Konfiguration des Windows Server 2016 oder 2019 als DNS-Server – Grundlegende Einstellungen für den Domain Name Service

So konfiguriert man grundlegende Einstellungen am Windows DNS Server

Grundlegendes

Wenn man einen neuen Domänencontroller installiert, so ist es absolut notwendig, das man die Rolle DNS-Dienst mit installiert. Eine Active Directory ohne DNS funktioniert nicht. DNS heißt ausgeschrieben Domain Name Service und ist der Dienst, welcher für die Auflösung der Namen in IP-Adressen und auch umgekehrt zuständig ist. Sämtliche Namen im Internet basieren ebenfalls auf DNS. Dieser Artikel geht auf ein paar grundlegende Einstellungen am Server 2016 ein. Die Einstellung sind auch beim Server 2019 die gleichen.

Die Installation des DNS-Server wird hier nicht mehr explizit erwähnt. Diese wurde bereits bei der Installation des Domänencontrollers betrachtet. Details könnt ihr im Artikel: Den neuen Server 2019 zum Domänencontroller hochstufen – eine Kurzanleitung,  nachlesen. Nachdem öffnen des DNS-Managers findet man zwei wesentliche Zonen vor. Eine Zone wird als Forward-Lookupzone bezeichnet und die andere als Reverse-Lookupzone. Diese sind für die Namensauflösungen Essenziell.

Die Forward-Lookupzone

Diese Zone wird standardmäßig bei der Installation des Domänencontrollers mit DNS angelegt. Auch der erste Eintrag ist dort bereits vorhanden. Nämlich der vom Domänencontroller. Im folgenden Beispiel heißt er dc1. Generell sollte noch betrachtet werden, was eigentlich eine Zone ist. Prinzipiell ist das ein Teil des Namens, für den der Server die Namen den IP-Adressen zuordnen kann. Bei einer Forward Lookupzone werden die Namen in den IP-Adressen übersetzt. Die Einträge kann man entsprechend wie folgt lesen: Der PC mit dem Namen pc1 besitzt die IP-Adresse 172.16.1.1. Getestet werden kann das mit dem Tool nslookup. Man bezeichnet Einträge in der Forward-Lookup Zone als sogenannte Records. Hierzu gibt es auch viele verschiedene. Die wesentlichen sind in der Tabelle erläutert.

RessoureneintragBeschreibung
A Hosteintrag für eine IPv4 Adresse
AAAAHosteintrag für ein eine IPv6 Adresse
PTRZeiger (Pointer) Eintrag. Dieser wird in der Reverse Lookup Zone gespeichert
NSNameserver, Die Adresse der autorisierten DNS- Server
SRVService Location; Dienstidentifizierungseintrag.
CnameAlias Einträge, Abkürzung für bestimmte DNS Adressen
MXMail Exchanger, Eintrag für eine Email
Windows DNS-Server - Records in der Forward Lookup Zone
Windows DNS-Server – Records in der Forward Lookup Zone

Die Reverse-Lookupszone

Nachdem die Forward-Lookupzone die Namen in IP-Adressen umwandelt, macht natürlich die Reverese-Lookupzone das Gegenteil. Sie weist den IP-Adressen entsprechend die Namen zu. Nach der Installation ist allerdings diese Zone auf dem Domaincontroller noch nicht vorhanden und muss entsprechend erst erstellt werden. Über den DNS-Manager geht man auf die Reverse-Lookupzone und richtet per Rechtsklick eine neue Zone ein. Bei der Installation erhält man sofort eine Auswahl, welche Zone man genau installieren möchte. Es gibt eben noch weitere Unterscheidungen wie z.B. primäre Zone, sekundäre Zone etc.. Folgende Tabelle beschreibt dazu die wesentlichen Unterschiede.

ZonentypeBeschreibung
Primäre ZoneIst die Standardzone mit Lese- und Schreibberechtigungen
Sekundäre ZoneIst die Kopie einer primären Zone und erhält nur Leseberechtigungen
StubzoneEnthält eine vollständige Liste der autorisierten DNS-Server
Windows DNS-Server - Records in der Reverse Lookup Zone
Windows DNS-Server – Records in der Reverse Lookup Zone

Überprüfung der Namensauflösung

Für die Überprüfung der Namensauflösung, bietet der Server das Kommandozeilentool nslookup an. Das Tool kann man direkt über den Server Manager im DNS-Modul per Rechtsklick starten. Anschließend, kann man jetzt entweder die IP-Adresse oder den Namen eintragen. Sofern beide Zonen korrekt konfiguriert sind, erhält man jeweils den vollständigen Namen oder die IP-Adresse zurück. Natürlich bietet auch die Windows PowerShell ein entsprechendes Cmdlet an. Mit Resolve-DnsName kann damit die Namensauflösungen geprüft werden.  Übrigens den vollständigen Namen wie z.B. dc1.schule.local bezeichnet man als Fully Qualified Domain Name.

Windows DNS-Server - Prüfen der Namensauflösung mit nslookup
Windows DNS-Server – Prüfen der Namensauflösung mit nslookup

Autoritätsursprung (SOA) und Namenserver (NS) Eintrag

Öffnet man die Eigenschaften der DNS-Zone, so gibt es dort verschiedene Kategorien. Ein wichtige dabei ist die des Autoritätsursprungs (Source of Authoritiy). Dort wird neben den Einstellungen zum primären Server auch das Aktualisierungsintervall, Wiederholungsintervall und die Ablaufzeit der Einträge angegeben. Das Aktualisierungsintervall ist der Zeitabstand, nach welchem andere DNS-Server, welche auch diese Zonen hosten, die Zonendaten aktualisieren. Beim Wiederholungsintervall handelt es sich um das Intervall, nach welchem andere DNS-Server eine erneute Aktualisierung versuchen. Letzteres gibt anschließend noch an, wann ein Eintrag endgültig abgelaufen ist. Sofern es mehrere Server gibt, welche diese Zone hosten, sind deren Adressen und Namen unter Nameservers (NS) zu finden.

Alterung/Aufräumvorgang für alle Zonen festlegen

Oft verbleiben Ressourceneinträge auch dann noch in der DNS-Zone, wenn der Host, der den Eintrag registriert hat, nicht mehr aktiv ist. Prinzipiell würde man hier veraltete Einträge sammeln. Aus diesem Grund ist es wichtig am DNS-Server einzustellen, wann veraltete Einträge entfernt werden können. Das Entfernen wird bei Windows Aufräumen genannt. Man unterscheidet dabei zwei verschiedene Intervalle. Einmal das Intervall für Nichtaktualisierung und zum anderen das Aktualisierungsintervall. Beim ersten Intervall handelt es sich um jenes, bei dem der Eintrag nicht aktualisiert werden kann. In der Regel beträgt der Wert hier 7 Tage. Das Aktualisierungsintervall liegt fest, wie lange Ressourceneinträge nach Ablauf des Intervalls für Nichtaktualisierung mindestens in der DNS-Datenbank verbleiben sollen. Auch hier beträgt der Standardwert 7 Tage.

DNS Servercache löschen

DNS-Einträge werden für eine bessere Performance natürlich zwischengespeichert. Möchte man diesen Cache leeren, so kann das entweder über die grafische Oberfläche im DNS Modul selbst per Rechtsklick durchgeführt werden, oder man verwendet die Windows PowerShell. Dazu dient das PowerShell  Cmdlet Clear-DnsServerCache.

Fazit

Eine DNS-Server ist ein wesentlicher Bestandteil jedes Netzwerkes. Ohne diesen ist es nicht funktionstüchtig. Gerade natürlich auch für die Active Directory ist er essenziell. Dieser Artikel deckt einige Grundlagen zur Konfiguration von DNS ab. Es sollte jetzt ein Grundverständnis für die verschiedenen Zonen sowie dessen Einträge vorhanden sein.

2 Kommentare

  1. Sehr übersichtlich gestaltet. Die Schüler der Berufsfachschule für Informatik bekommen hier die notwendigen Informationen, um den DNS-Server des zum DC hochgestuften Servers zu überprüfen und die Reverse Lookup Zone einzurichten. Auf diese Seite können die Schüler hoffentlich auch dann noch zugreifen, wenn sie später in ihrem Beruf eine Domäne einrichten.
    Vielen Dank!

    • Hallo Werner,
      Danke. Natürlich können die Schüler hier zugreifen. Die Artikel sind frei und für alle zu jederzeit verfügbar.
      Gruß

Kommentare sind deaktiviert.