Home » Windows » Windows Server » Active Directory » DNS
- Anzeige -
Software Asset Management beim Fachmann

DNS - Domain Name System

Seit der Einführung von Active Directory mit Windows Server 2000 ist DNS zur Namensauflösung im Netzwerk erforderlich. DNS wird auch im Internet verwendet.

DNS ist ein Client-Server basierendes Protokoll für IP-Netze, das dazu dient, Host-Namen in IP-Adressen aufzulösen (und umgekehrt). DNS ist auch die Hauptmethode in Windows-Netzwerken zur Namensauflösung. Die Clients benützen DNS um Netzwerk-Dienste, wie z.B. Domänen-Controller zu finden.

Geschichte der Namensauflösung / Geschichte von DNS

Zu Beginn des Internets war die Namensauflösung noch relativ einfach. Zwar konnte sich schon damals niemand viele IP-Adressen merken. Host Namen machten das Leben einfacher. Aufgrund der relativ geringen Anzahl von vorhandenen Hosts genügte aber eine einfache Text-Datei, die sog. HOSTS-DATEI, für die Namensauflösung. Neue Host-Namen wurden manuell hinzugefügt. Diese Datei wurde auf jeden Rechner, der am Netzwerk hing, kopiert.

Die HOSTS-Datei befindet sich auch noch auf aktuellen Rechnern und befindet sich unter

%systemroot%\SYSTEM32\DRIVERS\ETC

Beispiel:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
 
127.0.0.1 localhost

Mit dem Wachsen der TCP/IP-Netze und des Internets, wurde die HOSTS-Datei Methode nicht mehr handhabbar.1984 wurden 2 RFCs (Requests for Comments), 882 und 883 veröffentlicht, die DNS spezifizierten. Diese wurden später durch die RFCs 1034 und 1035 ersetzt.

DNS ist eine verteilte Datenbank, die es lokalen Administratoren erlaubt, nur ihren Teil der Datenbank zu warten. Die Namensauflösung funktioniert dagegen im im ganzen Netzwerk. DNS besteht aus 2 Teilen - DNS-Clients und DNS-Servern.

Der Server-Teil ist der Nameserver. Nameserver halten die Zonen - ein Segment der Datenbank - über die sie die Hoheit haben. Der DNS-Client wird auch Resolver genannt - er stellt die Auflösungsanforderung. Der DNS-Client kann jeder TCP/IP-Client sein, der DNS unterstützt.

Die DNS-Datenbank ist wie ein umgekehrter Baum aufgebaut. Die Root des Baumes ist die Root-Domäne und wird als Punkt "." dargestellt.

DNS und Active Directory - Einführung

Unter der Root sind die Top-Level Subdomänen wie .com, .edu, .de. 1998 übergaben die Vereinigten Staaten die Rechte für die Internet-Namens  und -Adressierungsautorität  an eine Organisation namens Internet Corporation for Assigned Names and Numbers (ICANN). Mittlerweile gibt es für die einzelnen Länder entsprechende Organisationen, die sich um die Namensvergabe kümmern.

Sub-Domänen sind DNS-Management Strukturen. Der lokale Administrator für diese Domänen ist verantwortlich für seinen Teil  der DNS-Datenbank. Diese Sub-Domänen können in weitere geteilt werden, deren Autorität wiederum delegiert werden kann.

Ein absoluter Host-Name in DNS wird als FQDN (Fully Qualified Domain Name) bezeichnet. Ein FQDN beginnt mit dem Host-Namensteil und geht weiter bis zur root. www.lars-web.com.de beschreibt den Host www in  der Sub-Domäne lars-web.com der Top-Level-Domain .de. Die korrekte Schreibweise lautet dann eigentlich auch www.lars-web.com.de. mit abschliessendem Punkt, die aber i. d. R. nur noch innerhalb der DNS-Konfiguration auftaucht.

DNS Resource Records

Die Einträge in einer DNS Datenbank bestehen aus Resource Records (RRs). Jedes RR identifiziert ein bestimmtes Teil in der Datenbank. Es gibt verschiedene Typen von RRs.

SOA-Einträge (Start of Authority)

Jede DNS-Domänenstruktur verfügt über einen SOA-Server, auf dem die primäre Zonentabelle gespeichert ist. Der SOA-Eintrag enthält Angaben über den Stammserver und weitere Informationen, wie z.B. die E-Mail-Adresse des verantwortlichen Administrators und TTL-Daten.

A-Einträge (Host)

In der Regel wird mit DNS-Abfragen nach der IP-Adresse eines Hosts gesucht. Diese Information ist im A-Eintrag gespeichert.

NS-Einträge (Nameserver)

Neben dem SOA-Eintrag und den A-Einträgen verfügt jede Zonendatei über mindestens einen NS-Eintrag. Im NS-Eintrag sind der Name und die IP-Adresse des primären DNS-Server und sämtlicher delegierter Server gespeichert.

MX-Einträge

Sie dienen zur Festlegung der zu einer Domäne zugehörigen Mail-Server.

CNAME-Einträge (Alias)

Häufig ist es erforderlich, dass für einen Host ein alternativer Name verwendet werden muss. Der CNAME-Eintrag bietet diese Funktion und verweist auf den A-Eintrag des Hosts.

PTR-Einträge (Pointer)

In einer Zonentabelle für Reverse-Lookups werden PTR-Einträge verwendet, um die Listings nach IP-Adressen statt nach Namen zu sortieren. In Reverse-Lookup-Zonen werden IP-Adressen von Host in umgekehrter Reihenfolge gespeichert, so dass DNS nach diesen Adressen suchen kann.

SRV-Einträge (Service Locator)

Der SRV-Eintrag stellt einen allgemeinen Eintragstyp von Hosts dar, die spezielle Dienste ausführen. Ab Windows 2000 wird der Eintrag verwendet, um z.B. nach LDAP- oder Kerberos-Diensten zu suchen.

Üblicherweise verteilt man die DNS-Daten zur Redundanz auf mehrere Server. Es sollte mindestens zwei Server geben, einen primären (primary) und einen sekundären (secondary).

SOA-Einträge (Start of Authority)

Enthält Informationen für Nameserver, die sich auf die administrative Behandlung einer Zone beziehen und nicht auf den eigentlichen Inhalt.

Serial

Aufsteigende Zahl, anhand welcher festgestellt werden kann, ob sich ein Zonefile geändert hat oder nicht. Wird bei einer Änderung der Zone diese "Versionsnummer" nicht hoch gesetzt, werden alle anfragenden Secondary Nameserver dievorgenommenen Änderungen nicht übernehmen, da sie davon ausgehen, dass sich die Zone nicht geändert hat.

Refresh

Ist das Zeitintervall (i.d.R. acht Stunden), nach dessen Ablauf ein Secondary DNS beim Primary DNS nachprüfen muss, ob die vorgehaltenen Daten noch aktuell sind.

Retry

Falls der Primary bei einem Refresh nicht erreichbar sein sollte, wird nach Ablauf dieses Zeitintervalls von dem jeweiligen Secondary ein erneuter Versuch unternommen, einen sog. Zone Transfer (AXFR) auszuführen.

Expiry

Wenn nach dem Ablauf der Zeitspanne noch kein Refresh vorgenommen werden konnte, wird die Zone als "Ungültig" (expired) erklärt. Daraus resultiert, dass der NS für diese Zone keine autoritative Antwort mehr gibt.

Minimum TTL

Die TTL (Time To Live) gibt an, wie lange ein nicht authoritativer NS diese Zone ohne Nachfrage cashen darf.

Diese Werte sind dafür verantwortlich, wie schnell eine Änderung der Daten einer Domäne weltweit weitergereicht wird. Bei einer Redelegation einer Domäne auf neue Nameserver sind immer die SOA-Records der übergeordneten (delegierenden) Zone in Betracht zu ziehen. Normale Dienstanbieter haben daher nur bedingt Einfluss auf die zur Weiterreichung notwendigen Dauer.

A-Einträge (Host)

Das A-Record dient dem Hauptzweck, der Namensauflösung; gibt also an, welche IP für die Domäne hinterlegt ist. Dieser Eintrag muss nicht zwangsläufig vorhanden sein, man kann eine Domäne beispielsweise durchaus auch nur für Mailservices nutzen. Auf der anderen Seite kann man auch mehr als einen Record pro Domäne eintragen. Die jeweiligen IPs werden in diesem Fall dann roundrobin, d.h. bei jeder Anfrage eine neuer Record, ausgegeben. Dies ist besonders für grössenskalierbare Systeme wichtig.

NS-Einträge (Nameserver)

Das NS-Record gibt an, welche Nameserver für diese Domäne autoritativ sind. Aus der Reihenfolge der angeführten Nameserver lässt sich nicht schliessen, welcher Nameserver der Primary und welcher der Secondary ist.

MX-Einträge

Der MX-Record (Mail Exchange) ist ein Eintrag im DNS einer Domäne, der festlegt, welche Server für den Empfang vom E-Mails an Mailadressen in der Domäne zuständig sind.

Beispiel:

Ein Institut betreibt einen Mailserver mit dem Hostnamen

MAILSRV.ABC.MUNICH.UNI.DE.

Die Mitarbeiter des Instituts und vielleicht auch einige Studierende erhalten Mailadressen wie...

KARL@ABC.MUNICH.UNI.DE

Damit Nachrichten an solche Adressen richtig zugestellt werden, ist ein Eintrag in den Nameservern der Universität erforderlich, der sogenannte MX-Record (MX = Mail Exchange). Dieser MX-Record enthält die Information, dass für E-Mail an die Domain ABC.MUNICH.UNI.DE der Host MAILSRV.ABC.MUNICH.UNI.DE zuständig ist.

Grundsätzlich verwenden Mailserver für den Mailversand via SMTP die MX-Records. Deshalb werden für jede Domain (so sie denn Mails erhalten will) neben den "normalen" DNS-Records auch MX-Records in den zuständigen Nameservers eingetragen. Beispiel:

abc.de MX 5 mail.abc.de

Bedeutung:

abc.de Name der Domain

MX Code des Records

5 Priorität; es können mehrere Mailserver für eine Domain eingetragen sein, sie sollten aber unterschiedliche Prioritäten haben. Jeder Sendeversuch wird zuerst an den Server mit der niedrigsten Prioritätsnummer versucht, wenn das schief geht an denjenigen mit der nächst höheren Nummer, etc.

mail.abc.de Name des Mailservers; sollte ein Name sein, der für dieselbe Domain als "A"-Record eingetragen ist (hier kann auch direkt eine IP stehen, führt aber bei manchen Mailservern zu Problemen)

Der zugehörige A-Record würde hier so aussehen:

mail.abc.de A 123.235.34.211

Ablauf des Mailversand:

  1. Ich schreibe eine Mail an user@abc.de und schicke diese z.B. mit Outlook an meinen Mailserver
  2. Mein Mailserver ruft die MX-Records für abc.de ab und erhält einen Record, der auf mail.abc.de zeigt
  3. Mein Mailserver ruft die IP-Adresse für mail.abc.de ab und macht dann eine Verbindung auf diese IP-Adresse, Port 25
  4. Die beiden Mailserver "rede"n miteinander und sofern der mail.abc.de nichts einzuwenden hat, nimmt er meine Mail entgegen und legt sie in das Postfach von user@abc.de

Falls der Mailserver nicht nur Mails empfangen, sondern auch versenden soll, ist noch ein Detail zu beachten. Als Antispam-Massnahme prüfen immer mehr Mailserver beim Mail-Empfang, ob die IP-Adresse des Sendeserver im DNS registriert ist. Daher sollte sichergestellt sein, dass eine "Reverse Lookup" für die IP-Adresse funktioniert.

CNAME-Einträge (Alias)

CNAME steht für canonical Name und ist eine Weiterleitung auf das Zonenfile der angegebenen Zieldomain. Ein CNAME Dient i. d. R. dazu Aliase zu definieren.

Reverse Lookup Zonen

Die Reverse Lookup Zone dient dazu IP-Adressen in Hostnamen zurück zu verwandeln. Reverse Lookup Zonen verwenden einen speziellen Namens-Standard. Dieser Standard beinhaltet den Domänen-Namen in-addr.arpa. Diese Domäne ist reserviert für Reverse Lookup Zonen. Da eine umgekehrte Namensauflösung einen Host Namen verwenden muss, um eine IP-Adresse zu bekommen, wird eine Reverse Lookup Zone per Subnet konfiguriert. Mit anderen Worten, im Class C Netzwerk 192.168.1.0 ist ist die Reverse Lookup Zone 1.168.192.in-addr.arpa.

Sendet ein Client eine Reverse-Lookup Abfrage für 192.168.1.4 an DNS, dann sucht der DNS-Server in der Zonentabelle für 1.168.192.in-addr.arpa nach dem Eintrag für 4 und sendet den Inhalt dieses Eintrages mit dem entsprechenden A-Eintrag, der den Hostnamen enthält, zurück.

23.2.1.10.IN-ADDR.ARPA. 17h36m4s IN PTR www.domain.com.

(Punkt am Ende von domain.com und umgekehrte Reihenfolge der IP beachten!)

DNS Zonen

Name Servers haben die Autorität über eine oder mehrere DNS-Zonen. Zonen sind ein Teil der DNS-Datenbank. Zonen können einzelne Domänen beinhalten, zwei Subdomänen oder verschiedene andere Stufen des Namensraums.

DNS und Active Directory - Einführung

Eine Zonen-Datei beinhaltet alle notwendigen Informationen für einen DNS-Server, die dieser benötigt um einen Host-Namen in eine IP-Adresse aufzulösen.

Windows unterstützt die Standard-Typen von DNS-Zonen Dateien sowie einen neuen Typ, die Active Directory integrierte Zone. Active Directory integrierte Zonen werden in der AD-Datenbank gespeichert, statt in separaten Zonen-Dateien.

Eine DNS-Datenbank ist in der Regel über mehrere Zonen verteilt. Ein einzelner DNS Server kann so konfiguriert sein, dass er keinen, einen oder mehrere Zonen enthält. Jede Zone ist an einer speziellen Domäne verankert, die als zone's root domain bezeichnet wird.

Standard Primary Zone

Eine Standard Primary Zone ist eine Lese-/Schreib-Kopie einer DNS-Datenbank. Diese befindet sich in Format einer Text-Datei in einem Teil des DNS-Subsystems. Der DNS-Server-Dienst lädt diese Text-Datei in seinen Speicher, wenn er gestartet wird. Durch einen Prozess namens Zone-Transfer wird die Text-Datei, die die Standard Primary Zone enthält, wird auf alle DNS-Server kopiert, die die Standard Secondary Zone beinhalten.

Standard Secondary Zone

Eine Standard Secondary Zone ist eine Nur-Lese-Kopie der DNS Datenbank. Auch hier sind die Daten in einer Textdatei gespeichert.

Diese Zone wird zum Zwecke des Load-Balancings verwendet sowie für einfache Fehlertoleranz. Ist die Standard Primary Zone nicht verfügbar, kann die Secondary Zone zum Client-Anfragen übernehmen.

Die Standard Secondary Zone kann nur via Zone-Transfer Prozess aktualisiert werden.

Active Directory integrierte Zone

Bei einer Active Directory Integrierten Zone werden alle Daten der Zone, wie z.B. die Ressource Records,  innerhalb Active Directory gespeichert. Der Active Directory Replikations-Prozess übernimmt anstatt des Zonen-Transfer-Prozesses die Replikation der DNS-Zonen-Daten. Die  Active Directory integrierten Zone ist fehlertoleranter, da sie das Active Directory Multimaster Replikations Konzept benutzt. Nur DNS Server, die auch Windows (ab 2000) Domänen Controller sind, können eine Active Directory integrierte Zone beinhalten.

Namensauflösung

Was passiert, wenn Sie eine Anfrage an intern.shop.orf.at stellen? Ihr Rechner, der "Resolver" holt, je nach Situation, gewünschte bzw. benötigte Daten von einem oder mehrere Name-Servern ab.

DNS und Active Directory - Einführung

Bildquelle leider nicht mehr auffindbar

Der Nameserver (im Beispiel 213.229.11.74) bittet um Auflösung von "intern.shop.orf.at".

  1. Der Nameserver fragt den Root-Server an, wer den als Nameserver für "at" zuständig ist
  2. Sobald er diese Adresse hat, fragt er dort an, wer den für  orf.at zuständig ist.
  3. Sobald er diese Adresse hat, fragt er dort an, ob dieser "intern.shop.orf.at" kennt bzw. falls nicht, wer den der nächste zuständige Nameserver ist. Da im Beispiel der für orf.at zuständige Nameserver "intern.shop.orf.at" noch nicht kennt, teilt er ihm die Adresse des Nameservers mit, der für shop.orf.at zuständig ist.
  4. Dieser Nameserver kann die Anfrage endlich beantworten und die Adresse ist aufgelöst.

Hierzu auch eine Illustration aus den MS-Whitepapers

DNS und Active Directory - Einführung

Es gibt drei Arten, wie eine Auflösungsanfrage an einen DNS-Server geschehen kann: Rekursiv, Iterative oder Inverse. Ein DNS-Server kann immer auch Client eines weiteren DNS-Servers sein.

Das "Herunterhangeln" durch verschiedene Nameserver-Abfragem wie im obigen Beispiel wird als rekursive Abfrage bezeichnet.

Iterative Abfragen sind die direkten Abfragen vom Resolver an den Name Server.

Inverse Abfragen liefern zu einer IP-Adresse den zugehörigen Namen. Hierzu hat ein DNS-Server neben den sogenannten Forward-Lookupzonen auch Reverse-Lookupzonen.

DNS wird dynamisch - DDNS

Unter Windows NT war DNS statisch und jede erforderliche Änderung musste manuell ausgeführt werden. Windows 2000 brachte hierfür ein neues Feature namens Dynamic DNS (DDNS). DDNS bietet in Verbindung mit DHCP und Active Directory sichere dynamische Updates der A- und PTR-Datensätze in DNS. Das heisst: Ein Client - der DDNS unterstützt - erzeugt im DNS-Server automatisch einen Host-Eintrag, sobald er per DHCP eine IP-Adresse erhält. DHCP muss für Active Directory registriert sein.

Windows 95/98/ME/NT-Clients unterstützen DDNS nicht. DHCP lässt sich aber so umkonfigurieren, dass auch Nicht-DDNS-Clients automatisch Hosts-Einträge erstellen können.

In diesem Zusammenhang: Secure Dynamic Update erlaubt es einem Client nur den Host-Eintrag zu ändern, derdurch ihn selbst erstellt wurde.

FAQ Windows DNS

Windows DNS für Internet-Zugang konfigurieren

Problem: Windows 2000 Server in der Standard-Einstellung löst keine Internet-Namen auf. Dadurch sind Seiten im Internet nicht erreichbar. Die Ursache ist die Standard-Einstellung des Active-Directory-Wizard.

Hintergrund

Wie Sie oben erfahren haben, benötigt Active Directory einen DNS-Server um richtig zu arbeiten. Beim Einrichten frägt der Wizard (dcpromo.exe) "Soll dieser Server zum Stammserver gemacht werden?" Die Standard-Antwort ist hierbei auf "Ja" gesetzt.

Wenn diese Auswahl getroffen wird, nimmt der DNS-Server an, er sei ein "realer" Internet-Root-DNS-Server und sei als solcher für DNS Auflösung im vollständigen Internet verantwortlich. Als Root-DNS-Server bittet er nie andere DNS-Server um Hilfe bei der Namensauflösung, da er sich ja an oberster Stelle wähnt.

Lösung

Um eine Root-Zone zu kennzeichnen, wird diese als "." bezeichnet. Jeder DNS-Server, der die "." Zone bezeichnet, ist ein Stamm-Server.

Zur Lösung rufen Sie den Windows DNS Manager auf, wählen Sie Ihren Server und schauen Sie sich die Forward-Zonen an.

Wenn Ihr DNS Manager eine "."-Zone hat, ist die Ursache des Problems gefunden.

Löschen Sie die "." Zone.

Namensauflösung für das Internet

Klicken Sie Ihren Server mit der rechten Maustaste an, wählen Sie Enable forwarders und geben Sie die DNS-Server-Adresse Ihres Internet Service Providers als IP an.

Keinesfalls dürfen sie in den TCP/IP-Eigenschaften der Server-Netzwerkkarte den DNS des Providers als zweiten DNS eintragen. Die Namensauflösung in ihrem internen Netz wird dann nicht mehr funktionieren. Die Clients fragen immer den oder die lokalen DNS-Server und diese dann bei Bedarf die des Providers um Namen im Internet auflösen zu können.

Das ganze noch einmal aus der "Feder" einer Microsoft Mitarbeiterin in der MS-Newsgroup:

Siehe auch: support.microsoft.com.

_mscds-Zone im Active Directory DNS

Die Zone wird auch als Standardanwendungs-Verzeichnispartition bezeichnet. Sie enthält Informationen über Dienste des Active Directorys, z.B. Domänencontroller, Globale Kataloge...

Noch unter Windows Server 2000 war die Zone nur eine Unterzone von der jeweiligen Domain-Zone.

DCPROMO macht aber ab Windows Server 2003 hierfür automatisch eine separate Zone. Dies hat den Hintergrund, dass die Informationen über globalen Kataloge der Gesamtstruktur nur in dieser Zone der Stammdomäne der Gesamtstruktur vorhanden sind.

Ein DC in einer möglichen Subdomain müsste sonst immer die Zone der Stammdomäne erreichen, um einen globalen Katalog zu finden. Wenn diese aus Netzwerkgründen nicht erreichbar ist, hat der DC der Subdomain dann ein Problem den nächsten verfügbaren globalen Katalog zu finden.

Deshalb wird diese Zone ab Windows Server 2003 als eigenständige Zone eingerichtet und auf alle DCs der Gesamtstruktur repliziert. Damit kennt jeder DC im gesamten Forest automatisch z.B. alle globalen Kataloge.

(Letzter Absatz fast wörtlich geklaut bei GRIZZLY999 aus dem Thread mcseboard.de ;-).

Eine gute Erklärung für die _mscds Zone findet sich unter What's the DNS _msdcs zone for the forest root domain used for?

Troubleshooting Windows-DNS-Server

Troubleshooting können sie z.B. mit den folgenden zwei Kommandos ausführen:

Siehe hierzu auch: mcseboard.de

Quellen / Weitere Infos



War der Artikel hilfreich? Ich freue mich sehr über Likes, Shares oder Links von Deiner Website darauf. Danke Dir.

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.