Grundlegendes
Wenn man einen neuen Domänencontroller installiert, so ist es absolut notwendig, das man die Rolle DNS-Dienst mit installiert. Eine Active Directory ohne DNS funktioniert nicht. DNS heißt ausgeschrieben Domain Name Service und ist der Dienst, welcher für die Auflösung der Namen in IP-Adressen und auch umgekehrt zuständig ist. Sämtliche Namen im Internet basieren ebenfalls auf DNS. Dieser Artikel geht auf ein paar grundlegende Einstellungen am Server 2016 ein. Die Einstellung sind auch beim Server 2019 die gleichen.
Die Installation des DNS-Server wird hier nicht mehr explizit erwähnt. Diese wurde bereits bei der Installation des Domänencontrollers betrachtet. Details könnt ihr im Artikel: Den neuen Server 2019 zum Domänencontroller hochstufen – eine Kurzanleitung, nachlesen. Nachdem öffnen des DNS-Managers findet man zwei wesentliche Zonen vor. Eine Zone wird als Forward-Lookupzone bezeichnet und die andere als Reverse-Lookupzone. Diese sind für die Namensauflösungen Essenziell.
Die Forward-Lookupzone
Diese Zone wird standardmäßig bei der Installation des Domänencontrollers mit DNS angelegt. Auch der erste Eintrag ist dort bereits vorhanden. Nämlich der vom Domänencontroller. Im folgenden Beispiel heißt er dc1. Generell sollte noch betrachtet werden, was eigentlich eine Zone ist. Prinzipiell ist das ein Teil des Namens, für den der Server die Namen den IP-Adressen zuordnen kann. Bei einer Forward Lookupzone werden die Namen in den IP-Adressen übersetzt. Die Einträge kann man entsprechend wie folgt lesen: Der PC mit dem Namen pc1 besitzt die IP-Adresse 172.16.1.1. Getestet werden kann das mit dem Tool nslookup. Man bezeichnet Einträge in der Forward-Lookup Zone als sogenannte Records. Hierzu gibt es auch viele verschiedene. Die wesentlichen sind in der Tabelle erläutert.
| Ressoureneintrag | Beschreibung |
|---|---|
| A | Hosteintrag für eine IPv4 Adresse |
| AAAA | Hosteintrag für ein eine IPv6 Adresse |
| PTR | Zeiger (Pointer) Eintrag. Dieser wird in der Reverse Lookup Zone gespeichert |
| NS | Nameserver, Die Adresse der autorisierten DNS- Server |
| SRV | Service Location; Dienstidentifizierungseintrag. |
| Cname | Alias Einträge, Abkürzung für bestimmte DNS Adressen |
| MX | Mail Exchanger, Eintrag für eine Email |
Die Reverse-Lookupszone
Nachdem die Forward-Lookupzone die Namen in IP-Adressen umwandelt, macht natürlich die Reverese-Lookupzone das Gegenteil. Sie weist den IP-Adressen entsprechend die Namen zu. Nach der Installation ist allerdings diese Zone auf dem Domaincontroller noch nicht vorhanden und muss entsprechend erst erstellt werden. Über den DNS-Manager geht man auf die Reverse-Lookupzone und richtet per Rechtsklick eine neue Zone ein. Bei der Installation erhält man sofort eine Auswahl, welche Zone man genau installieren möchte. Es gibt eben noch weitere Unterscheidungen wie z.B. primäre Zone, sekundäre Zone etc.. Folgende Tabelle beschreibt dazu die wesentlichen Unterschiede.
| Zonentype | Beschreibung |
|---|---|
| Primäre Zone | Ist die Standardzone mit Lese- und Schreibberechtigungen |
| Sekundäre Zone | Ist die Kopie einer primären Zone und erhält nur Leseberechtigungen |
| Stubzone | Enthält eine vollständige Liste der autorisierten DNS-Server |
Überprüfung der Namensauflösung
Für die Überprüfung der Namensauflösung, bietet der Server das Kommandozeilentool nslookup an. Das Tool kann man direkt über den Server Manager im DNS-Modul per Rechtsklick starten. Anschließend, kann man jetzt entweder die IP-Adresse oder den Namen eintragen. Sofern beide Zonen korrekt konfiguriert sind, erhält man jeweils den vollständigen Namen oder die IP-Adresse zurück. Natürlich bietet auch die Windows PowerShell ein entsprechendes Cmdlet an. Mit Resolve-DnsName kann damit die Namensauflösungen geprüft werden. Übrigens den vollständigen Namen wie z.B. dc1.schule.local bezeichnet man als Fully Qualified Domain Name.
Autoritätsursprung (SOA) und Namenserver (NS) Eintrag
Öffnet man die Eigenschaften der DNS-Zone, so gibt es dort verschiedene Kategorien. Ein wichtige dabei ist die des Autoritätsursprungs (Source of Authoritiy). Dort wird neben den Einstellungen zum primären Server auch das Aktualisierungsintervall, Wiederholungsintervall und die Ablaufzeit der Einträge angegeben. Das Aktualisierungsintervall ist der Zeitabstand, nach welchem andere DNS-Server, welche auch diese Zonen hosten, die Zonendaten aktualisieren. Beim Wiederholungsintervall handelt es sich um das Intervall, nach welchem andere DNS-Server eine erneute Aktualisierung versuchen. Letzteres gibt anschließend noch an, wann ein Eintrag endgültig abgelaufen ist. Sofern es mehrere Server gibt, welche diese Zone hosten, sind deren Adressen und Namen unter Nameservers (NS) zu finden.
Alterung/Aufräumvorgang für alle Zonen festlegen
Oft verbleiben Ressourceneinträge auch dann noch in der DNS-Zone, wenn der Host, der den Eintrag registriert hat, nicht mehr aktiv ist. Prinzipiell würde man hier veraltete Einträge sammeln. Aus diesem Grund ist es wichtig am DNS-Server einzustellen, wann veraltete Einträge entfernt werden können. Das Entfernen wird bei Windows Aufräumen genannt. Man unterscheidet dabei zwei verschiedene Intervalle. Einmal das Intervall für Nichtaktualisierung und zum anderen das Aktualisierungsintervall. Beim ersten Intervall handelt es sich um jenes, bei dem der Eintrag nicht aktualisiert werden kann. In der Regel beträgt der Wert hier 7 Tage. Das Aktualisierungsintervall liegt fest, wie lange Ressourceneinträge nach Ablauf des Intervalls für Nichtaktualisierung mindestens in der DNS-Datenbank verbleiben sollen. Auch hier beträgt der Standardwert 7 Tage.
DNS Servercache löschen
DNS-Einträge werden für eine bessere Performance natürlich zwischengespeichert. Möchte man diesen Cache leeren, so kann das entweder über die grafische Oberfläche im DNS Modul selbst per Rechtsklick durchgeführt werden, oder man verwendet die Windows PowerShell. Dazu dient das PowerShell Cmdlet Clear-DnsServerCache.
Fazit
Eine DNS-Server ist ein wesentlicher Bestandteil jedes Netzwerkes. Ohne diesen ist es nicht funktionstüchtig. Gerade natürlich auch für die Active Directory ist er essenziell. Dieser Artikel deckt einige Grundlagen zur Konfiguration von DNS ab. Es sollte jetzt ein Grundverständnis für die verschiedenen Zonen sowie dessen Einträge vorhanden sein.
Sehr übersichtlich gestaltet. Die Schüler der Berufsfachschule für Informatik bekommen hier die notwendigen Informationen, um den DNS-Server des zum DC hochgestuften Servers zu überprüfen und die Reverse Lookup Zone einzurichten. Auf diese Seite können die Schüler hoffentlich auch dann noch zugreifen, wenn sie später in ihrem Beruf eine Domäne einrichten.
Vielen Dank!
Hallo Werner,
Danke. Natürlich können die Schüler hier zugreifen. Die Artikel sind frei und für alle zu jederzeit verfügbar.
Gruß