DNS-Server einrichten: Grundlegende Gedanken
Wenn man einen neuen Domänencontroller installiert, so ist es absolut notwendig, dass man die Rolle DNS-Dienst mit installiert. Eine Active Directory ohne DNS funktioniert nicht. DNS heißt ausgeschrieben Domain Name Service und ist der Dienst, welcher für die Auflösung der Namen in IP-Adressen und auch umgekehrt zuständig ist.
Das bedeutet, man muss auch einen DNS-Server einrichten. Sämtliche Namen im Internet basieren ebenfalls auf DNS. Dieser Artikel geht auf ein paar grundlegende Einstellungen am Server 2016 ein. Die Einstellung sind auch beim Server 2019 sowie auch im Windows Server 2022 gleich.
Die Installation des DNS Servers wird hier nicht mehr explizit erwähnt. Diese wurde bereits bei der Installation des Domänencontrollers betrachtet. Details könnt ihr im Artikel: Den neuen Server 2019 zum Domänencontroller hochstufen – eine Kurzanleitung, nachlesen. Hier geht es um den nächsten Schritt, also um das Einrichten des DNS Servers. Nachdem öffnen des DNS-Managers findet man zwei wesentliche Zonen. Eine Zone wird als Forward-Lookupzone bezeichnet und die andere als Reverse-Lookupzone. Diese sind für die Namensauflösungen essenziell.
Die Forward-Lookupzone
Diese Zone wird standardmäßig bei der Installation des Domänencontrollers mit DNS angelegt. Auch der erste Eintrag ist dort bereits vorhanden. Nämlich der vom Domänencontroller. Im folgenden Beispiel heißt er dc1. Generell sollte noch betrachtet werden, was eigentlich eine Zone ist.
Prinzipiell ist das ein Teil des Namens, für den der Server die Namen den IP-Adressen zuordnen kann. Bei einer Forward Lookupzone werden die Namen in den IP-Adressen übersetzt. Die Einträge kann man entsprechend wie folgt lesen: Der PC mit dem Namen pc1 besitzt die IP-Adresse 172.16.1.1.
Getestet werden kann das mit dem Tool nslookup oder selbstverständlich auch mit der Windows PowerShell und dem entsprechendem Cmdlet Resolve-DnsName. Man bezeichnet Einträge in der Forward-Lookup Zone als sogenannte Records. Hierzu gibt es auch viele verschiedene. Die wesentlichen sind in der Tabelle erläutert.
| Ressoureneintrag | Beschreibung |
|---|---|
| A | Hosteintrag für eine IPv4 Adresse |
| AAAA | Hosteintrag für ein eine IPv6 Adresse |
| PTR | Zeiger (Pointer) Eintrag. Dieser wird in der Reverse Lookup Zone gespeichert |
| NS | Nameserver, Die Adresse der autorisierten DNS- Server |
| SRV | Service Location; Dienstidentifizierungseintrag. |
| Cname | Alias Einträge, Abkürzung für bestimmte DNS Adressen |
| MX | Mail Exchanger, Eintrag für eine Email |
Die Reverse-Lookupszone
Nachdem die Forward-Lookupzone die Namen in IP-Adressen umwandelt, macht natürlich die Reverese-Lookupzone das Gegenteil. Sie weist den IP-Adressen entsprechend die Namen zu. Nach der Installation ist allerdings diese Zone auf dem Domaincontroller noch nicht vorhanden, daher muss man diese noch konfigurieren.
Über den DNS-Manager geht man auf die Reverse-Lookupzone und richtet per Rechtsklick eine neue Zone ein. Bei der Installation erhält man sofort eine Auswahl, welche Zone man genau installieren möchte. Es gibt eben noch weitere Unterscheidungen wie z. B. primäre Zone, sekundäre Zone etc. Folgende Tabelle beschreibt dazu die wesentlichen Unterschiede.
| Zonentype | Beschreibung |
|---|---|
| Primäre Zone | Ist die Standardzone mit Lese- und Schreibberechtigungen |
| Sekundäre Zone | Ist die Kopie einer primären Zone und erhält nur Leseberechtigungen |
| Stubzone | Enthält eine vollständige Liste der autorisierten DNS-Server |
Überprüfung der Namensauflösung
Für die Überprüfung der Namensauflösung bietet der Server das Kommandozeilentool nslookup an. Das Tool kann man direkt über den Server Manager im DNS-Modul per Rechtsklick starten. Anschließend kann man jetzt entweder die IP-Adresse oder den Namen eintragen. Sofern beide Zonen korrekt konfiguriert sind, erhält man jeweils den vollständigen Namen oder die IP-Adresse zurück.
Natürlich bietet auch die Windows PowerShell ein entsprechendes Cmdlet an. Mit Resolve-DnsName kann damit die Namensauflösungen geprüft werden. Übrigens, den vollständigen Namen wie z.B. dc1.schule.local bezeichnet man als Fully Qualified Domain Name. Nach der dem Einrichten des DNS Servers sollte dieser unbedingt auf eine korrekte Funktion geprüft werden.
Autoritätsursprung (SOA) und Namenserver (NS) Eintrag
Öffnet man die Eigenschaften der DNS-Zone, so gibt es dort verschiedene Kategorien. Ein wichtige dabei ist die des Autoritätsursprungs (Source of Authoritiy). Dort wird neben den Einstellungen zum primären Server auch das Aktualisierungsintervall, Wiederholungsintervall und die Ablaufzeit der Einträge angegeben.
Das Aktualisierungsintervall ist der Zeitabstand, nach welchem andere DNS-Server, welche auch diese Zonen hosten, die Zonendaten aktualisieren. Beim Wiederholungsintervall handelt es sich um das Intervall, nach welchem andere DNS-Server eine erneute Aktualisierung versuchen. Letzteres gibt anschließend noch an, wann ein Eintrag endgültig abgelaufen ist. Sofern es mehrere Server gibt, welche diese Zone hosten, sind deren Adressen und Namen unter Nameservers (NS) zu finden.
Alterung/Aufräumvorgang für alle Zonen festlegen
Oft verbleiben Ressourceneinträge auch dann noch in der DNS-Zone, wenn der Host, der den Eintrag registriert hat, nicht mehr aktiv ist. Prinzipiell würde man hier veraltete Einträge sammeln. Deswegen ist es wichtig am DNS-Server einzustellen, wann veraltete Einträge entfernt werden können. Das Entfernen wird bei Windows Aufräumen genannt.
Man unterscheidet dabei zwei verschiedene Intervalle. Einmal das Intervall für Nichtaktualisierung und zum anderen das Aktualisierungsintervall. Beim ersten Intervall handelt es sich um jenes, bei dem der Eintrag nicht aktualisiert werden kann. In der Regel beträgt der Wert hier 7 Tage. Das Aktualisierungsintervall liegt fest, wie lange Ressourceneinträge nach Ablauf des Intervalls für Nichtaktualisierung mindestens in der DNS-Datenbank verbleiben sollen. Auch hier beträgt der Standardwert 7 Tage.
DNS Servercache löschen
DNS-Einträge werden für eine bessere Performance natürlich zwischengespeichert. Möchte man diesen Cache leeren, so kann das entweder über die grafische Oberfläche im DNS Modul selbst per Rechtsklick durchgeführt werden, oder man verwendet die Windows PowerShell. Dazu dient das PowerShell Cmdlet Clear-DnsServerCache.
Fazit
Ein DNS Server ist ein wesentlicher Bestandteil jedes Netzwerkes. Ohne diesen ist es nicht funktionstüchtig. Gerade natürlich auch für die Active Directory ist er essenziell. Dieser Artikel deckt einige Grundlagen zur Konfiguration von DNS ab. Es sollte jetzt ein Grundverständnis für die verschiedenen Zonen sowie dessen Einträge vorhanden sein.
Das könnte dich auch interessieren:
- Falls mal die DNS-Namensauflösung nicht klappt könnte das Löschen des lokalen DNS-Caches helfen
- So kann man die DNS Namensauflösung unter Windows 10 oder auch unter einem Windows Server auf korrekte Funktionsweise prüfen
- So einfach funktioniert prinzipiell die Manipulation einer Internetadresse – Den DNS-Eintrag umleiten
- Wenn man mit dem Kommandozeilentool nslookup die DNS-Namensauflösung nicht prüfen kann, hilft die PowerShell
- Windows für das Netzwerk konfigurieren – Vergabe einer IPv4 Adresse, DNS-Adresse und einer IP Adresse für den Standardgateway
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
Windows Server: Das umfassende Handbuch von den Microsoft-Experten. Praxiswissen für alle... | 69,90 EUR | Bei Amazon kaufen |
| 2 |
|
Windows Server für Dummies | 28,00 EUR | Bei Amazon kaufen |
| 3 |
|
Sichere Windows-Infrastrukturen: Das Handbuch für Administratoren. Die neue Referenz von den... | 59,90 EUR | Bei Amazon kaufen |
Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 18.01.2022
Sehr übersichtlich gestaltet. Die Schüler der Berufsfachschule für Informatik bekommen hier die notwendigen Informationen, um den DNS-Server des zum DC hochgestuften Servers zu überprüfen und die Reverse Lookup Zone einzurichten. Auf diese Seite können die Schüler hoffentlich auch dann noch zugreifen, wenn sie später in ihrem Beruf eine Domäne einrichten.
Vielen Dank!
Hallo Werner,
Danke. Natürlich können die Schüler hier zugreifen. Die Artikel sind frei und für alle zu jederzeit verfügbar.
Gruß