DNS unterstützt keine Groß-/Kleinschreibung. |
| • | Verwenden Sie den Active Directory-Domänennamen für das primäre DNS-Suffix des Computernamens. Wenn ein Computer nicht mit einer Domäne verbunden ist, verwenden Sie einen registrierten Internetdomänennamen oder eine Ableitung eines registrierten Internetdomänennamens als primäres DNS-Suffix. |
| • | Verwenden Sie eindeutige Namen für alle Computer in Ihrer Organisation. Weisen Sie denselben Computernamen nicht verschiedenen Computern in verschiedenen DNS-Domänen zu. |
| • | Verwenden Sie ASCII-Zeichen, um die Interoperabilität mit Computern mit früheren Versionen von Windows als Windows 2000 sicherzustellen. Verwenden Sie für DNS-Computernamen nur die Zeichen, die in RFC 1123, 'Requirements for Internet Hosts - Application and Support' aufgelistet werden. Dazu zählen A-Z, a-z, 0-9 und der Bindestrich (-). Das Windows Server 2003-DNS unterstützt fast alle UTF-8-Zeichen in einem Namen. Sie sollten jedoch keine erweiterten ASCII- oder UTF-8-Zeichen verwenden, wenn Sie sich nicht sicher sind, dass alle DNS-Server in Ihrer Umgebung diese unterstützen. |
Erstellen von Computernamen in einer integrierten DNS-Infrastruktur
Wenn Sie das Windows Server 2003-DNS in eine vorhandene DNS-Infrastruktur eines Drittanbieters integrieren, dürfen Sie keine Änderungen an den DNS-Hostnamen des Drittanbieters vornehmen. Wenn Sie auf das Windows Server 2003-DNS von einer DNS-Infrastruktur eines Drittanbieters migrieren, müssen Sie sicherstellen, dass die in der DNS-Infrastruktur des Drittanbieters verwendeten Hostnamen den Standards für DNS-Internetnamen entsprechen.
Wenn Sie eine vorhandene öffentliche DNS-Infrastruktur, die mit dem Internet verbunden ist, in Ihre vorhandene DNS-Infrastruktur integrieren oder von dieser Struktur migrieren, müssen Sie keine Änderungen an den DNS-Domänennamen der Infrastruktur vornehmen.
Erstellen von Computernamen beim Aktualisieren einer DNS-Infrastruktur
Wenn Sie auf das Windows Server 2003-DNS von Windows NT 4.0 aktualisieren, müssen Sie die DNS-Hostnamen nicht ändern. Sie müssen jedoch die vorhandenen NetBIOS-Namen in DNS-Namen konvertieren. Beide Namenstypen müssen mit dem DNS-Standard gemäß RFC 1123, 'Requirements for Internet Hosts - Application and Support' übereinstimmen. Dieser Standard umfasst alle Großbuchstaben (A-Z), Kleinbuchstaben (a-z), Zahlen (0-9) und den Bindestrich (-).
Tabelle 4.7 listet die verschiedenen Zeichensätze auf, die von dem standardmäßigen DNS, Windows Server 2003-DNS und NetBIOS unterstützt werden.
Tabelle 4.7 Zeichensatzeinschränkungen
| Zeichensatzeinschränkung | Standardmäßiges DNS (einschließlich Windows NT 4.0) | DNS unter Windows 2000 und Windows Server 2003 | NetBIOS |
Zulässige Zeichen | Unterstützt RFC 1123 (dort werden 'A' bis 'Z', 'a' bis 'z', '0' bis '9' und der Bindestrich (-) zugelassen). | Unterstützt RFC 1123 und UTF-8. Sie können den DNS-Server von Windows 2000 so konfigurieren, dass die Nutzung von UTF-8-Zeichen auf dem Windows 2000-Server entweder zugelassen oder nicht zugelassen wird. Sie können diese Einstellung für jeden Server festlegen. | Nicht zulässig: Unicode-Zeichen, Zahlen, Leerzeichen, Symbole: / \ [ ] : | + = ; , ? und *) |
Maximale Länge für Hostname und FQDN. | 63 Oktette pro Bezeichnung. 255 Byte pro FQDN (254 Byte für den FQDN plus ein Byte für den abschließenden Punkt). | Entspricht dem standardmäßigen DNS plus der UTF-8-Unterstützung. Die Zeichenanzahl ist als Kriterium für die Größe nicht ausreichend, da einige UTF-8-Zeichen die Länge von einem Oktett überschreiten. Domänencontroller sind auf 155 Byte für einen FQDN beschränkt. | 15 Byte Länge. |
Wichtig Namen, die im UTF-8-Format codiert wurden, dürfen die in RFC 2181, 'Clarifications to the DNS Specification' definierten Beschränkungen von maximal 63 Oktetten pro Bezeichnung und 255 Oktetten pro Name nicht überschreiten. Die Zeichenanzahl ist als Kriterium für die Größe nicht ausreichend, da einige UTF-8-Zeichen die Länge von einem Oktett überschreiten.
Ermitteln, ob NetBIOS-Namen unterstützt werden müssen
Wenn Sie die Domäne auf Windows Server 2003 aktualisieren, müssen Sie möglicherweise NetBIOS im Netzwerk unterstützen, falls die Domäne Clients mit früheren Versionen von Windows als Windows 2000 enthält. Wenn das Netzwerk beispielsweise in viele Segmente unterteilt ist, wird WINS zum Erstellen der NetBIOS-Suchliste benötigt. Ohne WINS muss das Netzwerk auf Active Directory zurückgreifen, um nach Ressourcen zu suchen. Dies kann Clients mit früheren Versionen von Windows als Windows 2000 spürbar beeinträchtigen.
Das Windows Server 2003-DNS ist mit WINS kompatibel. Daher können Sie in einer gemischten Netzwerkumgebung eine Kombination aus DNS und WINS verwenden. Auf diese Weise können Sie die Funktionalität des Netzwerks zum Suchen nach Ressourcen und Diensten erweitern. Windows NT 4.0-basierte Clients können sowohl im Windows 2000-WINS als auch im Windows Server 2003-WINS registriert werden. Zudem können Computer, auf denen entweder Windows 2000 Professional oder Windows® XP® Professional ausgeführt wird, im Windows NT 4.0-WINS registriert werden. Aus Gründen der Abwärtskompatibilität erhält jeder Computer einen NetBIOS-Namen, der in der Domäne des Computers eindeutig sein muss.
Das Beibehalten vorhandener NetBIOS-Namen kann mit Schwierigkeiten verbunden sein, da NetBIOS-Namen über einen umfassenderen Zeichensatz verfügen als DNS-Namen. Eine Lösung besteht darin, NetBIOS-Namen durch DNS-Namen zu ersetzen, damit die Namen in jedem Fall den vorhandenen DNS-Namenstandards entsprechen. Dabei handelt es sich um einen zeitaufwändigen Prozess, der nicht von Organisationen genutzt werden kann, die Computer mit früheren Versionen von Windows als Windows 2000 unterstützen.
RFC 2181, 'Clarifications to the DNS Specification', erweitert den in DNS-Namen zulässigen Zeichensatz um beliebige Binärzeichenfolgen. Die Binärzeichenfolgen müssen nicht als ASCII interpretiert werden. Windows 2000 und Windows Server 2003 unterstützen die UTF-8-Zeichencodierung (RFC 2044). UTF-8 ist eine Obermenge von ASCII und eine Übersetzung der UCS-2-(oder Unicode-)Zeichencodierung. Der UTF-8-Zeichensatz ermöglicht Ihnen den Übergang von NetBIOS-Namen von Windows NT 4.0 zu DNS-Namen von Windows 2000 und Windows Server 2003.
Standardmäßig wird die Multibyte-UTF-8-Namensüberprüfung verwendet. Dies ermöglicht die größte Toleranz beim Verarbeiten von Zeichen durch den DNS-Dienst. Es handelt sich dabei um die bevorzugte Namensüberprüfungsmethode für die meisten privat betriebenen DNS-Server, die keine Namensdienste für Internethosts bereitstellen.
Wichtig Das DNS von Windows Server 2003 und Windows 2000 unterstützen NetBIOS- und UTF-8-Zeichen für Computernamen. Andere Versionen von DNS unterstützen nur die Zeichen, die in RFC 1123 zugelassen werden. Verwenden Sie daher nur NetBIOS- und UTF-8-Zeichensätze, wenn Sie sicher sind, dass das DNS von Windows Server 2003 oder von Windows 2000 als Methode für die Namensauflösung verwendet wird. Namen, die im Internet angezeigt werden sollen, dürfen gemäß der Empfehlung in RFC 1123 ausschließlich ASCII-Zeichen enthalten.
Beispiel: Zusammenführen von DNS-Namespaces
Contoso Corporation fusionierte mit Acquired Corporation. Vor der Fusion verwendete jedes Unternehmen interne Domänen, die untergeordnete Domänen der externen Domänen waren. Contoso Corporation verwendete für eine vereinfachte DNS-Serververwaltung einen privaten Stamm. Um die Erstellung und Verwaltung von Ausschlusslisten oder PAC-Dateien zu vermeiden, wurden Abfragen von Acquired Corporation an das Internet weitergeleitet, statt einen privaten Stamm zu verwenden.
Der externe Namespace des kürzlich fusionierten Unternehmens enthält die Zonen contoso.com und acquired.com. Jede Zone im externen Namespace enthält die DNS-Ressourceneinträge, welche die Unternehmen im Internet bereitstellen möchten. Der interne Namespace enthält die internen Zonen corp.contoso.com und corp.acquired.com.
Die Unternehmenseinheiten Contoso und Acquired verwenden jeweils eine unterschiedliche Methode zum Auflösen von Namen in ihrem jeweiligen Namespace. Die Unternehmenseinheit Contoso verwendet extern den Namen contoso.com und intern corp.contoso.com. Die internen Stammserver hosten die Stammzone. Interne Server hosten auch die Zone corp.contoso.com. Der Name contoso.com ist bei einer Internetnamensstelle registriert.
Um sicherzustellen, dass jeder Client innerhalb der Organisation jeden Namen im kürzlich fusionierten Unternehmen auflösen kann, enthält die private Stammzone eine Delegierung mit der Zone für die oberste Ebene des internen Namespaces im fusionierten Unternehmen: corp.acquired.com.
Alle Computer der Unternehmenseinheit Contoso unterstützen entweder Ausschlusslisten oder PACs. Zum Auflösen von internen und externen Namen muss jeder DNS-Client alle Abfragen auf Grundlage einer Ausschlussliste oder PAC-Datei entweder an die internen DNS-Server oder an einen Proxyserver weiterleiten. Abbildung 4.4 zeigt diese Konfiguration.
Abbildung 4.4 Namensauflösung in der Unternehmenseinheit Contoso
Auf Grundlage dieser Konfiguration können interne Clients Namen mit folgenden Methoden abfragen:
| • | Abfragen interner DNS-Server nach internen Namen. Die internen DNS-Server lösen die Abfrage auf. Wenn ein DNS-Server, der eine Abfrage erhält, nicht die angeforderten Daten in seinen Zonen oder im Zwischenspeicher enthält, führt er rekursive Namensauflösung aus und stellt hierzu Kontakt mit den internen Stamm-DNS-Servern her. |
| • | Abfragen eines Proxyservers nach Namen im Internet. Der Proxyserver leitet die Abfrage an DNS-Server im Internet weiter. Die DNS-Server im Internet lösen die Abfrage auf. |
| • | Abfragen eines Proxyservers nach Namen im externen Namespace der Unternehmenseinheit Contoso. Der Proxyserver leitet die Abfrage an DNS-Server im Internet weiter. Die DNS-Server im Internet lösen die Abfrage auf. |
| • | Abfragen interner DNS-Server nach Namen in der Unternehmenseinheit Acquired. Da die Stammserver eine Delegierung mit der obersten Ebene des DNS-Namespaces der Unternehmenseinheit Acquired enthalten, lösen die internen DNS-Server die Abfrage rekursiv durch Kontaktieren der DNS-Server in der Unternehmenseinheit Acquired auf. |
Externe Clients:
| • | Können interne Namen nicht abfragen. Diese Einschränkung trägt zum Sichern des internen Netzwerks bei. |
| • | Fragen DNS-Server im Internet nach Namen im externen Namespace der Unternehmenseinheit Contoso ab. Die DNS-Server im Internet lösen die Abfrage auf. |
Die Unternehmenseinheit Acquired verwendet extern den Namen acquired.com und intern den Namen corp.acquired.com. Der Server InternalDNS.corp.acquired0.com hostet die Zone corp.acquired.com. Die Unternehmenseinheit Acquired hat keinen privaten Stamm.
Für die einfachere Verwaltung von Clients und DNS-Servern haben sich die Administratoren der Unternehmenseinheit Acquired für die bedingte Weiterleitung entschieden. Die Administratoren haben den DNS-Server InternalDNS.corp.acquired.com für das Weiterleiten von Abfragen auf die folgende Weise konfiguriert:
| • | Der Server leitet alle Abfragen, die für die Unternehmenseinheit Contoso vorgesehen sind, an einen DNS-Server für die Unternehmenseinheit Contoso weiter. Beispielsweise leitet der Server Abfragen, die für corp.contoso.com bestimmt sind, an InternalDNS.corp.contoso.com weiter. |
| • | Gleichzeitig leitet der Server alle anderen Abfragen, die für contoso.com bestimmt sind, an einen DNS-Server im Internet weiter. |
Abbildung 4.5 zeigt diese Konfiguration.
Abbildung 4.5 Bedingte Weiterleitung in der Unternehmenseinheit Acquired
Entwerfen von DNS-Servern
DNS-Server speichern Informationen über den DNS-Namespace und verwenden diese Daten zum Beantworten von Abfragen der DNS-Clients. Die Entscheidung, an welchem Ort Informationen über Ihren Teil des DNS-Namespaces gespeichert werden, wie viele DNS-Clients Sie verwenden und wo sich diese Clients physisch befinden, wirkt sich jeweils auf die DNS-Servertopologie aus.
Durch sorgfältiges Planen der Gestaltung von DNS-Servern können Sie eine effiziente Topologie zum Verteilen und Aktualisieren von DNS-Daten erstellen. Zudem können Sie den für Verteilung und Aktualisierung erforderlichen Netzwerkverkehr minimieren. Abbildung 4.6 zeigt den Prozess beim Entwerfen von DNS-Servern.
Abbildung 4.6 Entwerfen von DNS-Servern
Zuweisen von Hardwareressourcen
Beim Zuweisen von Hardwareressourcen für DNS-Server müssen Sie folgende grundlegende Empfehlungen für Serverhardware berücksichtigen:
| • | Computer mit zwei Prozessoren mit 400 MHz Pentium II-CPUs. |
| • | 256 MB RAM für jeden Prozessor. |
| • | 4 GB-Festplatten. |
Durch schnellere CPUs, mehr RAM und größere Festplatten wird die Skalierbarkeit und Leistung der DNS-Server verbessert. Sie müssen zudem berücksichtigen, dass DNS-Server ungefähr 100 Byte RAM für jeden Ressourceneintrag benötigen.
Sie können die Leistung von DNS-Servern dadurch verbessern, dass Sie Computer mit zwei Prozessoren verwenden und dann dem ersten Prozessor den DNS-Serverdienst und dem zweiten Prozessor die Datenbankprozesse wie Zonenübertragungen zuweisen.
Bestimmen der Anzahl der benötigten DNS-Server
Zum Verringern des Verwaltungsaufwands verwenden Sie die Mindestzahl an erforderlichen DNS-Servern. Sie sollten für Fehlertoleranz und Lastenausgleich mindestens zwei autorisierende DNS-Server für jede Zone festlegen.
Durch Hinzufügen von zusätzlichen DNS-Servern können Sie Folgendes erreichen:
| • | Ermöglichen von Redundanz, wenn der Namespaceentwurf größere DNS-Verfügbarkeit erfordert. |
| • | Verbessern der Abfrageleistung, wenn bessere DNS-Leistung erforderlich ist. |
| • | Verringern des WAN-Verkehrs für Remotestandorte. |
Verwenden Sie die folgenden Richtlinien, um die Anzahl der bereitzustellenden DNS-Server zu ermitteln:
| • | Wenn Sie viele Clients besitzen, fügen Sie zusätzliche DNS-Server zum Hosten sekundärer oder Active Directory-integrierter Zonen hinzu. Ziehen Sie die erwartete Anzahl der Abfragen und der dynamischen Aktualisierungen pro Sekunde heran, um die Anzahl der benötigten DNS-Server zu bestimmen. Der DNS-Serverdienst von Windows Server 2003 kann bei einem Pentium III-Mikroprozessor mit 700 MHz auf mehr als 10.000 Abfragen pro Sekunde reagieren. |
Informationen zur Kapazitätsplanung finden Sie unter 'Zuweisen von Hardwareressourcen' weiter oben in diesem Kapitel.
| • | Wenn Sie Zonen delegieren, fügen Sie zusätzliche DNS-Server zum Verarbeiten der delegierten Zonen hinzu. Beachten Sie, dass Sie keine Zonen delegieren müssen, wenn Sie über mehrere Zonen verfügen. Sie können alle Zonen auf demselben Server oder denselben Servern hosten. Ein DNS-Server von Windows Server 2003 kann 200.000 Zonen mit 6 Ressourceneinträgen hosten. |
| • | Wenn Sie Active Directory-integrierte Zonen hosten möchten, müssen Sie diese Zonen auf Domänencontrollern mit installiertem DNS-Server platzieren. |
| • | Wenn Sie keine Active Directory-integrierten Zonen verwenden, können Zonenübertragungen und DNS-Abfrageverkehr langsame Verbindungen überlasten. Wenn in Ihrer Umgebung ein hohes Volumen an Netzwerkverkehr zu erwarten ist, fügen Sie zusätzliche DNS-Server für den Lastenausgleich hinzu. Obwohl DNS mit Blick auf die Verringerung von Broadcastverkehr zwischen lokalen Subnetzen konzipiert wurde, entsteht dadurch ein gewisser Verkehr zwischen Servern und Clients, der insbesondere in komplexen weitergeleiteten Umgebungen nicht vernachlässigt werden sollte. Darüber hinaus bleiben Überlegungen zum Netzwerkverkehr manchmal ein wichtiges Thema, selbst wenn der DNS-Dienst inkrementelle Zonenübertragungen (Incremental Zone Transfers oder IXFRs) unterstützt und die Clients und Server kürzlich zuvor verwendete Namen zwischenspeichern können. Dies gilt vor allem bei kurzen DHCP-Leases, bei denen häufiger dynamische Aktualisierungen erforderlich sind. |
| • | Wenn Sie über ein geroutetes LAN mit zuverlässigen Hochgeschwindigkeitsverbindungen verfügen, kann ein DNS-Server möglicherweise für einen größeren Netzwerkbereich mit mehreren Subnetzen ausreichend sein. |
| • | Wenn Sie über viele Clients in einem einzelnen Subnetz verfügen, ermöglicht das Platzieren von mehreren DNS-Servern im Subnetz das Nutzen von Sicherungs- und Failoverfunktionen für den Fall, dass der bevorzugte DNS-Server nicht mehr reagiert. |
Wenn Ihr DNS-Entwurf primäre und sekundäre Zonen umfasst und Sie eine große Anzahl von sekundären Servern für eine Zone ausführen, wird der primäre Masternamensserver möglicherweise überlastet, falls die sekundären Server zur Aktualitätsprüfung ihrer Zonendaten Abfragen ausführen. Sie können dieses Problem mit drei verschiedenen Methoden lösen:
| • | Verwenden Sie einige der sekundären Server als Masterserver für die Zone. Andere sekundäre Server können Zonenaktualisierungen von diesen Masterservern abfragen und anfordern. |
| • | Erhöhen Sie das Aktualisierungsintervall, damit die sekundären Server seltener Abfragen ausführen. Sie müssen allerdings beachten, dass ein längeres Aktualisierungsintervall dazu führt, dass die sekundären Zonen häufiger nicht auf dem aktuellen Stand sind. |
| • | Erstellen Sie DNS-Server, die ausschließlich der Zwischenspeicherung dienen. Remotestandorte können von einem lokalen DNS-Server, der ausschließlich der Zwischenspeicherung dient, in gleicher Weise wie von DNS-Servern profitieren, die Sie zum Steigern der Verfügbarkeit hinzugefügt haben. |
Ermitteln der optimalen Platzierung von DNS-Servern
Die Platzierung von DNS-Servern und die Anzahl der bereitgestellten DNS-Server beeinflussen die Verfügbarkeit, Sicherheit und Leistung von DNS. Sie müssen die Platzierung der DNS-Server so planen, dass die Verfügbarkeit von DNS und Active Directory gewährleistet wird.
Platzieren von DNS-Servern mit Blick auf die Verfügbarkeit
Um die Verfügbarkeit von DNS immer zu gewährleisten, müssen Sie in der DNS-Infrastruktur mögliches Einzelpunktversagen ausschließen. Zum Verbessern von Fehlertoleranz und Lastenausgleich müssen Sie mindestens zwei DNS-Server für jede Zone als autorisierende Server einrichten. Hierzu können Sie folgende Methoden verwenden:
| • | Wenn Sie über ein LAN verfügen, platzieren Sie zwei DNS-Server in separaten Subnetzen. |
| • | Wenn Sie über ein WAN verfügen, platzieren Sie die beiden DNS-Server, die für jede Zone autorisierend sind, in verschiedenen Netzwerken. |
Stellen Sie sicher, dass mindestens ein DNS-Server für jedes Netzwerk verfügbar ist. Diese Vorsichtsmaßnahme schließt Router als Fehlerstelle aus. Verteilen Sie die DNS-Server über verschiedene geografische Standorte, wenn dies möglich ist. Dadurch kann die Kommunikation auch bei Naturkatastrophen fortgesetzt werden.
Wenn Sie Einzelpunktversagen im Netzwerk identifizieren, müssen Sie ermitteln, ob diese nur DNS oder die gesamten Netzwerkdienste betreffen. Wenn ein Router ausfällt und die Clients auf keinerlei Netzwerkdienste zugreifen können, ist der Ausfall von DNS kein Problem. Wenn ein Router ausfällt und lokale DNS-Server nicht verfügbar sind, aber die anderen Netzwerkdienste weiterhin zur Verfügung stehen, können die Clients nicht auf erforderliche Netzwerkressourcen zugreifen, da sie keine DNS-Namen ermitteln können.
Wenn Sie über eine Internetpräsenz verfügen, muss DNS ordnungsgemäß funktionieren, damit Clients auf Ihre Webserver zugreifen, E-Mails senden und andere Dienste ausfindig machen können. Daher wird empfohlen, dass Sie einen sekundären DNS-Server offsite betreiben. Wenn Sie eine Geschäftsbeziehung mit einer Organisation im Internet aufrechterhalten, entweder mit Geschäftspartnern oder Internetdienstanbietern, könnten sich diese dazu bereit erklären, einen sekundären Server für Sie zu betreiben. Sie müssen sich jedoch vergewissern, dass die Daten auf dem Server der Organisation gegen Angreifer aus dem Internet gesichert sind.
Um die Verfügbarkeit von DNS beim Ausfall der primären Offsite-DNS-Server sicherzustellen, sollten Sie die Bereitstellung eines sekundären Offsite-DNS-Servers in Betracht ziehen. Diese Vorsichtsmaßnahme wird selbst dann empfohlen, wenn Sie über keine Internetpräsenz verfügen.
Platzieren von DNS-Servern mit Blick auf die Verfügbarkeit von Active Directory
Die DNS-Verfügbarkeit beeinflusst unmittelbar die Verfügbarkeit von Active Directory. Die Clients greifen auf DNS zurück, um Domänencontroller ausfindig zu machen. Die Domänencontroller greifen wiederum auf DNS zurück, um andere Domänencontroller zu finden. Aus diesen Grund sollte möglicherweise die Anzahl und Platzierung der DNS-Server an die Anforderungen der Active Directory-Clients und Domänencontroller angepasst werden.
Es empfiehlt sich, mindestens einen DNS-Server auf jeder Site zu platzieren. Vergewissern Sie sich, dass die DNS-Server auf der Site für die Locatoreinträge der Domänen auf dieser Site autorisierend sind, damit die Clients keine Offsite-DNS-Server abfragen müssen, um Domänencontroller auf einer Site ausfindig zu machen. Domänencontroller überprüfen regelmäßig, ob der Inhalt der Locatoreinträge korrekt ist.
Anmerkung Sie können den DNS-Serverdienst von Windows Server 2003 auf einem Domänencontroller oder mehreren Domänencontrollern auf jeder Site ausführen und dann Active Directory-integrierte Zonen für den Zonennamen hinzufügen, welcher der Active Directory-Domäne entspricht. Dies ist eine einfache Konfiguration, die allen Anforderungen entspricht. Die zusätzlichen Replikationsaktivitäten, die durch das Hinzufügen von DNS zu einem Domänencontroller entstehen, sind normalerweise minimal.
Verwenden von Forwardern
Wenn ein DNS-Server ordungsgemäß konfiguriert ist, aber eine Abfrage nicht mithilfe seines Zwischenspeichers oder seiner Zonen auflösen kann, leitet er eine Abfrage an einen anderen Server weiter, der Forwarder genannt wird. Bei Forwardern handelt es sich um normale DNS-Server, die keine besondere Konfiguration erfordern. Ein DNS-Server wird als Forwarder bezeichnet, da er der Empfänger einer Abfrage ist, die an ihn von einem anderen DNS-Server weitergeleitet wurde.
Die Verwendung von Weiterleitungen ist für Offsite- oder Internetnetzwerkverkehr nützlich. Beispielsweise kann ein DNS-Server in einer Zweigstelle den gesamten Offsitenetzwerkverkehr an eine Weiterleitung im Firmenhauptsitz weiterleiten, und ein interner DNS-Server kann den gesamten Internetnetzwerkverkehr an eine Weiterleitung im Internet weiterleiten. Um die Verfügbarkeit sicherzustellen, empfiehlt es sich, Abfragen an mehrere Forwarder weiterzuleiten.
Verwenden Sie Kettenweiterleitungen, um die Anzahl der Server zu begrenzen, die Abfragen offsite senden müssen. Beispielsweise können Ihre internen DNS-Server alle Abfragen an eine Weiterleitung oder zwei Forwarder weiterleiten, die dann wiederum Abfragen an einen Server im Internet weiterleitet bzw. weiterleiten. Auf diese Weise müssen die internen DNS-Server das Internet nicht direkt abfragen. Je nach den vorhandenen Netzwerkverkehrsmustern können Forwarder das Ausmaß des Offsitenetzwerkverkehrs in der Organisation minimieren.
Forwarder stellen auch zusätzliche Netzwerksicherheit bereit, indem sie die Liste mit DNS-Servern minimieren, die über einen Firewall kommunizieren können.
Sie können die bedingte Weiterleitung verwenden, um den Namensauflösungsprozess auf einer differenziertere Ebene zu steuern. Mithilfe von Forwardern mit Bedingungen können Sie den Forwardern spezifische Domänen zuweisen. Sie können mithilfe von bedingten Weiterleitungen Folgendes auflösen:
| • | Abfragen nach Namen in internen Offsitedomänen |
| • | Abfragen nach Namen in anderen Namespaces |
Verwenden von Weiterleitungen mit Bedingungen zum Abfragen von Namen in internen Offsitedomänen
Verwenden Sie Weiterleitungen mit Bedingungen, um Servern das Abfragen von Namen in internen Offsitedomänen zu ermöglichen und somit unnötigen WAN-Netzwerkverkehr durch Abfragen zu vermeiden. Im Windows Server 2003-DNS lösen Nicht-Stammserver mit einer der folgenden Methoden Namen auf, wenn sie für diese Namen nicht autorisierend sind, keine Delegierung aufweisen und die Namen nicht zwischengespeichert haben:
| • | Abfragen eines Stammservers. |
| • | Weiterleiten von Abfragen an einen Forwarder. |
Dadurch wird zusätzlicher Netzwerkverkehr generiert. Beispiel: Ein Nicht-Stammserver am Standort A ist für die Weiterleitung von Abfragen an einen Forwarder am Standort B konfiguriert und muss einen Namen in einer Zone auflösen, die von einem Server am Standort C gehostet wird. Da der Nicht-Stammserver Abfragen nur an Site B weiterleiten kann, ist es ihm nicht möglich, den Server am Standort C direkt abzufragen. Stattdessen leitet er die Abfrage an den Forwarder am Standort B weiter, und der Forwarder fragt den Server am Standort C ab.
Wenn Sie die bedingte Weiterleitung einsetzen, können Sie die DNS-Server für die Weiterleitung von Abfragen an verschiedene Server konfigurieren, wobei der in der Abfrage angegebene Domänenname berücksichtigt wird. Dadurch werden einzelne Schritte in der Weiterleitungskette überflüssig. Dies führt zu verringertem Netzwerkverkehr. Bei der bedingten Weiterleitung kann der Server am Standort A Abfragen an Fortwarder an Site B oder C je nach Bedarf weiterleiten.
Beispielsweise müssen die Computer der Contoso Corporation am Standort Sevilla die Computer am Standort Hongkong S.A.R. abfragen. Beide Standorte verwenden einen gemeinsamen DNS-Stammserver mit Namen DNS3.Seville.avionics01-int.com, der sich in Seattle befindet.
Bevor Contoso die Aktualisierung auf Windows Server 2003 durchgeführt hat, leitete der Server in Sevilla alle Abfragen, die er nicht auflösen konnte, an den übergeordneten Server DNS1.avionics01-int.com in Seattle weiter. Wenn der Server in Sevilla Namen für die Domäne Avionics (in Hongkong S.A.R. und Tokio) abfragte, wurden diese Abfragen erst durch den Server in Sevilla nach Seattle weitergeleitet.
Nach der Aktualisierung auf Windows Server 2003 haben Administratoren den DNS-Server in Sevilla so konfiguriert, dass für den Standort Hongkong S.A.R. bestimmte Abfragen direkt und ohne Umweg über Seattle an einen Server auf dieser Site weitergeleitet werden. Dies wird in Abbildung 4.7 gezeigt.
Abbildung 4.7 Bedingte Weiterleitung an einen Offsiteserver
Die Administratoren haben DNS3.Seville.avionics01-int.com so konfiguriert, dass alle Abfragen an acquired01-int.com an DNS5.acquired01-int.com oder DNS6.acquired01-int.com weitergeleitet werden. DNS3.Seville.avionics01-int.com leitet alle anderen Abfragen an DNS1.avionics01-int.com oder DNS2.avionics01-int.com weiter.
Weitere englischsprachige Informationen über die bedingte Weiterleitung finden Sie unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits(oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Verwenden der bedingten Weiterleitung zum Abfragen von Namen in anderen Namespaces
Wenn Ihr internes Netzwerk über keinen privaten Stamm verfügt und die Benutzer auf andere Namespaces wie beispielsweise das Netzwerk eines Partnerunternehmens zugreifen müssen, verwenden Sie die bedingte Weiterleitung, um Servern das Abfragen von Namen in anderen Namespaces zu ermöglichen.
Bevor die bedingte Weiterleitung verfügbar war, konnten DNS-Server Abfragen nur an einen einzelnen Server weiterleiten. Aufgrund dieser Einschränkung war es üblich, Server so zu konfigurieren, dass alle Abfragen, die nicht aufgelöst werden konnten (alle Abfragen außerhalb des Namespaces) an einen Server im Internet weitergeleitet wurden. Auf diese Weise konnten interne DNS-Server Namen innerhalb des internen Namespaces und im Internetnamespace auflösen. Um jedoch Namen in anderen Namespaces aufzulösen, mussten alle DNS-Server, welche die Domäne der obersten Ebene für das Unternehmen hosteten, auch eine sekundäre Zone für die Domäne der obersten Ebene des Partnerunternehmens hosten. Diese Lösung erforderte zusätzlichen Speicherplatz auf dem DNS-Server und hatte zusätzlichen Zonenübertragungsverkehr zur Folge. Mithilfe der bedingten Weiterleitung können DNS-Server Abfragen an verschiedene Server auf Grundlage des Domänennamens weiterleiten, so dass keine sekundären Zonen mehr erforderlich sind.
Contoso Corporation verfügt beispielsweise über zwei Namespaces: Contoso und Acquired. Die Computer in jeder Unternehmenseinheit müssen auf den jeweils anderen Namespace zugreifen. Zudem benötigen die Computer in beiden Unternehmenseinheiten Zugriff auf Computer im privaten Namespace Supplier.
Vor der Aktualisierung auf Windows Server 2003 hat die Unternehmenseinheit Acquired sekundäre Zonen erstellt, mit denen sichergestellt werden sollte, dass Computer in den Namespaces Contoso und Acquired jeweils Namen in den Namespaces Contoso, Acquired und Supplier auflösen können. Nach der Aktualisierung auf Windows Server 2003 hat die Unternehmenseinheit Acquired ihre sekundären Zonen gelöscht und stattdessen die bedingte Weiterleitung konfiguriert.
Aktualisieren von DNS-Servern auf Windows Server 2003-DNS
Sie können die DNS-Server mit einer der folgenden zwei Methoden auf das Windows Server 2003-DNS aktualisieren:
| • | Führen Sie eine direkte Aktualisierung von dem Windows NT 4.0- oder Windows 2000-DNS auf das Windows Server 2003-DNS aus. |
| • | Migrieren Sie einen vollständigen Server. |
Sichern Sie die vorhandene Konfiguration, um diese beim Auftreten von Problemen wiederherstellen zu können. Legen Sie den Migrationszeitplan so an, dass die DNS-Clients jederzeit über Zugriff auf einen DNS-Server verfügen. Beispielsweise ist es empfehlenswert, den vorhandenen DNS-Server erst dann auszuschalten, wenn Sie sicher sind, dass der DNS-Server von Windows Server 2003 ordnungsgemäß funktioniert.
Nachdem Sie die Server aktualisiert oder migriert haben, müssen Sie diese auf eine ordnungsgemäße Funktionsweise hin überprüfen. Weitere Informationen über das Testen der DNS-Serverleistung finden Sie unter 'Monitor Servers' im Hilfe- und Supportcenter für Windows Server 2003 und unter 'Troubleshooting Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits (oder unter 'Troubleshooting Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp, beide englischsprachig).
Migrieren von Drittanbieter-DNS-Servern zum Windows Server 2003-DNS
Wenn Sie DNS-Server, die nicht von Microsoft stammen, zum Windows Server 2003-DNS migrieren, müssen Sie die DNS-Server von Windows Server 2003 erst als sekundäre Server für die überlappenden Zonen einrichten. Konfigurieren Sie eine Zonenübertragung von den primären DNS-Servern des Drittanbieters zu den sekundären DNS-Servern von Windows Server 2003. Nach der Zonenübertragung müssen Sie sicherstellen, dass beim diesem Vorgang keine Fehler aufgetreten sind. Fehler können dann auftreten, wenn der DNS-Server von Windows Server 2003 keine vom DNS-Server des Drittanbieters gesendeten Einträge erkennen kann. Ändern Sie die Drittanbietereinträge, so dass sie dem Windows Server 2003-DNS entsprechen, oder entfernen Sie die Einträge aus der Zone, um eine erfolgreiche Zonenübertragung sicherzustellen.
Nachdem Sie überprüft haben, ob die Zonen zu den DNS-Servern von Windows Server 2003 übertragen wurden, aktualisieren Sie die sekundären Zonen auf Active Directory-integrierte Zonen. Zu diesem Zeitpunkt können Sie die Drittanbieter-DNS-Server ohne weiteres aus dem Netzwerk zurückziehen und entfernen.
Anmerkung Wenn Sie die BIND-Startdatei mit dem DNS-Dienst von Windows Server 2003 verwenden, gelten andere Einschränkungen für die Verwendung dieser Datei durch den DNS-Dienst. Beispielsweise werden einige BIND-Startdirektiven nicht unterstützt. Weitere englischsprachige Informationen über die Verwendung von BIND-Startdateien mit dem Windows Server 2003-DNS finden Sie unter der Verknüpfung mit der Microsoft Knowledge Base auf der Seite Web Resources unter http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=1, wo Sie nach Q194513, 'The Structure of a Domain Name System Boot File' und Q234144, 'DNS Boot File Directives and Configuration for Windows NT 4.0' suchen müssen.
Entwerfen von DNS-Zonen
Jeder in Windows Server 2003-DNS verfügbare Zonentyp erfüllt einen bestimmten Zweck. Wenn Sie einen bestimmten Zonentyp für die Bereitstellung auswählen, legen Sie damit zugleich den praktischen Zweck der Zone fest.
Abbildung 4.8 zeigt den Entwurfsprozess von DNS-Zonen.
Abbildung 4.8 Entwerfen von DNS-Zonen
Auswählen eines Zonentyps
Entwerfen Sie die Zonen in Übereinstimmung mit der Infrastruktur für die Netzwerkverwaltung. Wenn ein Standort im Netzwerk lokal verwaltet wird, stellen Sie eine Zone für die untergeordnete Domäne bereit. Wenn eine Abteilung über eine untergeordnete Domäne, aber keinen Administrator verfügt, belassen Sie die untergeordnete Domäne in der übergeordneten Zone. Planen Sie bei Bedarf Reverse-Lookupzonen, und entscheiden Sie, ob Sie die Zonen in Active Directory speichern. Active Directory verteilt Daten mithilfe eines Multimasterreplikationsmodells, das mehr Sicherheit als ein Standard-DNS ermöglicht. Mit Ausnahme von sekundären Zonen können Sie alle Zonentypen in Active Directory speichern. Beim Entwerfen von DNS-Zonen hosten Sie jede Zone auf mehreren DNS-Servern.
Entscheiden Sie sich für den jeweils geeigneten Zonentyp auf Grundlage der Domänenstruktur. Zudem müssen Sie für jeden Zonentyp mit Ausnahme von sekundären Zonen die Entscheidung treffen, ob Sie dateibasierte Zonen oder Active Directory-integrierte Zonen bereitstellen.
Primäre Zonen
Stellen Sie primäre Zonen bereit, die den geplanten DNS-Domänennamen entsprechen. Sie können nicht eine Active Directory-integrierte und eine dateibasierte Kopie derselben Zone speichern.
Sekundäre Zonen
Fügen Sie sekundäre Zonen hinzu, wenn Sie keine Active Directory-Infrastruktur haben. Wenn Sie eine Active Directory-Infrastruktur besitzen, verwenden Sie sekundäre Zonen auf DNS-Servern, die nicht als Domänencontroller konfiguriert sind. Eine sekundäre Zone enthält eine vollständige Kopie einer Zone. Verwenden Sie daher sekundäre Zonen für eine verbesserte Verfügbarkeit von Zonen an Remotestandorten, wenn Sie keine Zonendaten über eine WAN-Verbindung mithilfe von Active Directory-Replikation replizieren möchten.
Es empfiehlt sich, sekundäre Zonen für die meisten oder sogar für alle primären Zonen hinzuzufügen. Dieser Entwurf ermöglicht Fehlertoleranz, geografische Verteilung der Netzwerkhosts und Lastenausgleich.
Stubzonen
Eine Stubzone ist eine Kopie einer Zone, die nur den Autoritätsursprungs-Ressourceneintrag (Start-of-Authority oder SOA), die Nameserver-Ressourceneinträge (NS) mit einer Liste der autorisierenden Server für die Zone und die 'Glue Host'-Ressourceneinträge (Adresseinräge, Typ "A") für die Identifizierung dieser autorisierenden Server enthält.
Ein DNS-Server, der eine Stubzone hostet, wird mit der IP-Adresse des autorisierenden Servers konfiguriert, von dem er geladen wird. Er kann die Stubzone manuell aktualisieren. Wenn ein DNS-Server, der eine Stubzone hostet, eine Abfrage nach einem Computernamen in der Zone erhält, auf welche die Stubzone verweist, verwendet der DNS-Server die IP-Adresse zum Abfragen des autorisierenden Servers oder gibt bei iterativen Abfragen einen Verweis mit den DNS-Servern zurück, die in der Stubzone aufgelistet werden. DNS-Server können Stubzonen sowohl für iterative als auch für rekursive Abfragen verwenden.
Stubzonen werden in regelmäßigen Abständen aktualisiert. Die jeweilige Einstellung für die Aktualisierung wird durch das Aktualisierungsintervall des SOA-Ressourceneintrags für die Stubzone festgelegt. Wenn ein DNS-Server eine Stubzone lädt, fragt dieser die Masterserver der Zone nach SOA-Ressourceneinträgen, NS-Ressourceneinträgen im Stamm der Zone und A-Ressourceneinträgen ab. Der DNS-Server versucht, seine Ressourceneinträge am Ende des Aktualisierungsintervalls der SOA-Ressourceneinträge zu aktualisieren. Zum Aktualisieren der Einträge fragt der DNS-Server die Masterserver nach den zuvor aufgelisteten Ressourceneinträgen ab.
Sie können Stubzonen verwenden, um sicherzustellen, dass der für eine übergeordnete Zone autorisierende DNS-Server automatisch Aktualisierungen über die Nameserver erhält, die für eine untergeordnete Zone autorisierend sind. Fügen Sie hierzu die Stubzone dem Server hinzu, der die übergeordnete Zone hostet. Stubzonen können entweder dateibasiert oder Active Directory-integriert sein. Bei Active Directory-integrierten Stubzonen können Sie diese auf einem Computer konfigurieren und durch die Active Directory-Replikation auf andere DNS-Server übertragen lassen, die auf Domänencontrollern ausgeführt werden.
Sie können Stubzonen auch einsetzen, um Ihre Server über andere Namespaces zu informieren, obwohl die bedingte Weiterleitung die bevorzugte Methode hierfür ist. Weitere Informationen über die Verwendung von Stubzonen finden Sie im Hilfe- und Supportcenter für Windows Server 2003.
Anmerkung Nur die DNS-Server von Windows Server 2003 unterstützen Stubzonen.
Reverse-Lookupzonen
Reverse-Lookupzonen enthalten Informationen, die zum Ausführen von Reverse-Lookups nötig sind. Ein Reverse-Lookup verwendet die IP-Adresse des Computers, um dessen DNS-Namen herauszufinden. Reverse-Lookupzonen sind weder für Windows-Netzwerke noch für die Active Directory-Unterstützung erforderlich.
Weitere Informationen über Reverse-Lookupzonen finden Sie im Hilfe- und Supportcenter für Windows Server 2003.
Wenn Ihre DNS-Topologie Active Directory enthält, verwenden Sie Active Directory-integrierte Zonen. Da die DNS-Replikation auf einem Einzelmastermodell beruht, kann ein primärer DNS-Server in einer standardmäßigen DNS-Zone ein Einzelpunktversagen darstellen. In einer Active Directory-integrierten Zone kann ein DNS-Server keine einzelne ausfallgefährdete Stelle sein, da Active Directory die Multimasterreplikation verwendet. Aktualisierungen an jedem beliebigen Domänencontroller werden an alle Domänencontroller repliziert, und die Zoneninformationen auf einem beliebigen primären DNS-Server innerhalb einer Active Directory-integrierten Zone werden immer repliziert. Active Directory-integrierte Zonen bieten die folgenden Vorteile:
| • | Sie können Zonen mithilfe von sicheren dynamischen Aktualisierungen sichern. |
| • | Die Fehlertoleranz wird erhöht. Jede Active Directory-integrierte Zone kann an alle Domänencontroller innerhalb der Active Directory-Domäne oder -Gesamtstruktur repliziert werden. Alle DNS-Server, die auf diesen Domänencontrollern ausgeführt werden, können als primäre Server für die Zone agieren und dynamische Aktualisierungen empfangen. |
| • | Es wird Replikation ermöglicht, bei der nur geänderte Daten weitergeleitet und die replizierten Daten komprimiert werden. Dadurch wird der Netzwerkverkehr verringert. |
Bei einer Active Directory-Infrastruktur können Sie Active Directory-integrierte Zonen nur auf Active Directory-Domänencontrollern nutzen. Wenn Sie Active Directory-integrierte Zonen verwenden, müssen Sie entscheiden, ob Sie Active Directory-integrierte Zonen in der Anwendungsverzeichnispartition speichern möchten.
Sie können Active Directory-integrierte Zonen und dateibasierte Zonen im gleichen Entwurf miteinander kombinieren. Wenn beispielsweise der DNS-Server, der für die private Stammzone autorisierend ist, unter einem anderen Betriebssystem als Windows Server 2003 oder Windows 2000 ausgeführt wird, kann er nicht als Active Directory-Domänencontroller agieren. Daher müssen Sie dateibasierte Zonen auf diesem Server verwenden. Sie können jedoch diese Zone an einen beliebigen Domänencontroller mit Windows Server 2003 oder Windows 2000 delegieren.
Beispielsweise haben die Administratoren in einem Unternehmen, das Active Directory bereitstellen musste, die DNS-Anforderungen für die Active Directory-Unterstützung untersucht und herausgefunden, dass der autorisierende DNS-Server für den Namen supplier01-int.com auf einem BIND 4.9.7-Server ausgeführt wurde, der Active Directory nicht unterstützt. Sie trafen die Entscheidung, eine Delegierung von der dateibasierten Zone supplier01-int.com hinzuzufügen, die auf dem BIND-Server gehostet wurde. Die Delegierung verweist auf einen autorisierenden Server unter Windows Server 2003 mit dem Namen partner.supplier01-int.com für die Zone. Der Server mit Windows Server 2003 agiert auch als Domänencontroller. Auf diese Weise haben die Administratoren die Integration der Zone partner.supplier01-int.com in Active Directory ermöglicht.
Auswählen einer Replikationsmethode
Nachdem Sie entschieden haben, welche Zone von welchem DNS-Server gehostet wird, müssen Sie jetzt die Entscheidung treffen, wie die Zonen zwischen den Servern repliziert werden sollen. Replizierte Zonen ermöglichen höhere Verfügbarkeit, verbessern die Abfrageantwortzeit und verringern den Netzwerkverkehr, der durch Namensabfragen verursacht wird. Allerdings erfordern replizierte Zonen Speicherplatz und erhöhen allgemein den Netzwerkverkehr. Wenn Sie über ein verteiltes Netzwerk verfügen, das auf verschiedenen Standorten verwaltet wird, verwenden Sie untergeordnete Domänen für diese Standorte. Wenn Sie kein verteiltes Netzwerk einsetzen, sollten Sie möglichst die Verwendung von untergeordneten Domänen vermeiden.
Beim Entwerfen der Zonenreplikation muss auch berücksichtigt werden, wo replizierte Zonen im Hinblick auf Redundanz und Verfügbarkeit verwendet werden.
In Windows Server 2003 können Sie Zonen replizieren, indem Sie die dateibasierte Zonenübertragung oder die Active Directory-Replikation nutzen. Wählen Sie die geeignete Methode für die Zonenübertragung anhand folgender Kriterien aus:
| • | Verwenden Sie bei dateibasierten Zonen die dateibasierte Zonenübertragung. |
| • | Verwenden Sie bei Active Directory-integrierten Zonen von Windows Server 2003 und Windows 2000 die Active Directory-Replikation. Sie müssen den Replikationsbereich festlegen, wenn Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domäne verwenden. |
Dateibasierte Zonenübertragung
Das DNS von Windows Server 2003 und Windows 2000 unterstützt jeweils sowohl die inkrementelle als auch die vollständige Zonenübertragung von dateibasierten Zonen. Die inkrementelle Zonenübertragung ist die Standardmethode. Wenn diese Methode von einem Drittanbieter-DNS-Server nicht unterstützt wird, der in die Übertragung eingebunden ist, verwendet das DNS von Windows Server 2003 und Windows 2000 standardmäßig die Methode zur vollständigen Zonenübertragung.
Die inkrementelle Zonenübertragung, die in RFC 1995, 'Incremental Zone Transfer in DNS', beschrieben wird, bietet eine bessere Nutzung der verfügbaren Netzwerkbandbreite. Der Masterserver überträgt hierbei nur die inkrementellen Änderungen in der Zone und nicht den gesamten Inhalt der Zonendatei. Dadurch wird der Einfluss von DNS-Zonenübertragungen auf den Netzwerkverkehr verringert. Ohne inkrementelle Zonenübertragungen überträgt der Masterserver bei jeder Aktualisierung einer DNS-Zone die gesamte Zonendatei an den sekundären Server.
Das Windows Server 2003-DNS verwendet die vollständige Zonenübertragung, wenn Zonen an DNS-Server übertragen werden müssen, die keine inkrementellen Zonenübertragungen unterstützen. Dazu zählen DNS-Server, die unter Windows NT 4.0 oder BIND 8.12 und früheren Versionen ausgeführt werden.
Active Directory-Replikation
Die Active Directory-Replikation propagiert Zonenänderungen zwischen Domänencontrollern. Die Replikationsverarbeitung unterscheidet sich von vollständigen Zonenübertragungen bei DNS, bei denen der DNS-Server die gesamte Zone überträgt. Die Replikationsverarbeitung unterscheidet sich auch von inkrementellen Zonenübertragungen, bei denen der Server alle Änderungen überträgt, die seit der letzten Änderung vorgenommen wurden.
Die Active Directory-Zonenreplikation bietet die folgenden zusätzlichen Vorteile:
| • | Der Netzwerkverkehr wird verringert, da die Domänencontroller nur das endgültige Ergebnis aller Änderungen senden. |
| • | Wenn eine Zone in Active Directory gespeichert wurde, erfolgt die Replikation automatisch. Es muss keine zusätzliche Konfiguration vorgenommen werden. |
| • | Wenn die Active Directory-Zonenreplikation zwischen Standorten erfolgt, werden bei Überschreitungen der standardmäßigen Übertragungsgröße Zonendaten vor der Übertragung automatisch komprimiert. Diese Komprimierung verringert die Netzwerkverkehrslast. |
Nach sorgfältiger Analyse können Sie die DNS-Zonen partitionieren und delegieren. Dabei muss berücksichtigt werden, wie Sie einen effizienten und fehlertoleranten Namensdienst für jeden Standort oder jede Site bereitstellen können.
Wenn Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domäne verwenden, müssen Sie einen Active Directory-integrierten Zonenreplikationsbereich mithilfe der MMC auswählen. Bei der Auswahl eines Replikationsbereichs müssen Sie beachten, dass ein breiterer Replikationsbereich auch einen erhöhten Netzwerkverkehr durch die Replikation zur Folge hat. Wenn Sie sich beispielsweise dazu entscheiden, Active Directory-integrierte DNS-Zonendaten an alle DNS-Server in der Gesamtstruktur zu replizieren, verursacht dies größeren Netzwerkverkehr als die Replikation der DNS-Zonendaten an alle DNS-Server in einer einzelnen Active Directory-Domäne in dieser Gesamtstruktur. Sie sollten daher die angestrebte Minimierung des Replikationsverkehrs mit der Minimierung des durch Zonenabfragen verursachten Netzwerkverkehrs in Einklang bringen.
Tabelle 4.8 listet die Replikationsoptionen für Active Directory-integrierte Zonendaten auf.
Tabelle 4.8 Replikationsoptionen für Active Directory-integrierte Zonendaten
| Option | Beschreibung | Anwendung |
Alle DNS-Server in der Active Directory-Gesamtstruktur | Die Zonendaten werden an alle DNS-Server repliziert, die auf Windows Server 2003-basierten Domänencontrollern in allen Domänen der Active Directory-Gesamtstruktur ausgeführt werden. | Sie möchten den breitesten Replikationsbereich verwenden. Diese Option erzeugt im Allgemeinen den größten Zonenreplikationsverkehr. Beachten Sie, dass Sie diese Option nur auswählen können, wenn alle DNS-Server Windows Server 2003 ausführen und eine Active Directory-integrierte Kopie dieser Zone hosten. |
Alle DNS-Server in einer angegebenen Active Directory-Domäne |
Die Zonendaten werden an alle DNS-Server repliziert, die auf Windows Server 2003-basierten Domänencontrollern in den angegebenen Active Directory-Domänen ausgeführt werden. Diese Option ist die Standardeinstellung für die Active Directory-integrierte DNS-Zonenreplikation. | Sie müssen die Zone nicht in der Gesamtstruktur replizieren und möchten den Zonenreplikationsverkehr einschränken. Diese Option verursacht weniger Zonenreplikationsverkehr als das Replizieren der Zone an alle DNS-Server in der Gesamtstruktur oder an alle Domänencontroller in der Domäne. Bei dieser Option werden die Zonendaten nicht an DNS-Server repliziert, die auf Windows 2000-basierten Domänencontrollern ausgeführt werden. |
Alle Domänencontroller in der Active Directory-Domäne | Die Zonendaten werden an alle Domänencontroller in der angegebenen Active Directory-Domäne repliziert, und dies unabhängig davon, ob DNS-Server auf den Domänencontrollern in der Domäne ausgeführt werden. | Sie hosten eine Active Directory-integrierte Kopie dieser Zone auf einem DNS-Server, der auf einem Windows 2000-basierten Domänencontroller ausgeführt wird. |
Alle Domänencontroller, die im Replikationsbereich einer Anwendungsverzeichnispartition angegeben wurden | Die Zonendaten werden an alle Domänencontroller repliziert, die im Replikationsbereich der Anwendungsverzeichnispartition angegeben wurden. | Sie möchten den Zonenreplikationsbereich für Ihre Organisation anpassen. Mit dieser Option können Sie den Zonenreplikationsverkehr bei maximierter Funktionalität minimieren. Diese Option erfordert jedoch zusätzlichen Verwaltungsaufwand. Sie können diese Option nur auswählen, wenn alle DNS-Server Windows Server 2003 ausführen und eine Active Directory-integrierte Kopie dieser Zone hosten. |
Migrieren von Zonen zu DNS-Server von Windows Server 2003
Sie können Zonen mit einer der folgenden zwei Methoden zu DNS-Server von Windows Server 2003 migrieren:
| • | Durch das Verwenden der Zonenübertragung. |
| • | Durch das Kopieren der Zonendateien. |
Beim Kopieren der Zonendateien müssen Sie die Integrität der Zonen manuell überprüfen. Unabhängig von der Methode für die Zonenmigration müssen Sie sich entscheiden, ob Sie den ursprünglichen DNS-Server aus dem Netzwerk herausnehmen oder diesen als sekundären Server einsetzen. Wenn Sie feststellen, dass der ursprüngliche DNS-Server des Drittanbieters Schwierigkeiten bei der Interoperabilität im Netzwerk verursacht, oder wenn Sie die entsprechende Serverhardware für andere Zwecke benötigen, können Sie den Server aus dem Netzwerk herausnehmen. Andernfalls behalten Sie den Server im Netzwerk, um Sicherungsfunktionen für den primären DNS-Server von Windows Server 2003 bereitzustellen.
Weitere Informationen über die Verwendung von Zonenübertragung finden Sie unter 'Initiate a zone transfer at a secondary server' im Hilfe- und Supportcenter für Windows Server 2003.
Konfigurieren und Verwalten von DNS-Clients
Beim Konfigurieren der DNS-Clients müssen Sie eine Liste von DNS-Servern angeben, die von den Clients beim Auflösen von DNS-Namen verwendet werden sollen. Sie müssen auch eine DNS-Suffixsuchliste angeben, die von den Clients verwendet werden soll, wenn DNS-Abfragesuchen nach kurzen unvollständigen Domänennamen ausgeführt werden. Sie können auch eine Gruppenrichtlinie verwenden, um die DNS-Clientkonfiguration zu vereinfachen.
Abbildung 4.9 zeigt den Prozess zum Konfigurieren und Verwalten von DNS-Clients.
Abbildung 4.9 Konfigurieren und Verwalten von DNS-Clients
Konfigurieren von Client-DNS-Serverlisten und -Suffixsuchlisten
Konfigurieren Sie die DNS-Serverlisten der Clients und die DNS-Suffixsuchliste, indem Sie die IP-Adressen für mindestens zwei DNS-Server für die Clients und Domänencontroller angeben: die IP-Adresse für einen bevorzugten Server und die IP-Adresse für einen Ersatzserver. Wählen Sie für den bevorzugten Server einen Server aus, der auf der lokalen Site ausgeführt wird. Der alternative Server kann entweder auf einer lokalen oder einer Remotesite ausgeführt werden.
Standardmäßig wird die DNS-Suffixsuchliste auf Grundlage des primären DNS-Suffixes des Clients und anhand von verbindungsspezifischen DNS-Suffixen aufgefüllt. Sie können die DNS-Suffixsuchliste mithilfe des DNS-Managers oder einer Gruppenrichtlinie ändern. Es ist sehr zu empfehlen, die Größe der Suffixsuchliste einzuschränken, da eine umfangreiche Suffixsuchliste den Netzwerkverkehr erhöht.
Verwenden von Gruppenrichtlinien zum Vereinfachen der Clientkonfiguration
Windows Server 2003 enthält einen neuen Satz von Gruppenrichtlinien, mit denen die Einführung von DNS-Clients von Windows Server 2003 vereinfacht wird. Sie können die Richtlinien verwenden, um DNS-Serverlisten, Suffixsuchlisten sowie die Konfiguration dynamischer Aktualisierungen und viele weitere Einstellungen festzulegen. Wie bei allen Einstellungen für Gruppenrichtlinien können Sie verschiedene Einstellungen auf der Grundlage von Site, Domäne oder OU einstellen.
Weitere englischsprachige Informationen über diese Gruppenrichtlinien finden Sie unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits(oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Sichern der DNS-Infrastruktur
Da DNS als offenes Protokoll entworfen wurde, sind DNS-Daten möglicherweise vor Angriffen nicht ausreichend geschützt. Das Windows Server 2003-DNS bietet verbesserte Sicherheitsfunktionen, um den Schutz der Daten zu verbessern. Abbildung 4.10 zeigt den Prozess zum Sichern der DNS-Infrastruktur.
Abbildung 4.10 Sichern der DNS-Infrastruktur
Identifizieren von DNS-Sicherheitsrisiken
Eine DNS-Infrastruktur ist gegen die folgenden Arten von Sicherheitsrisiken anfällig:
| • | Footprinting. Der Erstellungsprozess eines Diagramms oder 'Footprints' einer DNS-Infrastruktur durch das Erfassen von DNS-Zonendaten wie Domänennamen, Computernamen und IP-Adressen für empfindliche Netzwerkressourcen. DNS-Domänen- und Computernamen weisen oft auf die Funktion oder den Standort von Domänen und Computern hin. |
| • | Denial-of-Service-Angriff . Dabei versucht der Angreifer, die Verfügbarkeit der Netzwerkdienste dadurch zu beeinträchtigen, dass er an einen oder mehrere DNS-Server im Netzwerk eine hohe Anzahl von rekursiven Abfragen sendet. Wenn ein DNS-Server eine extrem hohe Anzahl an Abfragen erhält, erreicht seine CPU-Nutzung schließlich einen Höchstwert, wodurch der DNS-Serverdienst nicht mehr verfügbar ist. Ohne einen vollständig funktionsfähigen DNS-Server im Netzwerk sind Netzwerkdienste, die auf DNS zurückgreifen, für die Netzwerkbenutzer nicht mehr verfügbar. |
| • | Datenänderung. Der Missbrauch von gültigen IP-Adressen in IP-Paketen, die ein Angreifer erstellt hat, um Daten zu zerstören oder weitere Angriffe durchzuführen. Die Datenänderung wird typischerweise bei DNS-Infrastrukturen versucht, die bereits mit Footprinting analysiert wurden. Wenn der Angriff erfolgreich ist, scheinen die Pakete von einer gültigen IP-Adresse im Netzwerk zu kommen. Dies wird üblicherweise als IP-Spoofing bezeichnet. Mit einer gültigen IP-Adresse (eine IP-Adresse innerhalb des IP-Adressenbereichs eines Subnetzes) kann ein Angreifer Zugriff auf das Netzwerk erhalten. |
| • | Umleitung. Dabei kann ein Angreifer Abfragen nach DNS-Namen an Server umleiten, die unter der Kontrolle des Angreifers stehen. Eine Methode der Umleitung beruht auf dem Versuch, den DNS-Zwischenspeicher eines DNS-Servers mit fehlerhaften DNS-Daten zu beschädigen, die künftige Abfragen an Server weiterleiten könnten, welche vom Angreifer kontrolliert werden. Wenn beispielsweise eine Abfrage an example.contoso.com erfolgt und eine Verweisantwort einen Eintrag für einen Namen außerhalb der Domäne contoso.com liefert, verwendet der DNS-Server die zwischengespeicherten Daten, um eine Abfrage für den externen Namen aufzulösen. Die Umleitung kann erfolgen, wenn ein Angreifer über Schreibzugriff auf DNS-Daten verfügt, beispielsweise durch unsichere dynamische Aktualisierungen. |
Weitere englischsprachige Informationen über übliche Angriffstypen, das Entwickeln einer Sicherheitsrichtlinie und Einschätzen des eigenen Risikos finden Sie unter 'Designing an Authentication Strategy' und 'Designing an Authorization Strategy' in Designing and Deploying Directory and Security Services.
Entwickeln einer DNS-Sicherheitsrichtlinie
Wenn Ihre DNS-Daten gefährdet sind, können Angreifer Informationen über das Netzwerk erhalten, mit deren Hilfe sie weitere Dienste gefährden können. Beispielsweise können Angreifer Ihrer Organisation mit den folgenden Methoden Schaden zufügen:
| • | Mithilfe der Zonenübertragung können Angreifer eine Liste mit allen Hosts und deren IP-Adressen im Netzwerk abrufen. |
| • | Mit Dienstverweigerungsangriffen können Angreifer verhindern, dass E-Mails an Ihr Netzwerk weitergeleitet bzw. von dort gesendet werden. Zudem ist es auf diese Weise möglich, dass Ihr Webserver nicht mehr im Internet sichtbar ist. |
| • | Wenn Angreifer die Zonendaten ändern, können sie falsche Webserver einrichten oder bewirken, dass E-Mails an ihre Server umgeleitet werden. |
Ihr Risiko, Ziel solcher Angriff zu werden, richtet sich nach dem Ausmaß Ihrer Anbindung an das Internet. Bei einem DNS-Server in einem privaten Netzwerk, der einen privaten Namespace, ein privates Adressierungsschema und einen wirksamen Firewall verwendet, ist das Angriffsrisiko geringer. Zudem ist dann die Wahrscheinlichkeit größer, den Eindringling zu entdecken. Bei einem DNS-Server, der an das Internet angebunden ist, muss mit höheren Risiken gerechnet werden.
Das Entwickeln einer DNS-Sicherheitsrichtlinie umfasst die folgenden Schritte:
| • | Es muss entschieden werden, welchen Zugriff die Clients benötigen, welchen Kompromiss zwischen Sicherheit und Leistung Sie anstreben und welche Daten besonders gut geschützt werden müssen. |
| • | Machen Sie sich mit den Sicherheitsfragen vertraut, die interne und externe DNS-Server betreffen. |
| • | Analysieren Sie den durch die Namensauflösung verursachten Netzwerkverkehr, um festzustellen, welche Clients welche Server abfragen können. |
Sie können eine DNS-Sicherheitsrichtlinie mit niedriger, mittlerer oder hoher Sicherheit auswählen.
DNS-Sicherheitsrichtlinie mit niedriger Sicherheit
Bei einer niedrigen Sicherheitsstufe ist keine zusätzliche Konfiguration der DNS-Bereitstellung erforderlich. Verwenden Sie diese Stufe der DNS-Sicherheit in einer Netzwerkumgebung, in der die Integrität der DNS-Daten keine Rolle spielt, oder in einem privaten Netzwerk, das nicht extern angebunden ist. Eine Sicherheitsrichtlinie mit niedriger Sicherheit weist die folgenden Merkmale auf:
| • | Auf die DNS-Infrastruktur Ihrer Organisation kann vollständig über das Internet zugegriffen werden. |
| • | Alle DNS-Server im Netzwerk führen standardmäßige DNS-Auflösung aus. |
| • | Alle DNS-Server sind mit Stammhinweisen konfiguriert, die auf die Stammserver für das Internet zeigen. |
| • | Alle DNS-Server lassen Zonenübertragungen an beliebige Server zu. |
| • | Alle DNS-Server sind für das Abhören an allen IP-Adressen konfiguriert. |
| • | Die Funktion zur Vermeidung von Zwischenspeicherbeschädigung ist auf allen DNS-Servern deaktiviert. |
| • | Die dynamische Aktualisierung ist für alle DNS-Zonen zulässig. |
| • | UDP (User Datagram Protocol) und TCP/IP-Port 53 sind auf dem Firewall Ihres Netzwerks sowohl für Quell- als auch für Zieladressen offen. |
DNS-Sicherheitsrichtlinie mit mittlerer Sicherheit
Bei einer mittleren DNS-Sicherheit werden die DNS-Sicherheitsfunktionen verwendet, die verfügbar sind, ohne DNS-Server auf Domänencontrollern auszuführen und ohne DNS-Zonen in Active Directory zu speichern. Eine Sicherheitsrichtlinie mit mittlerer Sicherheit weist die folgenden Merkmale auf:
| • | Auf die DNS-Infrastruktur Ihrer Organisation kann teilweise über das Internet zugegriffen werden. |
| • | Alle DNS-Server sind für die Verwendung von Weiterleitungen konfiguriert, um auf eine bestimmte Liste mit internen DNS-Servern zu zeigen, wenn sie Namen nicht lokal auflösen können. |
| • | Alle DNS-Server schränken Zonenübertragungen auf Server ein, die in den NS-Einträgen in ihren Zonen aufgelistet werden. |
| • | DNS-Server werden für das Abhören von bestimmten IP-Adressen konfiguriert. |
| • | Die Funktion zur Vermeidung von Zwischenspeicherbeschädigung ist auf allen DNS-Servern aktiviert. |
| • | Die dynamische Aktualisierung ist für DNS-Zonen nicht zulässig. |
| • | Interne DNS-Server kommunizieren mit externen DNS-Servern über den Firewall mithilfe einer eingeschränkten Liste von zulässigen Quell- und Zieladressen. |
| • | Externe DNS-Server außerhalb Ihres Firewalls sind mit Stammhinweisen konfiguriert, die auf die Stammserver für das Internet zeigen. |
| • | Die gesamte Namensauflösung für das Internet erfolgt mit Proxyservern und Gateways. |
DNS-Sicherheitsrichtlinie mit hoher Sicherheit
Bei hoher DNS-Sicherheit wird die gleiche Konfiguration wie bei der mittleren Sicherheit verwendet. Zudem werden die Sicherheitsfunktionen genutzt, die dann verfügbar sind, wenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird und die DNS-Zonen in Active Directory gespeichert werden. Zudem wird bei einer hohen Sicherheitseinstellung jegliche DNS-Kommunikation mit dem Internet unterbunden. Dies ist keine typische Konfiguration; sie wird aber empfohlen, wenn die Verbindung mit dem Internet nicht erforderlich ist. Eine Sicherheitsrichtlinie mit hoher Sicherheit weist die folgenden Merkmale auf:
| • | Die DNS-Infrastruktur Ihrer Organization kommuniziert nicht mit dem Internet über interne DNS-Server. |
| • | Das Netzwerk verwendet einen internen DNS-Stamm und -Namespace, und die gesamte Autorität für DNS-Zonen ist intern. |
| • | DNS-Server, die mit Weiterleitungen konfiguriert sind, verwenden nur interne DNS-Server-IP-Adressen. |
| • | Alle DNS-Server schränken die Zonenübertragungen auf angegebene IP-Adressen ein. |
| • | DNS-Server werden für das Abhören von bestimmten IP-Adressen konfiguriert. |
| • | Die Funktion zur Vermeidung von Zwischenspeicherbeschädigung ist auf allen DNS-Servern aktiviert. |
| • | Interne DNS-Server sind mit Stammhinweisen konfiguriert, die auf die internen DNS-Server zeigen, welche die Stammzone für den internen Namespace hosten. |
| • | Alle DNS-Server werden auf Domänencontrollern ausgeführt. Eine DACL (Discretionary Access Control List) wird auf dem DNS-Serverdienst konfiguriert, um nur bestimmten Einzelpersonen das Ausführen von Verwaltungsaufgaben auf DNS-Servern zu ermöglichen. |
| • | Alle DNS-Zonen werden in Active Directory gespeichert. Eine DACL wird so konfiguriert, dass nur bestimmten Personen das Erstellen, Löschen oder Ändern von DNS-Zonen erlaubt wird. |
| • | Die DACLs werden mit DNS-Resourceneinträgen konfiguriert, damit nur bestimmte Personen DNS-Daten erstellen, löschen oder ändern können. |
| • | Sichere dynamische Aktualisierung ist für alle DNS-Zonen konfiguriert, mit Ausnahme von Zonen der obersten Ebene und von Stammzonen, für die keinerlei dynamische Aktualisierungen zulässig sind. |
Sichern von DNS-Servern, die mit dem Internet verbunden sind
Mit dem Internet verbundene DNS-Server weisen ein besonders hohes Risiko für Angriffe auf. Sie können die mit dem Internet verbundenen DNS-Server mit folgenden Maßnahmen sichern:
| • |
Platzieren Sie den Nameserver in einer demilitraisierten Zone (DMZ) statt dem internen Netzwerk. |
| • | Fügen Sie einen sekundären Server in einem anderen Subnetz oder Netzwerk oder bei einem ISP hinzu. Dies schützt Sie gegen Dienstverweigerungsangriffe. |
| • | Schließen Sie Einzelpunktversagen aus, indem Sie die Router und DNS-Server sichern und die DNS-Server geografisch verteilen. Fügen Sie mindestens einem Offsite-DNS-Server sekundäre Kopien der Zonen hinzu. |
| • | Verschlüsseln Sie den Zonereplikationsverkehr mithilfe von IPSec- oder VPN-Tunnels, um dadurch die Namen und IP-Adressen vor Internetnutzern zu verbergen. |
| • | Konfigurieren Sie Firewalls, um die Paketfilterung für UDP- und TCP-Port 53 zu erzwingen. |
| • | Schränken Sie die Liste mit DNS-Servern ein, die eine Zonenübertragung auf dem DNS-Server veranlassen können. Nehmen Sie diese Einschränkung für jede Zone im Netzwerk vor. |
| • | Überwachen Sie die DNS-Protokolle, und überwachen Sie die externen DNS-Server mithilfe der Ereignisanzeige. |
Sichern interner DNS-Server
Interne DNS-Server sind dem Risiko von Angriffen weniger ausgesetzt als externe DNS-Server, müssen aber dennoch geschützt werden. So sichern Sie die internen DNS-Server:
| • | Beseitigen Sie einzelne Ausfallpunkte. Beachten Sie jedoch, dass DNS-Redundanz Ihnen nicht hilft, wenn Ihre Clients auf keinerlei Netzwerkdienste zugreifen können. Berücksichtigen Sie die Clientstandorte in den einzelnen DNS-Zonen sowie deren Vorgehensweise zum Auflösen von Namen, wenn der DNS-Server beschädigt ist und keine Abfragen beantworten kann. |
| • | Verhindern Sie unautorisierten Zugriff auf die Server. Erlauben Sie nur sichere dynamische Aktualisierungen für die Zonen, und schränken Sie die Liste mit zulässigen DNS-Servern für den Empfang von Zonenübertragungen ein. |
| • | Überwachen Sie die DNS-Protokolle, und überwachen Sie die internen DNS-Server mithilfe der Ereignisanzeige. Die Überwachung von Protokollen und Server kann dazu beitragen, unautorisierte Änderungen am DNS-Server oder den Zonendateien zu erkennen. |
| • | Implementieren Sie Active Directory-integrierte Zonen mit sicherer dynamischer Aktualisierung. |
Sichern von dynamisch aktualisierten DNS-Zonen
Die Verwendung von unsicheren dynamischen Aktualisierungen hat neue Sicherheitsrisiken zur Folge. Da jeder Computer einen beliebigen Eintrag ändern kann, ist ein Angreifer in der Lage, Zonendaten zu ändern und dann die Identität von vorhandenen Servern zu übernehmen. Wenn Sie beispielsweise den Webserver web.contoso.com installieren und dieser seine IP-Adresse in DNS mithilfe von dynamischer Aktualisierung registriert, kann ein Angreifer einen zweiten Webserver installieren, diesen ebenfalls web.contoso.com nennen und durch die dynamische Aktualisierung die zugehörige IP-Adresse im DNS-Eintrag ändern. Auf diese Weise kann der Angreifer die Identität des ursprünglichen Webservers übernehmen und sichere Informationen erfassen. Aus diesem Grund ist es wichtig, die sichere dynamische Aktualisierung zu implementieren.
Zum Vermeiden des Serveridentitätswechsels verwenden Sie Active Directory-integrierte Zonen, und konfigurieren Sie diese für sichere dynamische Aktualisierung. Bei sicheren dynamischen Aktualisierungen können nur die Computer und Benutzer, die in einer Zugriffssteuerungsliste (Access Control List oder ACL) angegeben wurden, die Objekte innerhalb einer Zone erstellen oder ändern.
Wenn Ihre Sicherheitsrichtlinie strengere Sicherheit erfordert, können Sie diese Einstellungen bearbeiten, um den Zugriff noch weiter einzuschränken. Schränken Sie den Zugriff nach Computer, Gruppe oder Benutzerkonto ein, und weisen Sie Berechtigungen für die gesamte DNS-Zone und für die einzelnen DNS-Namen innerhalb der Zone zu.
Weitere englischsprachige Informationen zum Sichern von dynamisch aktualisierten DNS-Zonen finden Sie unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits (oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Sichern der DNS-Zonenreplikation
Die Zonenreplikation kann entweder über Zonenübertragung oder als Teil der Active Directory-Replikation erfolgen. Ohne die sichere Zonenreplikation gehen Sie das Risiko ein, die Namen und IP-Adressen der Computer Angreifern offen zu legen. Sie können die DNS-Zonenreplikation mit den folgenden Methoden sichern:
| • | Verwenden der Active Directory-Replikation. |
| • | Verschlüsseln der Zonenreplikation, die über öffentliche Netzwerke wie das Internet gesendet wird. |
| • | Einschränken der Zonenübertragung auf autorisierte Server. |
Verwenden der Active Directory-Replikation
Die Replikation von Zonen als Teil der Active Directory-Replikation bietet die folgenden Vorteile für die Sicherheit:
| • | Der Active Directory-Replikationsverkehr wird verschlüsselt, und daher wird der Zonenreplikationsverkehr ebenfalls automatisch verschlüsselt. |
| • | Nur eine begrenzte Anzahl von Benutzern können die Einstellungen für die Active Directory-Replikation ändern. DNS-Server, die Active Directory-integrierte Zonen hosten, müssen Domänencontroller sein. Dies bedeutet, dass die Active Directory-Replikation nur zwischen Domänencontrollern erfolgen kann. Daher können nur Administratoren, die für das Verwalten von Domänencontrollern autorisiert sind, die Einstellungen für die Active Directory-Replikation ändern. |
| • |
Die Active Directory-Domänencontroller, welche die Replikation ausführen, authentifizieren sich gegenseitig, so dass kein Identitätswechsel möglich ist. |
Verschlüsseln von Replikationsverkehr in öffentlichen Netzwerken
Verschlüsseln Sie den gesamten Replikationsverkehr mit IPSec- oder VPN-Tunnels, der über öffentliche Netzwerke gesendet wird. Gehen Sie wie folgt vor, wenn Sie Replikationsverkehr verschlüsseln, der über öffentliche Netzwerke gesendet wird:
| • | Verwenden Sie die höchste Verschlüsselungsstufe oder VPN-Tunnelauthentifizierung, die die Server unterstützen. |
| • | Verwenden Sie den Routing und RAS-Dienst von Windows Server 2003, um den IPSec- oder VPN-Tunnel zu erstellen. |
Einschränken der Zonenübertragung auf autorisierte Server
Wenn Sie über sekundäre Server verfügen und die Zonendaten mithilfe von Zonenübertragung replizieren, konfigurieren Sie die Zone so, dass die Zonenübertragung nur an autorisierte Server zugelassen wird. Dies verhindert, dass ein Angreifer die Zonenübertragung zum Beschaffen von Zonendaten verwendet. Wenn Sie stattdessen Active Directory-integrierte Zonen verwenden, deaktivieren Sie die Zonenübertragung in den Eigenschaften der Zone.
Integrieren von DNS in andere Windows Server 2003-Dienste
Wenn Sie das Windows Server 2003-DNS bereitstellen, sollten Sie den DNS-Dienst in andere Windows Server 2003-Dienste wie DHCP und WINS integrieren. Abbildung 4.11 zeigt den Prozess zum Integrieren des Windows Server 2003-DNS in andere Windows Server 2003-Dienste.
Abbildung 4.11 Integrieren von DNS in andere Windows Server 2003-Dienste
Integrieren von DNS mit DHCP
DHCP unterstützt das Windows Server 2003-DNS bei der dynamischer Aktualisierung von DNS-Zonen. Durch die Integration von DHCP und DNS in einer DNS-Bereitstellung können Sie den Netzwerkressourcen dynamische, in DNS gespeicherte Adressierungsinformationen bereitstellen. Für diese Integration können Sie den DHCP-Dienst von Windows Server 2003 nutzen.
Der Standard für dynamische Aktualisierungen, der in RFC 2136, 'Dynamic Updates in the Domain Name System (DNS UPDATE)', festgelegt wird, aktualisiert automatisch DNS-Einträge. Sowohl Windows Server 2003 als auch Windows 2000 unterstützen dynamische Aktualisierungen, und sowohl Clients als auch DHCP-Server können dynamische Aktualisierungen senden, wenn sich ihre IP-Adressen ändern. Die dynamische Aktualisierung selbst ist nicht sicher, da jeder Client die DNS-Einträge ändern kann. Zum Sichern dynamischer Aktualisierungen können Sie die Funktion für dynamische Aktualisierungen verwenden, die von Windows Server 2003 bereitgestellt wird. Für das Löschen veralteter Einträge können Sie die Alterungs- und Aufräumfunktion des DNS-Servers einsetzen.
Die dynamische Aktualisierung ermöglicht DHCP-Servern das Registrieren von A- und PTR-Ressourceneinträgen für DHCP-Clients. Dieser Prozess erfordert die Verwendung der DHCP-Client FQDN Option 81. Option 81 ermöglicht es dem Client, seinen FQDN dem DHCP-Server bereitzustellen. Der Client stellt dem Server auch Anweisungen zur Verfügung, in denen beschrieben wird, wie dynamische DNS-Aktualisierungen für den DHCP-Client verarbeitet werden sollen.
Wenn Option 81 von einem qualifizierten DHCP-Client ausgesandt wird, erfolgt die Verarbeitung und Interpretation von Option 81 durch einen DHCP-Server von Windows Server 2003, um zu bestimmen, wie der Server Aktualisierungen für den Client einleitet. Wenn der Server für das Ausführen von dynamischen DNS-Aktualisierungen konfiguriert ist, führt dieser eine der folgenden Aktionen aus:
| • | Der DHCP-Server aktualisiert sowohl DNS-A- als auch -PTR-Einträge, wenn dies von Clients mithilfe der Option 81 angefordert wird. |
| • | Der DHCP-Server aktualisiert DNS-A- und -PTR-Einträge unabhängig davon, ob der Client diese Aktion anfordert. |
Darüber hinaus kann der DHCP-Server dynamisch DNS-A- und -PTR-Einträge für Legacyclients aktualisieren, die nicht in der Lage sind, Option 81 an den Server zu senden. Sie können den DHCP-Server auch so konfigurieren, dass A- und PTR-Einträge der Clients nach dem Löschen der Clientlease verworfen werden. Dies verringert die Zeit, die zum manuellen Verwalten dieser Einträge erforderlich ist, und stellt Unterstützung für DHCP-Clients zur Verfügung, die keine dynamischen Aktualisierungen ausführen können. Zudem vereinfacht die dynamische Aktualisierung die Einrichtung von Active Directory, da Domänencontroller dynamisch mit SRV-Einträgen registriert werden können.
Integrieren von DNS in WINS
Wenn Sie auf das Windows Server 2003-DNS von einer früheren Version von Windows aktualisieren, müssen Sie möglicherweise weiterhin eine vorhandene WINS-Infrastruktur unterstützen. Mit dem Windows Server 2003-DNS können Sie eine vorhandene WINS-Implementierung unterstützen, indem Sie einen DNS-Server für das Abfragen eines WINS-Servers als DNS-Zoneneinstellung konfigurieren.
WINS stellt dynamische NetBIOS-Namensauflösung zur Verfügung. Wenn die Organisation Clients und Programme unterstützt, die WINS für die NetBIOS-Namensauflösung verwenden, müssen Sie weiterhin WINS unterstützen. Wenn einige der Clients in WINS registriert sind und andere Clients ihre Namen auflösen müssen, aber die NetBIOS-Namensauflösung nicht unterstützen, können Sie WINS-Lookup verwenden, um dem DNS-Server das Abfragen von Namen im WINS-Namespace zu ermöglichen.
Diese Funktion ist besonders nützlich, wenn einige der Clients, welche die NetBIOS-Namensauflösung erfordern, nicht WINS verwenden können, oder wenn einige der Clients nicht in DNS registriert werden können (beispielsweise Microsoft® Windows® 95- oder Windows® 98-Clients). WINS-Verweise sind die bevorzugte Methode, wenn einige Ihrer DNS-Server die Ressourceneinträge nicht unterstützen, die für WINS-Lookup und WINS-Reverse-Lookup verwendet werden.
WINS-Lookup und WINS-Reverse-Lookup
Durch das Konfigurieren von DNS-Servern für WINS-Lookup können Sie DNS für die Abfrage von WINS zur Namensauflösung konfigurieren, so dass DNS-Clients die Namen und IP-Adressen von WINS-Clients ausfindig machen können. Um DNS für die Abfrage von WINS zur Namensauflösung zu konfigurieren, fügen Sie einen WINS-Lookupeintrag der autorisierenden Zone hinzu. Wenn ein DNS-Server, der für diese Zone autorisierend ist, eine Abfrage nach einem Namen erhält, überprüft er die autorisierende Zone. Wenn der DNS-Server den Namen nicht in der autorisierenden Zone findet, die Zone jedoch einen WINS-Lookupeintrag enthält, fragt der DNS-Server den WINS-Server ab. Wenn der Name in WINS registriert ist, gibt der WINS-Server den verknüpften Eintrag an den DNS-Server zurück.
Als Antwort auf die ursprüngliche DNS-Abfrage kompiliert der DNS-Server dann den entsprechenden DNS-Eintrag und gibt ihn zurück. DNS-Clients müssen nicht darüber informiert sein, ob ein Client in WINS oder DNS registriert ist. Darüber hinaus müssen sie den WINS-Server nicht abfragen.
Sie können den DNS-Server auch für WINS-Reverse-Lookups konfigurieren. Reverse-Lookups funktionieren auf geringfügig andere Weise. Wenn ein autorisierender DNS-Server nach einem nicht vorhandenen PTR-Eintrag abgefragt wird und die autorisierende Zone den WINS-R-Eintrag enthält, verwendet der DNS-Server eine NetBIOS-Knoten-Adapterstatusabfrage.
Anmerkung Aus Gründen der Fehlertoleranz können Sie mehrere WINS-Server im WINS-Lookupeintrag angeben. Der Server, auf dem der DNS-Dienst von Windows 2000- oder Windows Server 2003 ausgeführt wird, durchsucht dann die WINS-Server in der durch die Liste angegebenen Reihenfolge, um den Namen zu finden.
Konfigurieren von WINS-Verweisen
Computer, auf denen Drittanbieterimplementierungen von DNS-Servern ausgeführt werden, unterstützen die Einträge, die für WINS-Lookup und WINS-Reverse-Lookup verwendet werden, nicht. Wenn Sie versuchen, eine Kombination aus Microsoft- und Drittanbieter-DNS-Servern zum Hosten einer Zone mit diesen Einträgen zu verwenden, kann die Zusammenstellung zu Datenfehlern oder fehlgeschlagenen Zonenübertragungen bei den Drittanbieter-DNS-Servern führen.
Wenn Sie diese Kombination einsetzen, können Sie mithilfe von WINS-Verweisen eine spezielle WINS-Zone erstellen und delegieren, die DNS-Lookups nach WINS verweist. Diese Zone führt weder Registrierungen noch Aktualisierungen aus. Als Nächstes konfigurieren Sie alle DNS-Clients so, dass der WINS-Verweiszonenname an unvollständige Abfragen angehängt wird. Auf diese Weise kann der Client mithilfe einer DNS-Abfrage gleichzeitig DNS und WINS abfragen. Für eine vereinfachte Verwaltung können Sie DHCP oder Gruppenrichtlinien verwenden, um die Clients für das Ausführen der Konfiguration einzurichten.
Weitere Informationen zu DHCP finden Sie unter 'Deploying DHCP' (englischsprachig). Weitere englischsprachige Informationen zu Gruppenrichtlinien finden Sie unter 'Designing a Group Policy Infrastructure' in Designing a Managed Environment in diesem Kit.
Anmerkung Die WINS-Zone muss auf einem Windows Server 2003- oder Windows 2000 DNS-Server gehostet und darf nicht an Drittanbieter-DNS-Server repliziert werden. Drittanbieter-DNS-Server unterstützen keine WINS-Ressourceneinträge und können die Zone möglicherweise nicht hosten.
Implementieren von Windows Server 2003 DNS
Nachdem Sie die Konfiguration im Rahmen eines Pilotprojekts getestet haben, können Sie die Änderungen auf die Produktionsumgebung anwenden. Abbildung 4.9 zeigt den Implementierungsprozess des Windows Server 2003-DNS.
Abbildung 4.12 Implementieren des Windows Server 2003-DNS
Vorbereiten der Bereitstellung des Windows Server 2003-DNS
Bereiten Sie die Umgebung für die Bereitstellung des Windows Server 2003-DNS vor, indem Sie alle wichtigen Daten zuverlässig sichern, an denen Änderungen vorgenommen werden sollen. Dazu zählen auch Server und Zonen. Testen Sie die angefertigten Sicherungskopien, bevor Sie mit der Bereitstellung beginnen. Erstellen Sie zudem einen Wiederherstellungsplan, um auf unvorhersehbare Ereignisse wie Datenverlust, Serverausfälle oder einen Ausfall der Netzwerkverbindungen vorbereitet zu sein.
Vor der DNS-Bereitstellung müssen Sie sich vergewissern, dass die Routingverbindungen zwischen den Servern ordnungsgemäß funktionieren, die Sie bereitstellen möchten. Je nach Konfiguration der DNS-Infrastruktur müssen die DNS-Server möglicherweise in der Lage sein, Folgendes abzufragen:
| • | Stammserver |
| • | Weiterleitungen |
| • | Server, die übergeordnete Zonen hosten |
| • | Server, die untergeordnete Zonen hosten |
| • | Server, die Masterzonen hosten |
| • | Server, die andere Active Directory-integrierte Kopien derselben Zone hosten, wenn ein Active Directory-integrierter Server verwendet wird |
| • | Server im Internet |
Wenn Sie davon ausgehen, dass Clients Namen im Internet abfragen und wenn Sie die Verwendung eines Proxyservers planen, müssen Sie sicherstellen, dass der Proxyserver einsatzbereit ist.
Es kann empfehlenswert sein, DNS als Teil der Active Directory-Installation auf Domänencontrollern zu installieren. In diesem Fall müssen Sie bedenken, dass Sie den Namen des Computers nicht mehr ändern können, nachdem Active Directory auf dem Computer installiert wurde.
Einrichten des DNS-Servers
Bevor Sie DNS installieren, müssen Sie sicherstellen, dass Ihr Computer richtig benannt wurde und dass Sie andere Computer, die von den DNS-Servern möglicherweise abgefragt werden müssen, im Netzwerk mithilfe von Ping erreichen. Da Clients die DNS-Server über die IP-Adresse suchen, müssen Sie jedem DNS-Server eine statische IP-Adresse zuweisen.
Sie können den DNS-Server mit einer der folgenden vier Methoden einrichten:
| • |
Installieren Sie DNS auf einem Server, und verwenden Sie den Assistenten zum Installieren von Active Directory für die Installation von Active Directory. |
| • | Vor oder nach der Installation von Active Directory auf dem Server können Sie das Dienstprogramm Software verwenden, um den DNS-Serverdienst zu installieren. Danach können Sie den Assistenten für die DNS-Serverkonfiguration zum Konfigurieren der Zonen ausführen. Ähnlich wie der Assistent zum Installieren von Active Directory erstellt der Assistent für die DNS-Serverkonfiguration die standardmäßigen Reverse-Lookupzonen, die in den DNS-RFCs empfohlen werden, und konfiguriert den Server entweder als Stammserver oder initialisiert die Stammhinweise. |
| • | Sie können das Befehlszeilenprogramm Dnscmd.exe zum Konfigurieren des DNS-Servers verwenden. |
| • | Sie können VB Script oder andere Skriptsprachen über den WMI-Anbieter verwenden, der in Windows Server 2003 enthalten ist. |
Nachdem Sie den DNS-Server eingerichtet haben, müssen Sie die Stammhinweise prüfen. Wenn der Server als Stammserver konfiguriert ist und nicht als Stammserver verwendet werden soll, löschen Sie die Stammzone.
Weitere englischsprachige Informationen über diese Optionen sowie Informationen über die Kriterien, anhand der vom Assistenten zum Installieren von Active Directory und dem Assistenten für die DNS-Serverkonfiguration bestimmt wird, ob die Stammhinweise initialisiert werden sollen, finden Sie unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003Resource Kits (oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Einrichten von Zonen
Wenn Sie DNS mit dem Assistenten zum Installieren von Active Directory installieren, erstellt der Assistent DNS-Zonen, die den von Ihnen angegebenen Active Directory-Domänen entsprechen. Wenn die Zonen noch nicht vorhanden sind, die Sie während der Zonenplanungsphase der Bereitstellung angegeben haben, müssen Sie diese jetzt erstellen.
Wenn die vom Assistenten erstellte Zone nicht den gewünschten Zonentyp aufweist, ändern Sie diesen jetzt. Beispielsweise müssen Sie möglicherweise eine standardmäßige primäre Zone in eine Active Directory-integrierte Zone konvertieren. Wenn der Assistent für die Installation die Zone erstellt, aber nicht die Delegierung hinzufügt, müssen Sie diese jetzt hinzufügen.
Fügen Sie für jede erstellte Zone die entsprechenden Ressourceneinträge hinzu, und aktivieren oder deaktivieren Sie je nach Bedarf dynamische Aktualisierungen oder sichere dynamische Aktualisierungen. Wenn Sie Aktualisierungen an sekundäre Server in einer Zone übertragen möchten, konfigurieren Sie DNS benachrichtigen (DNS notify) am primären Server.
Weitere Informationen zum Hinzufügen und Entfernen von Zonen finden Sie im Hilfe- und Supportcenter für Windows Server 2003.
Konfigurieren der Weiterleitung
Wenn Ihre Server Abfragen an einen anderen Server weiterleiten müssen, konfigurieren Sie Forwarder für die Server, die Abfragen weiterleiten müssen. Wenn Sie möchten, dass der Server Abfragen an verschiedene Server in Abhängigkeit von dem DNS-Suffix weiterleitet, das in der Abfrage angegeben wurde, konfigurieren Sie die bedingte Weiterleitung entsprechend.
Weitere Informationen über die bedingte Weiterleitung finden Sie unter 'Verwenden der Weiterleitung' in diesem Kapitel und unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits (oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp, englischsprachig).
Konfigurieren des DNS-Servers für dynamische Aktualisierung
In Abhängigkeit von Ihrer Konfiguration von Server und Zonen sind die Zonen möglicherweise bereits für dynamische Aktualisierung oder sichere dynamische Aktualisierung konfiguriert. Wenn sie nicht auf die gewünschte Weise konfiguriert sind, nehmen Sie die erforderlichen Änderungen vor.
Informationen über das Konfigurieren von dynamischen Aktualisierungen und sicheren dynamischen Aktualisierungen finden Sie im Hilfe- und Supportcenter für Windows Server 2003.
Konfigurieren der Alterungs- und Aufräumfunktionen
Bei dynamischen Aktualisierungen fügt der DNS-Server immer dann Einträge zur Zone hinzu, wenn ein Computer dem Netzwerk beitritt und in DHCP registriert wird. In manchen Fällen löscht der DNS-Server die Einträge jedoch nicht automatisch, so dass diese veralten. Veraltete Ressourceneinträge benötigen Speicherplatz auf dem Server. Zudem könnte ein Server einen veralteten Eintrag zum Beantworten einer Abfrage verwenden. Dies führt zu Einbußen bei der DNS-Serverleistung. Zur Lösung des Problems kann der DNS-Server von Windows Server 2003 veraltete Einträge aufräumen, indem die Datenbank nach veralteten Einträgen durchsucht wird und diese gelöscht werden.
Sie können die Alterungs- und Aufräumfunktionen über DNS-Manager oder durch Verwendung von Dnscmd.exe konfigurieren.
Weitere englischsprachige Informationen über die Verwendung der Alterungs- und Aufräumfunktionen finden Sie unter 'Windows Server 2003 DNS' im Networking Guide des Windows Server 2003 Resource Kits(oder unter 'Windows Server 2003 DNS' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Konfigurieren der Zonenreplikation
Wenn Sie dateibasierte primäre oder sekundäre Zonen verwenden, konfigurieren Sie für jede Zone einen Masterserver, um Zonenübertragungen an jeden sekundären Server für eine Zone zu ermöglichen. Konfigurieren Sie dann jeden sekundären Server der Zone mit einer Liste mit Masterservern für diese Zone.
Wenn Sie die Active Directory-Replikation in einer Windows Server 2003-Domäne verwenden, konfigurieren Sie den Zonenreplikationsbereich. Wenn Sie Anwendungsverzeichnispartitionen verwenden, müssen Sie zum Konfigurieren des Zonenreplikationsbereichs über Organisationsadministrator-Berechtigungen verfügen. Sie müssen auch über Organisationsadministrator-Berechtigungen verfügen, wenn die standardmäßigen Anwendungsverzeichnispartitionen nicht in Active Directory verfügbar sind und diese vom DNS-Server nicht automatisch erstellt werden.
Weitere Informationen über Themen wie DNS-Zonenspeicherung und -replizierung in Active Directory oder das Auflisten eines DNS-Servers in einer DNS-Anwendungsverzeichnispartition, Entfernen eines DNS-Servers aus einer DNS-Anwendungsverzeichnispartition oder Ändern des Zonenreplizierungsbereichs finden Sie im Hilfe- und Supportcenter von Windows Server 2003.
Überprüfen der korrekten Funktionsweise des DNS-Servers
Nachdem Sie die DNS-Server installiert und konfiguriert haben, überprüfen Sie deren korrekte Funktionsweise. Verwenden Sie die Überwachungsfunktionen des DNS-MMC-Snap-Ins, z. B. die Tests mit einfachen und rekursiven Abfragen. Sie können auch die Ereignisprotokolldatei oder die Debugprotokolldatei untersuchen oder das Befehlszeilenprogramm Nslookup verwenden, um Abfragen durchzuführen. Um auf die Überwachungsfunktionen des DNS-MMC-Snap-Ins zuzugreifen, klicken Sie auf der Registerkarte für die Überwachung im Menü Aktion auf Eigenschaften.
Weitere englischsprachige Informationen über das Überprüfen der DNS-Servervorgänge finden Sie unter 'DNS Troubleshooting' im Networking Guide des Windows Server 2003 Resource Kits (oder unter 'DNS Troubleshooting' im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Einrichten von DNS-Clients
Richten Sie jeden DNS-Client mit den folgenden Angaben ein:
| • | Hostname und DNS-Suffix |
| • | Bevorzugte und alternative DNS-Server |
| • | Optional eine Proxy-Autokonfigurationsdatei oder Namensausschlussliste (bei einem Proxyclient) |
Sie können eine der folgenden Methoden zum Einrichten der DNS-Clients verwenden:
| • | Verwenden Sie die TCP/IP-Einstellungen des Clients. |
| • | Verwenden Sie Gruppenrichtlinien zum Konfigurieren von Clientgruppen. |
| • | Verwenden Sie den DHCP-Serverdienst zum automatischen Konfigurieren von einigen Clienteinstellungen. |
Weitere Informationen zum Installieren und Konfigurieren von DNS-Clients finden Sie im Hilfe- und Supportcenter für Windows Server 2003.
Verwenden von Befehlszeilenprogrammen zum Bereitstellen von DNS
Sie können das Befehlszeilenprogramm Dnscmd.exe verwenden, um die meisten Aufgaben auszuführen, die Sie über das DNS-MMC-Snap-In ausführen können. Mit Dnscmd.exe können Sie Zonen und Einträge erstellen, löschen und anzeigen sowie Server- und Zoneneigenschaften zurücksetzen. Sie können auch routinemäßige Verwaltungsvorgänge ausführen, beispielsweise das Erstellen und Aktualisieren von Zonen, das erneute Laden der Zone, das Aktualisieren der Zone und Zurückschreiben der Zone in eine Datei oder in Active Directory, Anhalten und Fortsetzen der Zone, Leeren des Zwischenspeichers, Hinzufügen von Einträgen zu Stammhinweisen, Beenden und Starten des DNS-Dienstes und Anzeigen von Statistiken.
Sie können Dnscmd.exe auch zum Erstellen von Batchdateiskripts oder für die Remoteverwaltung verwenden. Weitere Informationen über Dnscmd.exe erhalten Sie, wenn Sie im Hilfe- und Supportcenter zuerst auf Tools und dann auf Windows-Supporttools klicken. Informationen über das Installieren und Verwenden der Windows Server 2003-Supporttools und der zugehörigen Hilfe finden Sie in der Datei Sreadme.doc, die sich auf der Windows Server 2003-Betriebssystem-CD im Ordner \Support\Tools befindet.
Sie können mit Nslookup.exe Abfragetests für den DNS-Domänennamespace ausführen und Diagnoseinformationen anzeigen.
Weitere Ressourcen
Diese Ressourcen enthalten zusätzliche Informationen und Tools für die in diesem Kapitel angesprochenen Themen.
Verwandte Informationen in den Resource Kits
'Windows Server 2003-DNS' im Networking Guide des Windows Server 2003 Resource Kits enthält Informationen über den DNS-Serverdienst.
'Configuring IP Addressing and Name Resolution' in Administering Microsoft Windows XP Professional enthält Informationen über den DNS-Client.
Verwandte englischsprachige Informationen außerhalb der Resource Kits
| • | RFC 1035: 'Domain Names - Implementation and Specification' |
| • | DNS und BIND, 3. Ausg., von Paul Albitz und Cricket Liu, , Köln: O'Reilly Verlag 2001enthält weitere Informationen zu DNS. |
| • | Microsoft Windows 2000 TCP/IP Protokolle und Dienste, von Thomas Lee und Joseph Davies, Unterschleißheim: Microsoft Press Deutschland 2000 enthält weitere Informationen über das DNS-Protokoll. |
Die Verknüpfung Internet Engineering Task Force (IETF) auf der Seite Web Resources unter http://www.microsoft.com/windows/reskits/webresources/ (englischsprachig) ermöglicht den Zugriff auf weitere Informationen über RFCs (Request for Comments) und IETF-Internetdrafts.
Verwandte Tools
Informationen über das Installieren und Verwenden der Windows Server 2003-Supporttools und der zugehörigen Hilfe finden Sie in der Datei Sreadme.doc, die sich auf der Windows Server 2003-Betriebssystem-CD im Ordner \Support\Tools befindet.
| • |
Active Directory Sizer |
| • |
Netdiag.exe |
| • | Dnscmd.exe |
| • | Nslookup.exe |
Beta-Disclaimer
Diese Dokumentation ist eine Vorversion der Dokumentation, die bis zur endgültigen Handelsausgabe wesentlichen Änderungen unterzogen werden kann, und stellt vertrauliche Informationen im Besitz der Microsoft Corporation dar. Sie wird in Übereinstimmung mit den Bestimmungen einer Geheimhaltungsvereinbarung zwischen dem Empfänger und Microsoft zur Verfügung gestellt. Dieses Dokument dient nur zu Informationszwecken. Microsoft schließt für dieses Dokument jede Gewährleistung aus, sei sie ausdrücklich oder konkludent. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf Internetwebsites, können ohne vorherige Ankündigung geändert werden. Das vollständige Risiko der Nutzung oder der Ergebnisse der Nutzung dieses Dokuments liegt beim Benutzer. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden, sofern nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2002 Microsoft Corporation. Alle Rechte vorbehalten.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Die in diesem Dokument aufgeführten Namen bestehender Firmen und Produkte sind möglicherweise Marken der jeweiligen Eigentümer.
Vielen Dank für das Prüfen der Dokumentation, die vom Windows Resource Kits-Team entwickelt wurde. Wenn Sie Feedback zur Relevanz, Nützlichkeit oder Vollständigkeit des Inhalts senden möchten, schreiben Sie bitte an die Adresse docbeta@microsoft.com. Bitte geben Sie die Kapitelüberschrift in der Betreffzeile Ihrer E-Mail an. Geben Sie außerdem die relevanten Zeilennummern bei Ihren Kommentaren an. Sie können uns Ihre Kommentare auch als Anhang senden.
© 1985-2002 Microsoft Corporation. Alle Rechte vorbehalten.
[Engl. Originaltitel: Deploying DNS]