Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Rkdnsdns Alem

    Hochgeladen von

    carlosgk
    17 Ansichten54 Seiten

    Originaltitel

    rkdnsdns_Alem

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    17 Ansichten54 Seiten

    Rkdnsdns Alem

    Hochgeladen von

    carlosgk

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 54

    Bereitstellen von DNS

    (Engl. Originaltitel: Deploying DNS) Bereitstellen von DNS Das Domain Name System (DNS) von Microsoft Windows Server 2003 bietet Funktionen zur effizienten Namensauflsung, Untersttzung fr Active Directory-Verzeichnisdienste und Zusammenarbeit mit anderen Standardtechnologien. Durch die Bereitstellung von DNS in Ihrer Client-/Serverinfrastruktur knnen Ressourcen in einem TCP/IP-Netzwerk andere Ressourcen im Netzwerk durch die Auflsung von Hostnamen in IPAdressen oder von IP-Adressen in Hostnamen ausfindig machen.

    Verwandte englischsprachige Informationen in den Resource Kits


    Weitere Informationen zu DNS finden Sie unter "Introduction to DNS" im Networking Guide des Microsoft Windows Server 2003 Resource Kit (oder in "Introduction to DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp). Informationen ber den DNS-Server und -Client von Windows Server 2003 finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kit (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp). Informationen ber den DNS-Client finden Sie unter "Configuring IP Addressing and Name Resolution" in Administering Microsoft Windows XP Professional. Informationen ber das Festlegen von Sicherheitsrichtlinien finden Sie unter "Designing an Authorization Strategy" in Designing and Deploying Directory and Security Services in diesem Kit. Informationen zum Bereitstellen von DNS speziell im Hinblick auf Active Directory finden Sie unter "Designing the Logical Structure" in Designing and Deploying Directory and Security Services.

    bersicht ber DNS-Bereitstellung


    DNS ist die Hauptmethode fr die Namensauflsung in Windows Server 2003. DNS ist auch eine grundlegende Voraussetzung fr das Bereitstellen von Active Directory. Hingegen ist Active Directory keine Voraussetzung fr das Bereitstellen von DNS. Die Integration von DNS in Active Directory ermglicht die beste Kombination aus Sicherheit, Leistung und Verfgbarkeit bei der Namensauflsung in Organisationen. Durch die Kombination von DNS mit Active Directory knnen Sie die Multimaster-Replikationstopologie von Active Directory einsetzen, um dadurch die Leistung und Integritt der Namensauflsung zu verbessern. Aufgrund von Active Directory-integrierten Zonen wird eine separate Einzelmastertopologie mit bertragung von primrer zu sekundrer Zone berflssig. Active Directory-integrierte Zonen speichern die Zonendaten in der Active Directory-Datenbank. Da Sie keine sekundren Zonen in Active Directory speichern knnen, mssen Sie fr Active Directory-integrierte Zonen den DNS-Serverdienst auf Domnencontrollern ausfhren und ausschlielich primre Zonen verwenden. Durch den Einsatz von Active Directory-integrierten Zonen knnen Sie auch das Active Directory-Sicherheitsmodell nutzen, indem Sie sichere dynamische Aktualisierungen implementieren, bei denen es sich um eine Erweiterung des dynamischen Aktualisierungsprotokolls von DNS handelt. Anhand von DNS verfgen Sie ber einen skalierbaren Mechanismus fr die Ressourcensuche in Netzwerken. Durch die Integration von DNS in Active Directory steigern Sie die Sicherheit und Leistung von DNS.

    DNS-Bereitstellungsprozess
    Fr das Bereitstellen von DNS mssen Sie die DNS-Infrastruktur planen und entwerfen, wozu DNS-Namespace, -Serverplatzierung, -Zonen und -Clientkonfiguration zhlen. Zudem mssen Sie die Integrationsstufe mit Active Directory planen und Ihre Sicherheits-, Skalierbarkeits- und Leistunganforderungen ermitteln, bevor Sie die DNS-Lsung in der Produktionsumgebung implementieren. Abbildung 4.1 zeigt den DNSBereitstellungsprozess.

    Abbildung 4.1

    DNS-Bereitstellungsprozess

    DNS-Konzepte
    Das Microsoft Windows Server 2003-DNS arbeitet mit vielen Betriebssystemen zusammen. Zudem verwendet DNS eine verteilte Datenbank fr die Implementierung eines hierarchischen Namensystems. Mit diesem

    Namensystem kann eine Organisation ihre Prsenz im Internet erweitern und die Erstellung von Namen ermglichen, die sowohl im Internet als auch in internen TCP/IP-basierten Intranets eindeutig sind. Aufgrund seiner verteilten, hierarchischen Struktur wird DNS weltweit fr den Internetnamespace verwendet. Mithilfe von DNS kann jeder Computer im Internet den Namen eines anderen Computers im Internetnamespace ermitteln. Computer unter Windows Server 2003 und Windows 2000 verwenden DNS auch fr die Suche nach Domnencontrollern.

    Neue Funktionen von Windows Server 2003


    Das Microsoft Windows Server 2003-DNS bietet mehrere neue Funktionen. Dazu zhlen u. a.: Bedingte Weiterleitung. Durch die bedingte Weiterleitung knnen Sie DNS-Abfragen auf Grundlage des DNS-Domnennamens in der Abfrage weiterleiten. Weitere Informationen ber Weiterleitungen mit Bedingungen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003. Stubzonen. Stubzonen ermglichen Ihnen das Synchronisieren von DNS-Servern, die bergeordnete Zonen mit den autorisierenden DNS-Servern fr die entsprechenden untergeordneten Zonen hosten. Weitere Informationen ber Stubzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003. Active Directory-integrierte Zonen. Active Directory-integrierte Zonen ermglichen Ihnen das Speichern der Zonendaten in der Active Directory-Datenbank. Die Zoneninformationen in jedem primren DNS-Server innerhalb einer Active Directory-integrierten Zone werden immer repliziert. Weitere Informationen ber Active Directory-integrierte Zonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003.

    Tools fr die DNS-Bereitstellung


    Windows Server 2003 enthlt eine Reihe von Tools, die Sie beim Bereitstellen einer DNS-Infrastruktur untersttzen. Active Directory Sizer Mit Active Directory Sizer knnen Sie die fr die Active Directory-Bereitstellung erforderliche Hardware einschtzen, wobei das Organisationsprofil, Domneninformationen und Standorttopologie als Kriterien herangezogen werden. Active Directory Sizer verwendet die Benutzereingabe und interne Formeln, um Schtzungen fr folgende Komponenten zu erstellen: Domnencontroller pro Domne je Standort Globale Katalogserver pro Domne je Standort CPUs pro Computer und Typ der CPU Erforderliche Datentrger fr die Active Directory-Datenspeicherung

    Active Directory Sizer liefert auch Schtzungen fr Folgendes: Bentigter Speicher Nutzung der Netzwerkbandbreite Gre der Domnendatenbank Gre der Datenbank des Globalen Katalogservers Erforderliche Bandbreite fr die Replikation zwischen Standorten

    Netdiag Das Tool Netdiag untersttzt Sie beim Erkennen von Netzwerk- und Verbindungsproblemen. Netdiag fhrt eine Reihe von Tests aus, mit denen Sie den Zustand des Netzwerkclients bestimmen knnen. Weitere Informationen ber Netdiag finden Sie unter "Supporttools" im Hilfe- und Supportcenter fr Windows Server 2003. Dnscmd.exe Mit dem Befehlszeilenprogramm Dnscmd.exe knnen Sie die meisten Aufgaben ausfhren, die ber das DNSMMC-Snap-In (Microsoft Management Console) vorgenommen werden knnen.

    Begriffe und Definitionen


    Die folgenden Begriffe spielen eine wichtige Rolle bei DNS: Autorisierender Nameserver. Ein Server, der ber die Autoritt zum Auflsen von DNS-Abfragen fr eine bestimmte Zone verfgt. Ein autorisierender Nameserver enthlt eine lokale Zonendatei mit Ressourceneintrgen fr die Computer innerhalb der Zone. Jede Zone verfgt mindestens ber einen autorisierenden Nameserver. Bedingte Weiterleitung . Anhand der bedingten Weiterleitung knnen Sie einen internen Domnennamen und eine interne IP-Adresse angeben, welche die Weiterleitung mit dem in der Abfrage angegebenen Domnennamen verknpft. Im Windows Server 2003-DNS knnen Sie die Leistung bei der Namensauflsung verbessern, indem Sie Bedingungen mit DNS-Weiterleitungen verknpfen. Wenn die Weiterleitung den in der Abfrage angegebenen Domnennamen dem in der Bedingung festgelegten Domnennamen zuordnet, bergibt die Weiterleitung die Abfrage an einen DNS-Server in der angegebenen Domne. DNS-Server, die fr die bedingte Weiterleitung konfiguriert sind, mssen zur Namensauflsung nicht auf Rekursion zurckgreifen. Delegierung. Der Prozess zum Verteilen von Verantwortung fr Domnennamen zwischen verschiedenen DNS-Servern im Netzwerk. Fr jeden delegierten Domnennamen mssen Sie mindestens eine Zone erstellen. Je mehr Domnen Sie delegieren, desto mehr Zonen mssen Sie erstellen. DNS-Namespace. Die hierarchische Struktur des Domnennamenbaums. Jede Domnenbezeichnung, die in einem vollqualifizierten Domnennamen (Fully Qualified Domain Name oder FQDN) verwendet wird, bezeichnet einen Knoten oder eine Teilstruktur in der Domnen-Namespacestruktur. Beispiel: host1.contoso.com ist ein vollqualifizierter Name, der den Knoten host1 unter dem Knoten Contoso, unter dem Knoten com und unter dem Internetstamm reprsentiert. DNS-Resolver. Ein Dienst, der auf Clientcomputern ausgefhrt wird und DNS-Abfragen an einen DNS-Server sendet. DNS-Server. Ein Computer, der den DNS-Serverdienst ausfhrt. Ein DNS-Server verwaltet Informationen ber einen Teil der DNS-Datenbank und lst DNS-Abfragen auf. Externer Namespace. Ein ffentlicher Namespace wie das Internet, auf den jedes angeschlossene Gert zugreifen kann. Unterhalb der Domnen der obersten Ebene delegieren die ICANN (Internet Corporation for Assigned Names and Numbers) und andere Vergabestellen fr Internetnamen die Domnen an Organisationen wie Internetdienstanbieter (Internet Service Providers oder ISPs), die wiederum untergeordnete Domnen an ihre Kunden delegieren. Vollqualifizierter Domnenname (FQDN). Ein DNS-Name, der einen Knoten in einem DNSNamespace eindeutig identifiziert. Der FQDN eines Computers ist eine Verkettung des Computernamens (beispielsweise client1) und des primren DNS-Suffixes des Computers (beispielsweise contoso.com). Interner Namespace. Ein Namespace, bei dem Organisationen den Zugriff steuern knnen. Organisationen knnen den internen Namespace verwenden, um die Namen und IP-Adressen der internen Computer vom Internet abzuschirmen. Eine einzelne Organisation knnte mehrere interne Namespaces einsetzen. Organisationen knnen eigene Stammserver und untergeordnete Domnen nach Bedarf erstellen. Der interne Namespace kann gemeinsam mit einem externen Namespace genutzt werden. Nameserver. Ein DNS-Server, der auf DNS-Auflsungsanforderungen von Clients innerhalb einer bestimmten Zone reagiert und FQDNs in IP-Adressen auflst. Zonen knnen primre und sekundre Nameserver enthalten.

    Masternamensserver. Ein Server, der die Zonendatei mit Ressourceneintrgen anderen (sekundren) Nameservern zur Verfgung stellt. Wenn ein Masternamensserver ein sekundrer Nameserver ist, muss er Ressourceneintrge fr die Zone von einem anderen Masternamensserver whrend einer Zonenbertragung erhalten. Primrer Nameserver. Ein Server, der fr die Namensauflsung in der Zone verantwortlich ist, fr die er Autoritt besitzt. Ein primrer Nameserver weist eine beschreibbare DNS-Masterdatenbank mit Ressourceneintrgen auf. DNS-Masterdatenbankeintrge sind in einer lokalen Zonendatei enthalten. Sekundrer Nameserver. Ein Server, der Ressourceneintrge fr eine Zone von einem Masternamensserver bei einer Zonenbertragung erhalten muss. Ein sekundrer Nameserver besitzt keine beschreibbare Zonendatei. Wenn ein sekundrer Nameserver ein Masternamensserver ist, verfgt er ber die Autoritt zur Namensauflsung fr eine Zone, muss aber Ressourceneintrge von einem anderen Masternamensserver erhalten. Wenn ein sekundrer Nameserver kein Masternamensserver ist, kann er fr Redundanz und Lastenausgleich verwendet werden. Ressourceneintrag (Resource Record oder RR). Eine standardmige DNS-Datenbankstruktur mit Informationen zum Verarbeiten von DNS-Abfragen. Beispielsweise enthlt ein A-Ressourceneintrge (fr Adressen) eine IP-Adresse, die einem Hostnamen entspricht. Die meisten grundlegenden RRTypen werden in RFC 1035, "Domain Names Implementation and Specification", definiert, aber zustzliche RR-Typen werden in anderen RFCs definiert und fr den Einsatz mit DNS genehmigt. Stubzone. Eine Teilkopie einer Zone, die von einem DNS-Server gehostet und zum Auflsen von rekursiven oder iterativen Abfragen genutzt werden kann. Stubzonen enthalten die SOARessourceneintrge (Start of Authority oder Autorittsursprung), die DNS-Ressourceneintrge, in denen die autorisierenden Server der Zone aufgelistet werden, sowie die "Glue A"-Ressourceneintrge (Adresse), die fr die Verbindung mit den autorisierenden Servern der Zone erforderlich sind. Zone. Ein zusammengehriger Bereich des DNS-Baums in einer DNS-Datenbank, der als einzelne separate Entitt von einem DNS-Server verwaltet wird. Die Zone enthlt Ressourceneintrge fr alle Namen innerhalb der Zone. Zonendatei. Eine Datei, die aus den Ressourceneintrgen der DNS-Datenbank besteht, welche die Zone definieren. Jeder primre oder sekundre Nameserver enthlt eine Zonendatei, die allerdings nur auf dem primren Nameserver gendert werden kann. Zonenbertragung. Der Prozess, bei dem der Inhalt der Zonendatei, die sich auf einem primren Nameserver befindet, auf einen sekundren Nameserver verschoben wird. Die Zonenbertragung ermglicht Fehlertoleranz durch Synchronisierung der Zonendatei auf einem primren Nameserver mit der Zonendatei auf einem sekundren Nameserver. Der sekundre Nameserver kann die Namensauflsung bei einem Ausfall des primren Nameserver weiterhin ausfhren. Die Zonenbertragung ermglicht zudem Lastenausgleich, indem die Netzwerklast zwischen primrem und sekundrem Nameserver in Phasen mit zahlreichen Namensauflsungsanfragen aufgeteilt wird.

    Untersuchen der aktuellen Umgebung


    Bevor Sie das DNS von Microsoft Windows Server 2003 in Ihrer Umgebung bereitstellen, mssen Sie Ihre aktuellen Anforderungen analysieren. Auf diese Weise knnen Sie feststellen, ob Sie eine eigene DNSInfrastruktur bereitstellen mssen oder die DNS-Verwaltung auslagern knnen. Darber hinaus mssen Sie einen Bereitstellungsplan fr das DNS von Windows Server 2003 aufstellen, der den aktuellen und knftigen Anforderungen Ihrer Organisation entspricht. Abbildung 4.2 zeigt den Prozess zum Untersuchen der aktuellen Umgebung.

    Abbildung 4.2

    Untersuchen der aktuellen Umgebung

    Bestimmen des Internetstatus


    Um die Namensauflsung ber den Bereich Ihrer internen Domne hinaus zu ermglichen, mssen Ihre IPAdressen und DNS-Domnennamen bei einer Internetregistrierungsstelle erfasst werden. Internetregistrierungsstellen sind Organisationen, die folgende Aufgaben erfllen: Zuweisen von IP-Adressen Registrieren von DNS-Domnennamen Anlegen von ffentlichen Eintrgen mit registrierten IP-Adressen und Domnennamen

    Wenn Ihr Netzwerk momentan mit dem Internet verbunden ist oder knftig verbunden sein wird, mssen Sie den Registrierungsstatus Ihrer IP-Adressen bestimmen. Ihre Netzwerk-IP-Adressen werden von anderen Computern im Internet verwendet, um Ressourcen in Ihrem Netzwerk ausfindig zu machen. Wenn Sie bereits mit dem Internet verbunden sind, ist Ihr Netzwerk ein Teilnetz des Netzwerks Ihres Internetdienstanbieters. Vergewissern Sie sich, dass Ihr Internetdienstanbieter (Internet Service Provider oder ISP) die IP-Adressen dieses Teilnetzes bei einer Internetregistrierungsstelle registriert hat. Wenn Ihr Internetdienstanbieter die Netzwerk-IP-Adressen registriert hat, mssen Sie diese nicht selbst registrieren.

    Identifizieren des DNS-Datenhosts


    Bestimmen Sie, wer die DNS-Daten hosten wird. Sie knnen Ihre eigenen DNS-Daten entweder intern hosten oder einen externen Internetdienstanbieter mit dem Hosten der DNS-Daten beauftragen. Wenn Sie Ihre DNSDaten selbst hosten, knnen Sie alle Aspekte der Zuweisung von Netzwerkressourcen und der Sicherheit vollstndig steuern. Verwenden Sie nur dann einen Internetdienstanbieter, wenn Sie ber ein kleines Netzwerk verfgen, das in naher Zukunft nicht rasch erweitert werden soll. Wenn Sie sich fr das Hosten der eigenen DNS-Daten entscheiden, sollten Sie in Erwgung ziehen, Ihre DNS-Clients und -Server fr die Verwendung der DNS-Server eines Internetdienstanbieters vorzubereiten, um die Namensauflsung fr externe Hosts auszufhren. Diese Konfiguration kann die Bandbreitennutzung in Ihrem Netzwerk verbessern. Wenn Sie sich fr einen Internetdienstanbieter als Host fr die DNS-Daten entscheiden, mssen Sie sicherstellen, dass die DNS-Infrastruktur des Internetdienstanbieters Ihre DNS-Bereitstellung untersttzen kann. Hierzu mssen Sie berprfen, ob die DNS-Serversoftware des Internetdienstanbieters mit dem DNS von Windows Server 2003 kompatibel ist. Wenn der Internetdienstanbieter bestimmte Funktionen von Windows Server 2003 untersttzen soll, mssen Sie sich vergewissern, dass die von Ihrem Internetdienstanbieter verwendete DNS-Version diese Funktionen untersttzt. Stellen Sie sicher, dass Sie die von Ihrem Internetdienstanbieter verwendete DNS-Serversoftware kennen. Darber hinaus mssen Sie wissen, wie die Funktionen und Optionen dieser Software mit dem DNS von Windows Server 2003 zusammenarbeiten. Unterschiedliche DNS-Serversoftwarelsungen bieten unterschiedliche Funktionen und Optionen. Wenn Ihre Organisation alle DNS-Daten hostet, mssen Sie die DNS-Infrastruktur des Internetdienstanbieters nicht bercksichtigen. Beachten Sie, dass Sie sogar beim Hosten der DNS-Daten ohne Hilfe des Internetdienstanbieters die Option haben, Ihre DNS-Clients und -Server fr die Verwendung der DNS-Server des Internetdienstanbieters einzurichten, um die Namensauflsung fr externe Hosts auszufhren. In diesem Fall mssen Sie den Internetdienstanbieter nicht ber diese Konfiguration informieren.

    Analysieren der Netzwerktopologie


    Analysieren Sie die vorhandene Netzwerktopologie, und ermitteln Sie, welche Zielsetzung hinsichtlich Diensten und Verwaltung bei der Konzeption des Netzwerks eine Rolle gespielt hat. Bei der Planung des DNSNamespaces mssen Sie diese Zielsetzungen Ihrer Organisation einbeziehen. Sie mssen die voraussichtliche Erweiterung der Knotenanzahl in der DNS-Hierarchie bercksichtigen, indem Sie Platzhalter fr Domnennamen zwischen die anfnglich bereitgestellten Domnennamen einfgen. Durch das Hinzufgen von Platzhaltern fr Domnennamen mssen Sie die DNS-Infrastruktur fr zustzliche Domnennamen nicht neu entwerfen. Sie sollten auch mgliche knftige nderungen am Geschftsmodell bereits jetzt bercksichtigen, indem Sie Domnennamen zuweisen, die auch in einem genderten Kontext verwendet werden knnen. Beispielsweise bietet sich anstelle des Domnennamens accounting.contoso.com die Verwendung von finance.contoso.com an, um auf eine knftige Ausweitung des Geschfts auf weitere Finanzdienstleistungen ber die Buchhaltung hinaus vorbereitet zu sein.

    Erstellen von Diagrammen zur vorhandenen DNS-Infrastruktur


    Wenn Sie eine Aktualisierung auf Windows Server 2003 ausfhren, eine neue DNS-Bereitstellung vornehmen oder das Windows Server 2003-DNS in Active Directory-Dienste integrieren, mssen Sie keine nderungen an der vorhandenen DNS-Infrastruktur vornehmen. Wenn Sie hingegen eine Migration von einer DNS-Infrastruktur eines Drittanbieters ausfhren oder das Windows Server 2003-DNS in eine vorhandene DNS-Infrastruktur eines Drittanbieters integrieren, mssen Sie ein Diagramm der vorhandenen DNS-Infrastruktur einschlielich Domnen, Servern und Clients erstellen. Dieses Diagramm hilft Ihnen bei der Entscheidung, ob Sie die aktuelle DNS-Infrastruktur beim Bereitstellen von Windows Server 2003-DNS ndern mssen.

    Bestimmen der Sicherheitsrichtlinien


    Bestimmen und dokumentieren Sie die Sicherheitsrichtlinien der Organisation, bevor Sie mit dem Entwerfen und Bereitstellen der Infrastuktur des Windows Server 2003-DNS beginnen. Auf diese Weise knnen Sie sicherstellen, dass die DNS-Server, -Zonen und -Ressourceneintrge diese Richtlinien untersttzen. Mit den DNS-Funktionen in Windows Server 2003 knnen Sie eine sichere DNS-Infrastruktur bereitstellen.

    Entwerfen eines DNS-Namespaces


    Vor der Bereitstellung einer DNS-Infrastruktur mssen Sie einen DNS-Namespace entwerfen. Sie knnen einen externen Namespace entwerfen, der fr Internetbenutzer und Computer sichtbar ist. Sie knnen aber auch einen internen Namespace entwerfen, auf den nur der Zugriff durch Benutzer und Computer innerhalb des internen Namespaces mglich ist. Abbildung 4.3 zeigt den Prozess zum Erstellen eines DNS-Namespaces.

    Abbildung 4.3 Erstellen eines DNS-Namespaces

    Bestimmen der Anforderungen an den DNS-Namespace


    Der erste Schritt beim Entwerfen eines DNS-Namespaces besteht darin, die Entscheidung zu treffen, ob ein neuer Namespace fr die Organisation erforderlich ist oder ob Sie einen vorhandenen Windows- oder DNSNamespace beibehalten knnen. Wenn Sie von einer frheren Version von Windows auf das Windows Server 2003-DNS aktualisieren, mssen Sie mglicherweise ein vorhandenes Namensauflsungssystem wie beispielsweise WINS (Windows Internet Name Service) durch eine Windows Server 2003-DNS Infrastruktur ersetzen oder in diese integrieren. Sie knnen eine vorhandene WINS-Implementierung integrieren, indem Sie die DNS-Zonen auf dem Windows Server 2003-DNS-Server so konfigurieren, dass sie einen WINS-Server abfragen.

    Wenn Sie das DNS von Windows Server 2003 in eine DNS-Infrastruktur eines Drittanbieters migrieren oder integrieren, mssen Sie den in der DNS-Infrastruktur verwendeten Namespaceentwurf nicht ndern. Bei der Bereitstellung einer neuen Infrastruktur des Windows Server 2003-DNS mssen Sie eine Strategie zum Benennen von DNS-Domnen und Computernamen entwerfen und einen Plan fr die Auflsung dieser Namen innerhalb des Netzwerks und im Internet erarbeiten. Wenn Sie das DNS von Windows Server 2003 fr die Untersttzung von Active Directory bereitstellen, mssen Sie die Active Directory-Gesamtstruktur und den Active Directory-Domnennamen in die DNS-Infrastrukur integrieren. Sie knnen beispielsweise den vorhandenen DNS-Namespaceentwurf so ndern, dass Netzwerkressourcen untersttzt werden, welche die spezifischen Namen von Active DirectoryDomnencontrollern, -OUs (Organizational Units oder Organisationseinheiten), -Standorten und -Subnetzen ausfindig machen mssen. Anmerkung Sie mssen den DNS-Namespace in bereinstimmung mit den Planungen der logischen Struktur von Active Directory entwerfen. Weitere englischsprachige Informationen zum Entwerfen der logischen Struktur von Active Directory finden Sie unter "Designing the Logical Structure" in Designing and Deploying Directory and Security Services. Tabelle 4.1 fasst die Entwurfsanforderungen an DNS-Namespaces fr alle mglichen Szenarien zusammen. Tabelle 4.1 Anforderungen an DNS-Namespaceentwrfe Szenarien Sie aktualisieren eine vorhandene DNS-Infrastruktur von einer frheren Version von Windows als Windows Server 2003. Sie aktualisieren von einer DNS-Infrastruktur eines Drittanbieters, die auf DNS-Software beruht, bei der die standardisierten Richtlinien fr DNS-Domnennamen bercksichtigt werden. Ihre vorhandene DNS-Software entspricht nicht den standardisierten Richtlinien fr DNS-Domnennamen. Entwurfsanforderungen Der DNS-Namespaceentwurf kann beibehalten werden.

    Der DNS-Namespaceentwurf kann beibehalten werden.

    Passen Sie den vorhandenen DNS-Namespaceentwurf in bereinstimmung mit den Richtlinien fr DNSDomnennamen an, bevor Sie einen Namespace des Windows Server 2003-DNS bereitstellen. Die vorhandene DNS-Software des Drittanbieters Integrieren Sie das DNS von Windows Server 2003 in erfllt die standardisierten Richtlinien fr DNSdie aktuelle DNS-Infrastruktur. Sie mssen weder den Domnennamen. Namespaceentwurf der DNS-Infrastruktur des Drittanbieters noch den vorhandenen Namespace ndern. Sie stellen eine neue Infrastruktur des Windows Entwerfen Sie eine logische Namenskonvention fr den Server 2003-DNS bereit. DNS-Namespace, die auf den Namenskonventionen fr DNS-Domnen beruht. Sie stellen das DNS von Windows Server 2003 fr die Erstellen Sie einen DNS-Namespaceentwurf, der auf Untersttzung von Active Directory bereit. der Active Directory-Namenskonvention beruht. Sie ndern den vorhandenen DNS-Namespace fr die Vergewissern Sie sich, dass die Active DirectoryUntersttzung von Active Directory, mchten aber den Domnennamen mit den vorhandenen DNS-Namen DNS-Namespace nicht neu entwerfen. bereinstimmen. Auf diese Weise knnen Sie die hchste Sicherheitsstufe bereitstellen und mssen hierzu nur einfache Verwaltungstechniken verwenden.

    Erstellen von internen und externen Domnen


    Organisationen, die eine Internetprsenz und einen internen Namespace bentigen, mssen sowohl einen internen als auch einen externen DNS-Namespace bereitstellen und jeden Namespace separat verwalten. Sie knnen mit drei verschiedenen Methoden einen gemischten internen und externen DNS-Namespace erstellen: Die interne Domne kann zu einer untergeordneten Domne der externen Domne gemacht werden.

    Es knnen unterschiedliche Namen fr die internen und externen Domnen verwendet werden. Derselbe Name kann fr die interne und die externe Domne verwendet werden, wobei ein privater Namespace fr die Organisation verwendet wird. Diese Methode wird nicht empfohlen. Sie verursacht Probleme bei der Namensauflsung aufgrund der Einfhrung von nicht eindeutigen DNS-Namen.

    Whlen Sie die Entwurfsoption fr die Konfiguration aus, die den Anforderungen Ihrer Organisation am besten entspricht. Tabelle 4.2 listet die Entwurfsoptionen fr das Bereitstellen eines gemischten internen und externen Namespaces und die Komplexittsstufe bei der Verwaltung fr die einzelnen Optionen auf. Zudem wird jede Option mit einem Beispiel veranschaulicht. Tabelle 4.2 Entwurfsoptionen fr gemischten internen und externen DNS-Namespace Entwurfsoption Die interne Domne ist eine untergeordnete Domne der externen Domne. Verwaltungskomplexitt Beispiel Diese Konfiguration kann Eine Organisation mit dem Domnennamen einfach bereitgestellt und contoso.com fr die externe Domne verwaltet werden. verwendet den Domnennamen corp.contoso.com fr die interne Domne. Die Namen der internen und externen Diese Konfiguration kann Eine Organisation verwendet contoso.com Domnen stehen nicht in Beziehung mit gewissen fr den Domnennamen des externen zueinander. Schwierigkeiten Namespaces und contoso01-int.com fr den bereitgestellt und Domnennamen des internen Namespaces. verwaltet werden. Der interne Domnenname stimmt mit Diese Konfiguration kann Eine Organisation verwendet den dem externen Domnennamen berein. nur mit groen Domnennamen contoso.com fr den Die Organisation verfgt jedoch ber Schwierigkeiten Domnennamen des privaten internen einen privaten Namespace. bereitgestellt und Namespaces und den Domnennamen des verwaltet werden. Diese ffentlichen externen Namespaces. Option wird nicht empfohlen.

    Verwenden einer internen untergeordneten Domne


    Die optimale Konfigurationsoption fr einen gemischten internen und externen DNS-Namespace besteht darin, die interne Domne als untergeordnete Domne der externen Domne einzurichten. Wenn beispielsweise eine Organisation als Domnennamen fr den externen Namespace contoso.com verwendet, knnte der Domnenname fr den internen Namespace corp.contoso.com lauten. Die Verwendung einer internen Domne, die eine untergeordnete Domne einer externen Domne ist, bietet die folgenden Vorteile: Sie mssen lediglich einen einzelnen Namen bei einer Internetnamensstelle registrieren. Es wird sichergestellt, dass die internen Domnennamen global eindeutig sind. Die Verwaltung wird vereinfacht, da Sie die Verantwortung fr die Verwaltung ber interne und externe Domnen verteilen knnen.

    Sie knnen die interne untergeordnete Domne als bergeordnete Domne fr zustzliche untergeordnete Domnen verwenden, die Sie zum Verwalten der Abteilungen in Ihrem Unternehmen erstellen. Untergeordnete Domnen verfgen ber DNS-Namen, die dem DNS-Domnennamen der bergeordneten Domne unmittelbar untergeordnet sind. Wenn beispielsweise eine untergeordnete Domne fr die Abteilung Personalwesen zum Namespace us.corp.contoso.com hinzugefgt wird, knnte fr diesen Namespace hr.us.corp.constoso.com verwendet werden. Wenn Sie diese Konfigurationsoption fr die interne Domne verwenden, mssen Sie die Computer, die Sie fr den Zugriff ber das Internet freigeben mchten, in Ihrer externen Domne auerhalb der Firewall bereitstellen. Die Computer, die Sie nicht fr den Zugriff ber das Internet freigeben mchten, stellen Sie hingegen in der untergeordneten Domne bereit, die als interne Domne eingerichtet ist.

    Verwenden einer internen eigenstndigen Domne

    Wenn Sie die interne Domne nicht als untergeordnete Domne der externen Domne konfigurieren knnen, verwenden Sie eine eigenstndige interne Domne. Auf diese Weise besteht kein Zusammenhang zwischen den internen und externen Domnennamen. Eine Organisation mit dem Domnennamen contoso.com fr den externen Namespace verwendet beispielsweise den Namen contoso01-int.com fr den internen Namespace. Der Vorteil dieses Ansatzes besteht darin, dass Sie einen eindeutigen internen Domnennamen erhalten. Der Nachteil ist hingegen, dass Sie zwei separate Namespaces verwalten mssen. Darber hinaus kann die Verwendung einer eigenstndigen internen Domne, die nicht in Beziehung zur externen Domne steht, zu Verwirrung bei Benutzern fhren, da die Namespaces keinen Bezug zwischen den Ressourcen innerhalb und auerhalb des Netzwerks widerspiegeln. Zudem mssen Sie zwei DNS-Namen bei einer Internetnamensstelle registrieren.

    Verwenden identischer interner und externen Domnennamen


    Es wird nicht empfohlen, denselben Domnennamen fr den internen und externen Namespace zu verwenden. Diese Konfiguration verursacht aufgrund der Einfhrung nicht eindeutiger DNS-Namen Probleme bei der Namensauflsung. Bei dieser Konfiguration kann ein Computer im internen Namespace denselben Namen wie ein Computer im Internetnamespace aufweisen. Beim Versuch, diesen Namen aufzulsen, knnen daher Fehler auftreten. Dadurch wird der Verwaltungsaufwand erhht, da Sie alle mglicherweise doppelt vorkommenden Namen vorhersehen mssen. Sie knnen eine der folgenden Methoden ausfhren, um die Verwendung desselben Domnennamens fr interne und externe DNS-Namespaces zu ermglichen: Wenn Ihre Clients Abfragen an externe Server (wie Webserver) durch einen Firewall weiterleiten knnen, kopieren Sie die Zonendaten vom externen DNS-Server auf den internen DNS-Server. Wenn Ihre Clients keine Abfragen durch einen Firewall weiterleiten knnen, duplizieren Sie alle ffentlichen DNS-Zonendaten und alle ffentlichen Server (wie Webserver) Ihrer Organisation in das interne Netzwerk. Verwalten Sie eine Liste der ffentlichen Server, die Ihrer Organisation zugehren, in der ProxyAutokonfigurationsdatei (Proxy Auto-Configuration oder PAC) auf jedem DNS-Client.

    Die von Ihnen gewhlte Methode richtet sich nach den Softwareproxyfunktionen des Clients. Tabelle 4.3 listet die mglichen Methoden auf, die Sie ausfhren knnen, um die Verwendung desselben Domnennamens fr den internen und externen Namespace zu ermglichen. Zudem werden die Proxyfunktionen der Clientsoftware angegeben, die bei jeder Methode verfgbar sind.

    Tabelle 4.3 Methoden fr die Verwendung desselben Namens fr interne und externe Namespaces und kompatible Proxyfunktionen Methode Proxyfunktion der Software Kein Proxy Lokale NamensProxy-AutoAdresstabelle (Local ausschlusskonfigurationsAddress Table oder liste datei LAT)

    Verwenden unterschiedlicher Domnennamen Kopieren der Zonendaten vom externen zum internen DNS-Server Duplizieren der gesamten ffentlichen DNSZonendaten und aller ffentlichen Server in das interne Netzwerk Verwalten der Liste mit ffentlichen Servern in den PAC-Dateien auf den DNS-Clients.

    Entscheidung fr oder gegen das Bereitstellen eines internen DNS-Stammes


    Wenn Sie ber ein groes verteiltes Netzwerk und einen komplexen DNS-Namespace verfgen, empfiehlt sich die Verwendung eines internen DNS-Stammes, der von ffentlichen Netzwerken isoliert ist. Durch einen internen DNS-Stamm wird die Verwaltung des DNS-Namespaces optimiert, da Sie die DNS-Infrastruktur so verwalten knnen, als ob der gesamte Namespace aus den DNS-Daten innerhalb des Netzwerks bestehen wrde. Bei einem internen DNS-Stamm wird eine private DNS-Stammzone auf einem DNS-Server im internen Netzwerk gehostet. Auf diese private DNS-Stammzone kann kein Zugriff ber das Internet erfolgen. In gleicher Weise, wie die Internetstammzone Delegierungen mit allen Domnennamen der obersten Ebene im Internet wie .com, .net und .org enthlt, sind in einer privaten Stammzone Delegierungen mit allen Domnennamen der obersten Ebene in Ihrem Netzwerk enthalten. Der DNS-Server, der die private Stammzone hostet, wird als autorisierender Server fr alle Namen im internen DNS-Namespace betrachtet. Die Verwendung eines internen DNS-Stammes bietet die folgenden Vorteile: Skalierbarkeit. Ein groes Netzwerk mit einem internen DNS-Namespace, der auf mehreren DNSServern gehostet wird, ist leicht skalierbar. Wenn sich Ihr Netzwerk ber mehrere Standorte erstreckt, ist ein interner DNS-Stamm die beste Methode zum Verwalten der gesamten DNS-Aktivitt im verteilten Netzwerk. Effiziente Namensauflsung. Mit einem internen DNS-Stamm mssen DNS-Clients und -Server keine Verbindung mit dem Internet herstellen, um interne Namen aufzulsen. Daher werden die DNS-Daten fr das Netzwerk nicht ber das Internet bermittelt. Sie knnen die Namensauflsung fr jeden beliebigen Namen in einem anderen Namespace aktivieren, indem Sie eine Delegierung von Ihrer Stammzone hinzufgen. Wenn die Computer beispielsweise auf Ressourcen in einer Partnerorganisation zugreifen mssen, knnen Sie eine Delegierung von Ihrer Stammzone mit der obersten Ebene des DNS-Namespaces der Partnerorganisation hinzufgen. Beseitigung von Weiterleitungen. Durch die Verwendung eines internen DNS-Stammes sind keine Weiterleitungen mehr erforderlich, da die Namensauflsung intern ausgefhrt wird. DNS-Server in einem internen DNS-Namespace werden mit Stammhinweisen konfiguriert, die auf die internen DNSStammserver zeigen. Wichtig Wiederholen Sie keine externen Namen im internen Namespace. Wenn Sie InternetDNS-Namen im Intranet wiederholen, kann dies zu Fehlern bei der Namensauflsung fhren.

    Wenn die Computer im Netzwerk nicht auf Ressourcen auerhalb des DNS-Namespaces zugreifen mssen, knnen Sie einen internen DNS-Stamm bereitstellen und verwalten. Wenn die Computer hingegen auf Ressourcen auerhalb des DNS-Namespaces zugreifen mssen, knnten Sie u. U. keinen internen Stamm fr die Namensauflsung verwenden, je nach den Proxyfunktionen der Computer im Netzwerk. Wenn die Namensauflsung von Computern bentigt wird, die keinen Proxy untersttzen, oder von Computern, die nur LATs untersttzen, knnen Sie keinen internen Stamm fr den DNS-Namespace verwenden. In diesem Fall mssen Sie einen oder mehrere interne DNS-Server fr das Weiterleiten von Abfragen an das Internet konfigurieren, die nicht lokal aufgelst werden knnen. Tabelle 4.4 listet die Typen von Clientproxyfunktionen auf und gibt an, ob Sie einen internen DNS-Stamm fr jeden Typ verwenden knnen. Tabelle 4.4 Clientproxyfunktionen Proxyfunktion Microsoft-Software mit entsprechenden Proxyfunktionen Weiterleiten von Abfragen Ist die Verwendung eines internen Stammes mglich?

    Kein Proxy Allgemeines Telnet Lokale Adresstabelle (LAT) Winsock-Proxy (WSP) 1.x oder hher Internet Security and Acceleration (ISA) Server 2000 oder hher WSP 1.x oder hher

    Namensausschlussliste

    ProxyAutokonfigurationsdatei (PAC)

    Internet Security and Acceleration (ISA) Server 2000 oder hher und alle Versionen von Microsoft Internet Explorer WSP 2.x Internet Security and Acceleration (ISA) Server 2000 oder hher Internet Explorer 3.01 oder hher

    Konfigurieren der Namensauflsung fr mehrere Domnen der obersten Ebene


    Wenn Sie beim Bereitstellen des Windows Server 2003-DNS zwei DNS-Namespaces erstellen oder zusammenfhren mssen und dies zu einer DNS-Infrastrukur mit zwei oder mehr DNS-Domnennamen der obersten Ebene fhrt, mssen Sie sicherstellen, dass die interne Namensauflsung ordnungsgem funktioniert. Um die Namensauflsung fr mehrere DNS-Domnen der obersten Ebene zu konfigurieren, mssen Sie eine der folgenden Anweisungen ausfhren: Bei einem internen DNS-Stamm fgen Sie Delegierungen fr jede DNS-Zone der obersten Ebene zur internen DNS-Stammzone hinzu. Konfigurieren Sie die DNS-Server, auf denen die DNS-Zonen der obersten Ebene im ersten Namespace gehostet werden, damit Abfragen nach Namensauflsung in einem zweiten Namespace an die DNSServer weitergeleitet werden, welche die DNS-Zonen der obersten Ebene fr den zweiten Namespace hosten. Konfigurieren Sie dann die DNS-Server, auf denen die DNS-Zonen der obersten Ebene im zweiten Namespace gehostet werden, damit Abfragen nach Namensauflsung im ersten Namespace an die DNS-Server weitergeleitet werden, welche die DNS-Zonen der obersten Ebene fr den ersten Namespace hosten. Sie knnen die Weiterleitungen mit Bedingungen des Windows Server 2003-DNS fr diese Konfiguration verwenden. Konfigurieren Sie die DNS-Server, welche die DNS-Zonen der obersten Ebene im ersten und im zweiten Namespace hosten, um die sekundren Zonen fr die DNS-Zonen der obersten Ebene in den

    jeweils anderen Namespaces zu hosten. In dieser Konfiguration liegen den DNS-Servern, welche die DNS-Zonen der obersten Ebene in jedem Namespace hosten, Informationen ber die DNS-Server im anderen Namespace vor. Diese Lsung erfordert erhhten Speicherplatz fr das Hosten von sekundren Kopien der Domnen der obersten Ebene in verschiedenen Namespaces und erzeugt erhhten Zonenbertragungsverkehr. Sie knnen Stubzonen des Windows Server 2003-DNS verwenden, um die DNS-Datenverteilung zwischen separaten Namespaces zu erleichtern. Die Verwendung von Stubzonen ist jedoch weniger effizient als die Verwendung der bedingten Weiterleitung von Windows Server 2003. Weitere Information ber bedingte Weiterleitungen und Stubzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003 und unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp (beide englischsprachig).

    Integrieren einer DNS-Infrastruktur von Windows Server 2003 in einen vorhandenen DNS-Namespace
    Das DNS von Windows Server 2003 ist mit den relevanten Standards kompatibel und kann mit anderen Implementierungen von DNS zusammenarbeiten, einschlielich Windows NT 4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 und BIND 4.9.7. Die Komplexitt des Integrationsprozesses hngt teilweise von den DNSFunktionen ab, die Sie untersttzen mssen. Wenn auf den Computern in der DNS-Infrastruktur Versionen von DNS ausgefhrt werden, die dieselben Funktionen untersttzen, ist die Integration der DNS-Infrastruktur von Windows Server 2003 ein einfacher Prozess. Wenn auf den Computern in der DNS-Infrastruktur Versionen von DNS ausgefhrt werden, die nicht dieselben DNS-Funktionen untersttzen, wird der Integrationsprozess komplexer. Tabelle 4.5 vergleicht die Funktionsuntersttzung im DNS von Windows Server 2003 mit anderen Implementierungen von DNS. Tabelle 4.5 Funktionsuntersttzung in verschiedenen Implementierungen von DNS Windows Windows Windows 2000 NT 4.0 Server 2003 BIND 9 BIND 8.2 BIND 8.1.2 BIND 4.9.7

    Funktion Untersttzt den IETFInternetdraft (Internet Engineering Task Force), "A DNS RR for specifying the location of services (DNS SRV)." (SRVEintrge) Dynamische Aktualisierung Sichere dynamische Aktualisierung basierend auf dem GSS-TSIGAlgorithmus (Transaction Signature oder Transaktionssignatur) WINS- und WINS-REintrge Schnelle Zonenbertragung Inkrementelle Zonenbertragung UTF-8-Zeichencodierung DNS-Snap-In MMC Dnscmd.exe

    Funktion Active Directoryintegrierte Zonen Speicherung von Zonen in der Anwendungspartition von Active Directory Ablaufzeit und Aufrumvorgnge bei veralteten Eintrgen Stubzonen Bedingte Weiterleitung Erweiterungsmechanismus fr DNS (EDNS0)

    Windows Windows Server 2003 2000

    Windows NT 4.0

    BIND 9 BIND 8.2 BIND 8.1.2 BIND 4.9.7

    Erstellen von untergeordneten Domnen


    Wenn Sie DNS in einem groen Unternehmensnetzwerk bereitstellen oder wenn Sie davon ausgehen, dass das Netzwerk um zustzliche Subnetze und Standorte erweitert wird, mssen Sie die Verwaltung von Teilen des DNS-Namespaces an die Administratoren der verschiedenen Subnetze und Standorte im Netzwerk verteilen. Zum Verteilen der Verwaltung des DNS-Namespaces erstellen Sie untergeordnete Domnen der ursprnglichen DNS-Domne, und delegieren Sie die Autoritt fr diese untergeordneten Domnen an DNS-Server, die sich in verschiedenen Subnetzen oder Standorten befinden. Auf diese Weise knnen Sie eine beliebige Anzahl von separaten und autonomen Entitten innerhalb eines DNS-Namespaces erstellen, von denen jede einzelne fr einen Teil des gesamten Namespaces autorisierend ist. Durch das Erstellen von untergeordneten Domnen der internen DNS-Domne knnen Sie folgende Vorteile nutzen: Verteilung der Netzwerkverwaltung. Untergeordnete Domnen ermglichen die Verteilung und Verwaltung von Netzwerkressourcen ber administrative Gruppen oder Abteilungen. Sie knnen untergeordnete DNS-Domnen bereitstellen, welche die vorhandenen administrativen Abteilungen im Unternehmen widerspiegeln, indem eine separate untergeordnete Domne fr jedes Netzwerksegment erstellt wird. Netzwerklastenausgleich. Durch die Verteilung der Netzwerklast auf mehrere untergeordnete Domnen knnen Sie die Effizienz und Leistung des DNS-Namespaces erhhen.

    Wenn Sie ber Entitten in der Organisation verfgen, die zurzeit eigene Netzwerkressourcen verwalten, mssen Sie bestimmen, ob diese die Autoritt fr ihren Teil des DNS-Namespaces besitzen mssen. Wenn dies der Fall ist, delegieren Sie die Autoritt fr diese untergeordnete Domne.

    Erstellen von DNS-Domnennamen und Computernamen


    Bevor Sie die DNS-Infrastruktur von Windows Server 2003 bereitstellen, mssen Sie eine Namenskonvention fr die DNS-Internetdomnen und internen Domnen sowie fr die DNS-Computer im Netzwerk erstellen. Um eine DNS-Namenskonvention zu erstellen, mssen Sie Folgendes festlegen: Einen Internet-DNS-Domnennamen, wenn die Organisation mit dem Internet verbunden ist Einen internen DNS-Domnennamen fr die Organisation Eine DNS-Computernamenskonvention

    Zudem mssen Sie ermitteln, ob Sie NetBIOS-Namen in Ihrer Organisation untersttzen mssen.

    Erstellen eines Internet-DNS-Domnennamens

    Wenn Sie eine neue DNS-Infrastruktur mit Windows Server 2003 bereitstellen, die mit dem Internet verbunden ist, mssen Sie einen Internet-DNS-Domnennamen fr Ihre Organisation erstellen. Da allen Knoten im Netzwerk, fr die Namensauflsung erforderlich ist, ein DNS-Name zugewiesen ist, der den Internet-DNSDomnennamen fr die Organisation enthlt, sollten Sie einen kurzen und einprgsamen Internet-DNSDomnennamen auswhlen. Weil DNS hierarchisch ist, werden die DNS-Domnennamen lnger, wenn Sie Ihrer Organisation untergeordnete Domnen hinzufgen. Kurze Domnennamen ermglichen einprgsame Computernamen, die den Zugriff auf Ressourcen erleichtern. Ein mit dem Internet verbundener DNS-Namespace muss eine untergeordnete Domne einer Domne der obersten Ebene oder der zweitobersten Ebene des Internet-DNS-Namespaces sein. Wenn Sie einen neuen DNSNamespace von Windows Server 2003 bereitstellen, mssen Sie eine Internet-DNS-Domne der obersten Ebene auswhlen, in welcher der Internet-DNS-Domnenname registriert wird. Sie knnen beispielsweise die Domne als untergeordnete Domne von .com, .org oder .net registrieren, oder als untergeordnete Domne des Domnennamens, der Ihrem Land oder Ihrer Region zugewiesen wurde, wie beispielsweise .au (Australien), .fr (Frankreich) oder .ca (Kanada). Wenn Sie den Internet-DNS-Domnennamen ausgewhlt und die Domne der obersten Ebene festgelegt haben, von der Ihre DNS-Domne eine untergeordnete Domne ist, fhren Sie zum Registrieren des DNSDomnennamens die folgenden Schritte durch: 1. Durchsuchen Sie das Internet, um zu berprfen, ob der von Ihnen fr die Organisation ausgewhlte DNS-Domnenname nicht von einer anderen Organisation registriert wurde. Wenn sich der von Ihnen ausgewhlte DNS-Domnenname im Eigentum einer anderen Organisation befindet, knnen Sie entweder einen anderen DNS-Domnennamen auswhlen oder versuchen, den Namen von dieser Organisation zu kaufen. Konfigurieren Sie mindestens einen autorisierenden DNS-Server zum Hosten der DNS-Zone fr den Domnennamen. Dieser DNS-Server knnte sich in Ihrem Netzwerk oder im Netzwerk Ihres Internetdienstanbieters befinden.

    2.

    Registrieren Sie den DNS-Domnennamen bei einer Internetregistrierungsstelle, und stellen Sie der Registrierungsstelle den DNS-Namen und die IP-Adresse von mindestens einem DNS-Server zur Verfgung, der fr Ihren DNS-Domnennamen autorisierend ist. Eine englischsprachige Liste von Internetregistrierungsstellen finden Sie unter der Verknpfung "I-CANN-Accredited Registrars" auf der Seite Web Resources unter http://www.microsoft.com/windows/reskits/webresources/. Der Registrierungsprozess von Internetdomnennamen variiert je nach Entwurf des DNS-Namespaces. Tabelle 4.6 listet die Domnennamen auf, die Sie fr jeden Typ von DNS-Namespaceentwrfen registrieren mssen.

    Tabelle 4.6 Registrierung von Internet-DNS-Domnennamen Namespaceentwurf Domnennamenregistrierung Beispiel Der interne Domnenname ist eine Registrieren Sie nur den Der Domnenname contoso.com wird fr untergeordnete Domne der externen externen Domnennamen. den externen Namespace verwendet. Domne. Der Domnenname corp.contoso.com wird fr den internen Namespace verwendet. Die Namen der internen und externen Registrieren Sie sowohl den Der Domnenname contoso.com wird fr Domnen stehen nicht in Bezug internen als auch den externen den externen Namespace verwendet. zueinander. Domnennamen. Der Domnenname contoso01-int.com wird fr den internen Namespace verwendet. Der interne Domnenname stimmt Registrieren Sie den Der Domnenname contoso.com wird mit dem externen Domnennamen internen/externen sowohl fr den internen als auch den berein. Die Organisation verfgt Domnennamen. externen Namespace verwendet. jedoch ber einen privaten Namespace. Wenn Sie den DNS-Domnennamen registrieren, erstellt die Internetregistrierungsstelle eine Delegierung in der DNS-Zone, die fr die von Ihnen ausgewhlte Domne der obersten Ebene autorisierend ist. Dabei handelt es sich um die Domne der obersten Ebene fr die DNS-Server, die fr den Internet-DNS-Domnennamen Ihrer Organisation autorisierend sind. Anmerkung Wenn ein Domnenname, den Sie registrieren mchten, nicht in einer Domne der obersten Ebene wie .com verfgbar ist, drfen Sie denselben Domnennamen nicht in einer anderen Domne der obersten Ebene wie .net registrieren. Benutzer, die nach Ihrem Domnennamen suchen, knnten sonst davon ausgehen, dass die Computer und Dienste in der anderen Domne der obersten Ebene zu Ihrem Unternehmen gehren.

    Erstellen von internen DNS-Domnennamen


    Beim Erstellen von Namen fr die internen Domnen mssen Sie die folgenden Richtlinien beachten: Wenn Ihre Organisation ber eine Internetprsenz verfgt, verwenden Sie Namen mit Bezug auf Ihren registrierten Internet-DNS-Domnennamen. Wenn Sie beispielsweise den Internet-DNSDomnennamen contoso.com fr Ihre Organisation registriert haben, verwenden Sie einen DNSDomnennamen wie corp.contoso.com fr den Intranetdomnennamen. Um Probleme mit der Namensauflsung zu vermeiden, drfen Sie nicht den Namen einer externen Unternehmensentitt oder einen Produktnamen als Domnennamen verwenden. Verwenden Sie keine Internetdomnennamen der obersten Ebene wie .com, .net, .org, .us, .fr oder .gr in Ihrem Intranet. Wenn Sie Internetdomnennamen der obersten Ebene fr Domnennamen in Ihrem Intranet verwenden, kann dies zu Namensauflsungsfehlern bei Computern in Ihrem Netzwerk fhren, die mit dem Internet verbunden sind. Verwenden Sie keine Akronyme oder Abkrzungen fr Domnennamen. Unternehmenseinheiten, die mit solchen Akronymen bezeichnet werden, sind fr die Benutzer schwer zu erkennen.

    Verwenden Sie keine Namen von Unternehmenseinheiten oder Abteilungen als Domnennamen. Unternehmenseinheiten und andere Abteilungen ndern sich in regelmigen Abstnden, und die Domnennamen sind dann nicht mehr aktuell oder irrefhrend. Verwenden Sie keine geografischen Namen mit komplizierter Schreibweise, die sich die Benutzer nicht einprgen knnen. Vermeiden Sie es, die DNS-Domnennamenhierarchie ber mehr als fnf Ebenen von der internen oder Internetstammdomne auszudehnen. Wenn Sie das Ausma der Domnennamenhierarchie begrenzen, werden die Verwaltungskosten verringert.

    Wenn Sie DNS in einem privaten Netzwerk bereitstellen und das Erstellen eines externen Namespaces nicht planen, wird empfohlen, dass Sie den DNS-Domnennamen registrieren, den Sie fr die interne Domne erstellen. Wenn Sie den Namen nicht registrieren und spter versuchen, ihn im Internet zu verwenden oder eine Verbindung mit einem Netzwerk herzustellen, das mit dem Internet verbunden ist, knnten Sie mglicherweise feststellen, dass der Name nicht verfgbar ist.

    Erstellen von DNS-Computernamen


    Es ist wichtig, eine verwendbare DNS-Computernamenkonvention fr das Netzwerk zu entwickeln. Dadurch knnen sich die Benutzer die Namen der Computer in ffentlichen und privaten Netzwerken leicht einprgen, und der Zugriff auf Ressourcen in Ihrem Netzwerk wird vereinfacht. Der Erstellungsprozess von DNS-Computernamen variiert je nachdem, ob Sie eine neue DNS-Infrastruktur erstellen, die DNS-Infrastruktur in eine vorhandene Infrastruktur eines Drittanbieters integrieren oder eine vorhandene DNS-Infrastruktur aktualisieren.

    Erstellen von Computernamen in einer neuen DNS-Infrastruktur von Windows Server 2003
    Verwenden Sie die folgenden Richtlinien, wenn Sie Namen fr die DNS-Computer in der neuen DNSInfrastruktur von Windows Server 2003 gestalten: Whlen Sie fr Benutzer leicht einprgsame Computernamen aus. Kennzeichnen Sie den Eigentmer eines Computers im Computernamen. Beispielsweise gibt john-doe1 an, dass John Doe den Computer verwendet. Whlen Sie Namen aus, die den Zweck des Computers beschreiben. Beispielsweise gibt ein Dateiserver mit der Bezeichnung past-accounts-1 an, dass der Dateiserver Daten zu frheren Konten speichert. Unterscheiden Sie nicht zwischen Gro- und Kleinschreibung, wenn Sie den Eigentmer oder Zweck eines Computers bezeichnen. DNS untersttzt keine Gro-/Kleinschreibung. Verwenden Sie den Active Directory-Domnennamen fr das primre DNS-Suffix des Computernamens. Wenn ein Computer nicht mit einer Domne verbunden ist, verwenden Sie einen registrierten Internetdomnennamen oder eine Ableitung eines registrierten Internetdomnennamens als primres DNS-Suffix. Verwenden Sie eindeutige Namen fr alle Computer in Ihrer Organisation. Weisen Sie denselben Computernamen nicht verschiedenen Computern in verschiedenen DNS-Domnen zu. Verwenden Sie ASCII-Zeichen, um die Interoperabilitt mit Computern mit frheren Versionen von Windows als Windows 2000 sicherzustellen. Verwenden Sie fr DNS-Computernamen nur die Zeichen, die in RFC 1123, "Requirements for Internet Hosts Application and Support" aufgelistet werden. Dazu zhlen A-Z, a-z, 0-9 und der Bindestrich (-). Das Windows Server 2003-DNS untersttzt fast alle UTF-8-Zeichen in einem Namen. Sie sollten jedoch keine erweiterten ASCII- oder UTF-8Zeichen verwenden, wenn Sie sich nicht sicher sind, dass alle DNS-Server in Ihrer Umgebung diese untersttzen.

    Erstellen von Computernamen in einer integrierten DNS-Infrastruktur


    Wenn Sie das Windows Server 2003-DNS in eine vorhandene DNS-Infrastruktur eines Drittanbieters integrieren, drfen Sie keine nderungen an den DNS-Hostnamen des Drittanbieters vornehmen. Wenn Sie auf das Windows Server 2003-DNS von einer DNS-Infrastruktur eines Drittanbieters migrieren, mssen Sie sicherstellen, dass die in der DNS-Infrastruktur des Drittanbieters verwendeten Hostnamen den Standards fr DNS-Internetnamen entsprechen. Wenn Sie eine vorhandene ffentliche DNS-Infrastruktur, die mit dem Internet verbunden ist, in Ihre vorhandene DNS-Infrastruktur integrieren oder von dieser Struktur migrieren, mssen Sie keine nderungen an den DNSDomnennamen der Infrastruktur vornehmen.

    Erstellen von Computernamen beim Aktualisieren einer DNS-Infrastruktur


    Wenn Sie auf das Windows Server 2003-DNS von Windows NT 4.0 aktualisieren, mssen Sie die DNSHostnamen nicht ndern. Sie mssen jedoch die vorhandenen NetBIOS-Namen in DNS-Namen konvertieren. Beide Namenstypen mssen mit dem DNS-Standard gem RFC 1123, "Requirements for Internet Hosts Application and Support" bereinstimmen. Dieser Standard umfasst alle Grobuchstaben (A-Z), Kleinbuchstaben (a-z), Zahlen (0-9) und den Bindestrich (-). Tabelle 4.7 listet die verschiedenen Zeichenstze auf, die von dem standardmigen DNS, Windows Server 2003-DNS und NetBIOS untersttzt werden. Tabelle 4.7 Zeichensatzeinschrnkungen Standardmiges DNS (einschlielich Windows NT 4.0) Zulssige Zeichen Untersttzt RFC 1123 (dort werden "A" bis "Z", "a" bis "z", "0" bis "9" und der Bindestrich (-) zugelassen). Zeichensatzeinschrnkung DNS unter Windows 2000 und Windows Server 2003 NetBIOS

    Untersttzt RFC 1123 und UTF-8. Sie knnen den DNSServer von Windows 2000 so konfigurieren, dass die Nutzung von UTF-8-Zeichen auf dem Windows 2000Server entweder zugelassen oder nicht zugelassen wird. Sie knnen diese Einstellung fr jeden Server festlegen. Maximale Lnge 63 Oktette pro Bezeichnung. Entspricht dem fr Hostname und 255 Byte pro FQDN (254 Byte standardmigen DNS plus FQDN. fr den FQDN plus ein Byte fr der UTF-8-Untersttzung. Die den abschlieenden Punkt). Zeichenanzahl ist als Kriterium fr die Gre nicht ausreichend, da einige UTF-8Zeichen die Lnge von einem Oktett berschreiten. Domnencontroller sind auf 155 Byte fr einen FQDN beschrnkt.

    Nicht zulssig: UnicodeZeichen, Zahlen, Leerzeichen, Symbole: / \ [ ] : | < > + = ; , ? und *)

    15 Byte Lnge.

    Wichtig Namen, die im UTF-8-Format codiert wurden, drfen die in RFC 2181, "Clarifications to the DNS Specification" definierten Beschrnkungen von maximal 63 Oktetten pro Bezeichnung und 255 Oktetten pro Name nicht berschreiten. Die Zeichenanzahl ist als Kriterium fr die Gre nicht ausreichend, da einige UTF-8-Zeichen die Lnge von einem Oktett berschreiten.

    Ermitteln, ob NetBIOS-Namen untersttzt werden mssen

    Wenn Sie die Domne auf Windows Server 2003 aktualisieren, mssen Sie mglicherweise NetBIOS im Netzwerk untersttzen, falls die Domne Clients mit frheren Versionen von Windows als Windows 2000 enthlt. Wenn das Netzwerk beispielsweise in viele Segmente unterteilt ist, wird WINS zum Erstellen der NetBIOS-Suchliste bentigt. Ohne WINS muss das Netzwerk auf Active Directory zurckgreifen, um nach Ressourcen zu suchen. Dies kann Clients mit frheren Versionen von Windows als Windows 2000 sprbar beeintrchtigen. Das Windows Server 2003-DNS ist mit WINS kompatibel. Daher knnen Sie in einer gemischten Netzwerkumgebung eine Kombination aus DNS und WINS verwenden. Auf diese Weise knnen Sie die Funktionalitt des Netzwerks zum Suchen nach Ressourcen und Diensten erweitern. Windows NT 4.0-basierte Clients knnen sowohl im Windows 2000-WINS als auch im Windows Server 2003-WINS registriert werden. Zudem knnen Computer, auf denen entweder Windows 2000 Professional oder Windows XP Professional ausgefhrt wird, im Windows NT 4.0-WINS registriert werden. Aus Grnden der Abwrtskompatibilitt erhlt jeder Computer einen NetBIOS-Namen, der in der Domne des Computers eindeutig sein muss. Das Beibehalten vorhandener NetBIOS-Namen kann mit Schwierigkeiten verbunden sein, da NetBIOS-Namen ber einen umfassenderen Zeichensatz verfgen als DNS-Namen. Eine Lsung besteht darin, NetBIOS-Namen durch DNS-Namen zu ersetzen, damit die Namen in jedem Fall den vorhandenen DNS-Namenstandards entsprechen. Dabei handelt es sich um einen zeitaufwndigen Prozess, der nicht von Organisationen genutzt werden kann, die Computer mit frheren Versionen von Windows als Windows 2000 untersttzen. RFC 2181, "Clarifications to the DNS Specification", erweitert den in DNS-Namen zulssigen Zeichensatz um beliebige Binrzeichenfolgen. Die Binrzeichenfolgen mssen nicht als ASCII interpretiert werden. Windows 2000 und Windows Server 2003 untersttzen die UTF-8-Zeichencodierung (RFC 2044). UTF-8 ist eine Obermenge von ASCII und eine bersetzung der UCS-2-(oder Unicode-)Zeichencodierung. Der UTF-8Zeichensatz ermglicht Ihnen den bergang von NetBIOS-Namen von Windows NT 4.0 zu DNS-Namen von Windows 2000 und Windows Server 2003. Standardmig wird die Multibyte-UTF-8-Namensberprfung verwendet. Dies ermglicht die grte Toleranz beim Verarbeiten von Zeichen durch den DNS-Dienst. Es handelt sich dabei um die bevorzugte Namensberprfungsmethode fr die meisten privat betriebenen DNS-Server, die keine Namensdienste fr Internethosts bereitstellen. Wichtig Das DNS von Windows Server 2003 und Windows 2000 untersttzen NetBIOSund UTF-8-Zeichen fr Computernamen. Andere Versionen von DNS untersttzen nur die Zeichen, die in RFC 1123 zugelassen werden. Verwenden Sie daher nur NetBIOS- und UTF8-Zeichenstze, wenn Sie sicher sind, dass das DNS von Windows Server 2003 oder von Windows 2000 als Methode fr die Namensauflsung verwendet wird. Namen, die im Internet angezeigt werden sollen, drfen gem der Empfehlung in RFC 1123 ausschlielich ASCIIZeichen enthalten.

    Beispiel: Zusammenfhren von DNS-Namespaces


    Contoso Corporation fusionierte mit Acquired Corporation. Vor der Fusion verwendete jedes Unternehmen interne Domnen, die untergeordnete Domnen der externen Domnen waren. Contoso Corporation verwendete fr eine vereinfachte DNS-Serververwaltung einen privaten Stamm. Um die Erstellung und Verwaltung von Ausschlusslisten oder PAC-Dateien zu vermeiden, wurden Abfragen von Acquired Corporation an das Internet weitergeleitet, statt einen privaten Stamm zu verwenden. Der externe Namespace des krzlich fusionierten Unternehmens enthlt die Zonen contoso.com und acquired.com. Jede Zone im externen Namespace enthlt die DNS-Ressourceneintrge, welche die Unternehmen im Internet bereitstellen mchten. Der interne Namespace enthlt die internen Zonen corp.contoso.com und corp.acquired.com. Die Unternehmenseinheiten Contoso und Acquired verwenden jeweils eine unterschiedliche Methode zum Auflsen von Namen in ihrem jeweiligen Namespace. Die Unternehmenseinheit Contoso verwendet extern den Namen contoso.com und intern corp.contoso.com. Die internen Stammserver hosten die Stammzone. Interne Server hosten auch die Zone corp.contoso.com. Der Name contoso.com ist bei einer Internetnamensstelle registriert.

    Um sicherzustellen, dass jeder Client innerhalb der Organisation jeden Namen im krzlich fusionierten Unternehmen auflsen kann, enthlt die private Stammzone eine Delegierung mit der Zone fr die oberste Ebene des internen Namespaces im fusionierten Unternehmen: corp.acquired.com. Alle Computer der Unternehmenseinheit Contoso untersttzen entweder Ausschlusslisten oder PACs. Zum Auflsen von internen und externen Namen muss jeder DNS-Client alle Abfragen auf Grundlage einer Ausschlussliste oder PAC-Datei entweder an die internen DNS-Server oder an einen Proxyserver weiterleiten. Abbildung 4.4 zeigt diese Konfiguration.

    Abbildung 4.4

    Namensauflsung in der Unternehmenseinheit Contoso

    Auf Grundlage dieser Konfiguration knnen interne Clients Namen mit folgenden Methoden abfragen: Abfragen interner DNS-Server nach internen Namen. Die internen DNS-Server lsen die Abfrage auf. Wenn ein DNS-Server, der eine Abfrage erhlt, nicht die angeforderten Daten in seinen Zonen oder im Zwischenspeicher enthlt, fhrt er rekursive Namensauflsung aus und stellt hierzu Kontakt mit den internen Stamm-DNS-Servern her. Abfragen eines Proxyservers nach Namen im Internet. Der Proxyserver leitet die Abfrage an DNSServer im Internet weiter. Die DNS-Server im Internet lsen die Abfrage auf.

    Abfragen eines Proxyservers nach Namen im externen Namespace der Unternehmenseinheit Contoso. Der Proxyserver leitet die Abfrage an DNS-Server im Internet weiter. Die DNS-Server im Internet lsen die Abfrage auf. Abfragen interner DNS-Server nach Namen in der Unternehmenseinheit Acquired. Da die Stammserver eine Delegierung mit der obersten Ebene des DNS-Namespaces der Unternehmenseinheit Acquired enthalten, lsen die internen DNS-Server die Abfrage rekursiv durch Kontaktieren der DNSServer in der Unternehmenseinheit Acquired auf.

    Externe Clients: Knnen interne Namen nicht abfragen. Diese Einschrnkung trgt zum Sichern des internen Netzwerks bei. Fragen DNS-Server im Internet nach Namen im externen Namespace der Unternehmenseinheit Contoso ab. Die DNS-Server im Internet lsen die Abfrage auf.

    Die Unternehmenseinheit Acquired verwendet extern den Namen acquired.com und intern den Namen corp.acquired.com. Der Server InternalDNS.corp.acquired0.com hostet die Zone corp.acquired.com. Die Unternehmenseinheit Acquired hat keinen privaten Stamm. Fr die einfachere Verwaltung von Clients und DNS-Servern haben sich die Administratoren der Unternehmenseinheit Acquired fr die bedingte Weiterleitung entschieden. Die Administratoren haben den DNS-Server InternalDNS.corp.acquired.com fr das Weiterleiten von Abfragen auf die folgende Weise konfiguriert: Der Server leitet alle Abfragen, die fr die Unternehmenseinheit Contoso vorgesehen sind, an einen DNS-Server fr die Unternehmenseinheit Contoso weiter. Beispielsweise leitet der Server Abfragen, die fr corp.contoso.com bestimmt sind, an InternalDNS.corp.contoso.com weiter. Gleichzeitig leitet der Server alle anderen Abfragen, die fr contoso.com bestimmt sind, an einen DNSServer im Internet weiter.

    Abbildung 4.5 zeigt diese Konfiguration.

    Abbildung 4.5

    Bedingte Weiterleitung in der Unternehmenseinheit Acquired

    Entwerfen von DNS-Servern


    DNS-Server speichern Informationen ber den DNS-Namespace und verwenden diese Daten zum Beantworten von Abfragen der DNS-Clients. Die Entscheidung, an welchem Ort Informationen ber Ihren Teil des DNSNamespaces gespeichert werden, wie viele DNS-Clients Sie verwenden und wo sich diese Clients physisch befinden, wirkt sich jeweils auf die DNS-Servertopologie aus. Durch sorgfltiges Planen der Gestaltung von DNS-Servern knnen Sie eine effiziente Topologie zum Verteilen und Aktualisieren von DNS-Daten erstellen. Zudem knnen Sie den fr Verteilung und Aktualisierung erforderlichen Netzwerkverkehr minimieren. Abbildung 4.6 zeigt den Prozess beim Entwerfen von DNSServern.

    Abbildung 4.6

    Entwerfen von DNS-Servern

    Zuweisen von Hardwareressourcen


    Beim Zuweisen von Hardwareressourcen fr DNS-Server mssen Sie folgende grundlegende Empfehlungen fr Serverhardware bercksichtigen: Computer mit zwei Prozessoren mit 400 MHz Pentium II-CPUs. 256 MB RAM fr jeden Prozessor. 4 GB-Festplatten.

    Durch schnellere CPUs, mehr RAM und grere Festplatten wird die Skalierbarkeit und Leistung der DNSServer verbessert. Sie mssen zudem bercksichtigen, dass DNS-Server ungefhr 100 Byte RAM fr jeden Ressourceneintrag bentigen. Sie knnen die Leistung von DNS-Servern dadurch verbessern, dass Sie Computer mit zwei Prozessoren verwenden und dann dem ersten Prozessor den DNS-Serverdienst und dem zweiten Prozessor die Datenbankprozesse wie Zonenbertragungen zuweisen.

    Bestimmen der Anzahl der bentigten DNS-Server


    Zum Verringern des Verwaltungsaufwands verwenden Sie die Mindestzahl an erforderlichen DNS-Servern. Sie sollten fr Fehlertoleranz und Lastenausgleich mindestens zwei autorisierende DNS-Server fr jede Zone festlegen. Durch Hinzufgen von zustzlichen DNS-Servern knnen Sie Folgendes erreichen: Ermglichen von Redundanz, wenn der Namespaceentwurf grere DNS-Verfgbarkeit erfordert. Verbessern der Abfrageleistung, wenn bessere DNS-Leistung erforderlich ist. Verringern des WAN-Verkehrs fr Remotestandorte.

    Verwenden Sie die folgenden Richtlinien, um die Anzahl der bereitzustellenden DNS-Server zu ermitteln: Wenn Sie viele Clients besitzen, fgen Sie zustzliche DNS-Server zum Hosten sekundrer oder Active Directory-integrierter Zonen hinzu. Ziehen Sie die erwartete Anzahl der Abfragen und der dynamischen Aktualisierungen pro Sekunde heran, um die Anzahl der bentigten DNS-Server zu bestimmen. Der DNS-Serverdienst von Windows Server 2003 kann bei einem Pentium III-Mikroprozessor mit 700 MHz auf mehr als 10.000 Abfragen pro Sekunde reagieren.

    Informationen zur Kapazittsplanung finden Sie unter "Zuweisen von Hardwareressourcen" weiter oben in diesem Kapitel. Wenn Sie Zonen delegieren, fgen Sie zustzliche DNS-Server zum Verarbeiten der delegierten Zonen hinzu. Beachten Sie, dass Sie keine Zonen delegieren mssen, wenn Sie ber mehrere Zonen verfgen. Sie knnen alle Zonen auf demselben Server oder denselben Servern hosten. Ein DNS-Server von Windows Server 2003 kann 200.000 Zonen mit 6 Ressourceneintrgen hosten. Wenn Sie Active Directory-integrierte Zonen hosten mchten, mssen Sie diese Zonen auf Domnencontrollern mit installiertem DNS-Server platzieren. Wenn Sie keine Active Directory-integrierten Zonen verwenden, knnen Zonenbertragungen und DNS-Abfrageverkehr langsame Verbindungen berlasten. Wenn in Ihrer Umgebung ein hohes Volumen an Netzwerkverkehr zu erwarten ist, fgen Sie zustzliche DNS-Server fr den Lastenausgleich hinzu. Obwohl DNS mit Blick auf die Verringerung von Broadcastverkehr zwischen lokalen Subnetzen konzipiert wurde, entsteht dadurch ein gewisser Verkehr zwischen Servern und Clients, der insbesondere in komplexen weitergeleiteten Umgebungen nicht vernachlssigt werden sollte. Darber hinaus bleiben berlegungen zum Netzwerkverkehr manchmal ein wichtiges Thema, selbst wenn der DNS-Dienst inkrementelle Zonenbertragungen (Incremental Zone Transfers oder IXFRs) untersttzt und die Clients und Server krzlich zuvor verwendete Namen zwischenspeichern knnen. Dies gilt vor allem bei kurzen DHCP-Leases, bei denen hufiger dynamische Aktualisierungen erforderlich sind.

    Wenn Sie ber ein geroutetes LAN mit zuverlssigen Hochgeschwindigkeitsverbindungen verfgen, kann ein DNS-Server mglicherweise fr einen greren Netzwerkbereich mit mehreren Subnetzen ausreichend sein. Wenn Sie ber viele Clients in einem einzelnen Subnetz verfgen, ermglicht das Platzieren von mehreren DNS-Servern im Subnetz das Nutzen von Sicherungs- und Failoverfunktionen fr den Fall, dass der bevorzugte DNS-Server nicht mehr reagiert.

    Wenn Ihr DNS-Entwurf primre und sekundre Zonen umfasst und Sie eine groe Anzahl von sekundren Servern fr eine Zone ausfhren, wird der primre Masternamensserver mglicherweise berlastet, falls die sekundren Server zur Aktualittsprfung ihrer Zonendaten Abfragen ausfhren. Sie knnen dieses Problem mit drei verschiedenen Methoden lsen: Verwenden Sie einige der sekundren Server als Masterserver fr die Zone. Andere sekundre Server knnen Zonenaktualisierungen von diesen Masterservern abfragen und anfordern. Erhhen Sie das Aktualisierungsintervall, damit die sekundren Server seltener Abfragen ausfhren. Sie mssen allerdings beachten, dass ein lngeres Aktualisierungsintervall dazu fhrt, dass die sekundren Zonen hufiger nicht auf dem aktuellen Stand sind. Erstellen Sie DNS-Server, die ausschlielich der Zwischenspeicherung dienen. Remotestandorte knnen von einem lokalen DNS-Server, der ausschlielich der Zwischenspeicherung dient, in gleicher Weise wie von DNS-Servern profitieren, die Sie zum Steigern der Verfgbarkeit hinzugefgt haben.

    Ermitteln der optimalen Platzierung von DNS-Servern


    Die Platzierung von DNS-Servern und die Anzahl der bereitgestellten DNS-Server beeinflussen die Verfgbarkeit, Sicherheit und Leistung von DNS. Sie mssen die Platzierung der DNS-Server so planen, dass die Verfgbarkeit von DNS und Active Directory gewhrleistet wird.

    Platzieren von DNS-Servern mit Blick auf die Verfgbarkeit


    Um die Verfgbarkeit von DNS immer zu gewhrleisten, mssen Sie in der DNS-Infrastruktur mgliches Einzelpunktversagen ausschlieen. Zum Verbessern von Fehlertoleranz und Lastenausgleich mssen Sie mindestens zwei DNS-Server fr jede Zone als autorisierende Server einrichten. Hierzu knnen Sie folgende Methoden verwenden: Wenn Sie ber ein LAN verfgen, platzieren Sie zwei DNS-Server in separaten Subnetzen. Wenn Sie ber ein WAN verfgen, platzieren Sie die beiden DNS-Server, die fr jede Zone autorisierend sind, in verschiedenen Netzwerken.

    Stellen Sie sicher, dass mindestens ein DNS-Server fr jedes Netzwerk verfgbar ist. Diese Vorsichtsmanahme schliet Router als Fehlerstelle aus. Verteilen Sie die DNS-Server ber verschiedene geografische Standorte, wenn dies mglich ist. Dadurch kann die Kommunikation auch bei Naturkatastrophen fortgesetzt werden. Wenn Sie Einzelpunktversagen im Netzwerk identifizieren, mssen Sie ermitteln, ob diese nur DNS oder die gesamten Netzwerkdienste betreffen. Wenn ein Router ausfllt und die Clients auf keinerlei Netzwerkdienste zugreifen knnen, ist der Ausfall von DNS kein Problem. Wenn ein Router ausfllt und lokale DNS-Server nicht verfgbar sind, aber die anderen Netzwerkdienste weiterhin zur Verfgung stehen, knnen die Clients nicht auf erforderliche Netzwerkressourcen zugreifen, da sie keine DNS-Namen ermitteln knnen. Wenn Sie ber eine Internetprsenz verfgen, muss DNS ordnungsgem funktionieren, damit Clients auf Ihre Webserver zugreifen, E-Mails senden und andere Dienste ausfindig machen knnen. Daher wird empfohlen, dass Sie einen sekundren DNS-Server offsite betreiben. Wenn Sie eine Geschftsbeziehung mit einer Organisation im Internet aufrechterhalten, entweder mit Geschftspartnern oder Internetdienstanbietern, knnten sich diese dazu bereit erklren, einen sekundren Server fr Sie zu betreiben. Sie mssen sich jedoch vergewissern, dass die Daten auf dem Server der Organisation gegen Angreifer aus dem Internet gesichert sind. Um die Verfgbarkeit von DNS beim Ausfall der primren Offsite-DNS-Server sicherzustellen, sollten Sie die Bereitstellung eines sekundren Offsite-DNS-Servers in Betracht ziehen. Diese Vorsichtsmanahme wird selbst dann empfohlen, wenn Sie ber keine Internetprsenz verfgen.

    Platzieren von DNS-Servern mit Blick auf die Verfgbarkeit von Active Directory
    Die DNS-Verfgbarkeit beeinflusst unmittelbar die Verfgbarkeit von Active Directory. Die Clients greifen auf DNS zurck, um Domnencontroller ausfindig zu machen. Die Domnencontroller greifen wiederum auf DNS zurck, um andere Domnencontroller zu finden. Aus diesen Grund sollte mglicherweise die Anzahl und Platzierung der DNS-Server an die Anforderungen der Active Directory-Clients und Domnencontroller angepasst werden. Es empfiehlt sich, mindestens einen DNS-Server auf jeder Site zu platzieren. Vergewissern Sie sich, dass die DNS-Server auf der Site fr die Locatoreintrge der Domnen auf dieser Site autorisierend sind, damit die Clients keine Offsite-DNS-Server abfragen mssen, um Domnencontroller auf einer Site ausfindig zu machen. Domnencontroller berprfen regelmig, ob der Inhalt der Locatoreintrge korrekt ist. Anmerkung Sie knnen den DNS-Serverdienst von Windows Server 2003 auf einem Domnencontroller oder mehreren Domnencontrollern auf jeder Site ausfhren und dann Active Directory-integrierte Zonen fr den Zonennamen hinzufgen, welcher der Active Directory-Domne entspricht. Dies ist eine einfache Konfiguration, die allen Anforderungen entspricht. Die zustzlichen Replikationsaktivitten, die durch das Hinzufgen von DNS zu einem Domnencontroller entstehen, sind normalerweise minimal.

    Verwenden von Forwardern


    Wenn ein DNS-Server ordungsgem konfiguriert ist, aber eine Abfrage nicht mithilfe seines Zwischenspeichers oder seiner Zonen auflsen kann, leitet er eine Abfrage an einen anderen Server weiter, der Forwarder genannt wird. Bei Forwardern handelt es sich um normale DNS-Server, die keine besondere Konfiguration erfordern. Ein DNS-Server wird als Forwarder bezeichnet, da er der Empfnger einer Abfrage ist, die an ihn von einem anderen DNS-Server weitergeleitet wurde. Die Verwendung von Weiterleitungen ist fr Offsite- oder Internetnetzwerkverkehr ntzlich. Beispielsweise kann ein DNS-Server in einer Zweigstelle den gesamten Offsitenetzwerkverkehr an eine Weiterleitung im Firmenhauptsitz weiterleiten, und ein interner DNS-Server kann den gesamten Internetnetzwerkverkehr an eine Weiterleitung im Internet weiterleiten. Um die Verfgbarkeit sicherzustellen, empfiehlt es sich, Abfragen an mehrere Forwarder weiterzuleiten. Verwenden Sie Kettenweiterleitungen, um die Anzahl der Server zu begrenzen, die Abfragen offsite senden mssen. Beispielsweise knnen Ihre internen DNS-Server alle Abfragen an eine Weiterleitung oder zwei Forwarder weiterleiten, die dann wiederum Abfragen an einen Server im Internet weiterleitet bzw. weiterleiten. Auf diese Weise mssen die internen DNS-Server das Internet nicht direkt abfragen. Je nach den vorhandenen Netzwerkverkehrsmustern knnen Forwarder das Ausma des Offsitenetzwerkverkehrs in der Organisation minimieren. Forwarder stellen auch zustzliche Netzwerksicherheit bereit, indem sie die Liste mit DNS-Servern minimieren, die ber einen Firewall kommunizieren knnen. Sie knnen die bedingte Weiterleitung verwenden, um den Namensauflsungsprozess auf einer differenziertere Ebene zu steuern. Mithilfe von Forwardern mit Bedingungen knnen Sie den Forwardern spezifische Domnen zuweisen. Sie knnen mithilfe von bedingten Weiterleitungen Folgendes auflsen: Abfragen nach Namen in internen Offsitedomnen Abfragen nach Namen in anderen Namespaces

    Verwenden von Weiterleitungen mit Bedingungen zum Abfragen von Namen in internen Offsitedomnen
    Verwenden Sie Weiterleitungen mit Bedingungen, um Servern das Abfragen von Namen in internen Offsitedomnen zu ermglichen und somit unntigen WAN-Netzwerkverkehr durch Abfragen zu vermeiden. Im

    Windows Server 2003-DNS lsen Nicht-Stammserver mit einer der folgenden Methoden Namen auf, wenn sie fr diese Namen nicht autorisierend sind, keine Delegierung aufweisen und die Namen nicht zwischengespeichert haben: Abfragen eines Stammservers. Weiterleiten von Abfragen an einen Forwarder.

    Dadurch wird zustzlicher Netzwerkverkehr generiert. Beispiel: Ein Nicht-Stammserver am Standort A ist fr die Weiterleitung von Abfragen an einen Forwarder am Standort B konfiguriert und muss einen Namen in einer Zone auflsen, die von einem Server am Standort C gehostet wird. Da der Nicht-Stammserver Abfragen nur an Site B weiterleiten kann, ist es ihm nicht mglich, den Server am Standort C direkt abzufragen. Stattdessen leitet er die Abfrage an den Forwarder am Standort B weiter, und der Forwarder fragt den Server am Standort C ab. Wenn Sie die bedingte Weiterleitung einsetzen, knnen Sie die DNS-Server fr die Weiterleitung von Abfragen an verschiedene Server konfigurieren, wobei der in der Abfrage angegebene Domnenname bercksichtigt wird. Dadurch werden einzelne Schritte in der Weiterleitungskette berflssig. Dies fhrt zu verringertem Netzwerkverkehr. Bei der bedingten Weiterleitung kann der Server am Standort A Abfragen an Fortwarder an Site B oder C je nach Bedarf weiterleiten. Beispielsweise mssen die Computer der Contoso Corporation am Standort Sevilla die Computer am Standort Hongkong S.A.R. abfragen. Beide Standorte verwenden einen gemeinsamen DNS-Stammserver mit Namen DNS3.Seville.avionics01-int.com, der sich in Seattle befindet. Bevor Contoso die Aktualisierung auf Windows Server 2003 durchgefhrt hat, leitete der Server in Sevilla alle Abfragen, die er nicht auflsen konnte, an den bergeordneten Server DNS1.avionics01-int.com in Seattle weiter. Wenn der Server in Sevilla Namen fr die Domne Avionics (in Hongkong S.A.R. und Tokio) abfragte, wurden diese Abfragen erst durch den Server in Sevilla nach Seattle weitergeleitet. Nach der Aktualisierung auf Windows Server 2003 haben Administratoren den DNS-Server in Sevilla so konfiguriert, dass fr den Standort Hongkong S.A.R. bestimmte Abfragen direkt und ohne Umweg ber Seattle an einen Server auf dieser Site weitergeleitet werden. Dies wird in Abbildung 4.7 gezeigt.

    Abbildung 4.7

    Bedingte Weiterleitung an einen Offsiteserver

    Die Administratoren haben DNS3.Seville.avionics01-int.com so konfiguriert, dass alle Abfragen an acquired01-int.com an DNS5.acquired01-int.com oder DNS6.acquired01-int.com weitergeleitet werden. DNS3.Seville.avionics01-int.com leitet alle anderen Abfragen an DNS1.avionics01-int.com oder DNS2.avionics01-int.com weiter. Weitere englischsprachige Informationen ber die bedingte Weiterleitung finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits(oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).

    Verwenden der bedingten Weiterleitung zum Abfragen von Namen in anderen Namespaces
    Wenn Ihr internes Netzwerk ber keinen privaten Stamm verfgt und die Benutzer auf andere Namespaces wie beispielsweise das Netzwerk eines Partnerunternehmens zugreifen mssen, verwenden Sie die bedingte Weiterleitung, um Servern das Abfragen von Namen in anderen Namespaces zu ermglichen. Bevor die bedingte Weiterleitung verfgbar war, konnten DNS-Server Abfragen nur an einen einzelnen Server weiterleiten. Aufgrund dieser Einschrnkung war es blich, Server so zu konfigurieren, dass alle Abfragen, die nicht aufgelst werden konnten (alle Abfragen auerhalb des Namespaces) an einen Server im Internet weitergeleitet wurden. Auf diese Weise konnten interne DNS-Server Namen innerhalb des internen Namespaces und im Internetnamespace auflsen. Um jedoch Namen in anderen Namespaces aufzulsen, mussten alle DNSServer, welche die Domne der obersten Ebene fr das Unternehmen hosteten, auch eine sekundre Zone fr die Domne der obersten Ebene des Partnerunternehmens hosten. Diese Lsung erforderte zustzlichen Speicherplatz auf dem DNS-Server und hatte zustzlichen Zonenbertragungsverkehr zur Folge. Mithilfe der bedingten Weiterleitung knnen DNS-Server Abfragen an verschiedene Server auf Grundlage des Domnennamens weiterleiten, so dass keine sekundren Zonen mehr erforderlich sind.

    Contoso Corporation verfgt beispielsweise ber zwei Namespaces: Contoso und Acquired. Die Computer in jeder Unternehmenseinheit mssen auf den jeweils anderen Namespace zugreifen. Zudem bentigen die Computer in beiden Unternehmenseinheiten Zugriff auf Computer im privaten Namespace Supplier. Vor der Aktualisierung auf Windows Server 2003 hat die Unternehmenseinheit Acquired sekundre Zonen erstellt, mit denen sichergestellt werden sollte, dass Computer in den Namespaces Contoso und Acquired jeweils Namen in den Namespaces Contoso, Acquired und Supplier auflsen knnen. Nach der Aktualisierung auf Windows Server 2003 hat die Unternehmenseinheit Acquired ihre sekundren Zonen gelscht und stattdessen die bedingte Weiterleitung konfiguriert.

    Aktualisieren von DNS-Servern auf Windows Server 2003-DNS


    Sie knnen die DNS-Server mit einer der folgenden zwei Methoden auf das Windows Server 2003-DNS aktualisieren: Fhren Sie eine direkte Aktualisierung von dem Windows NT 4.0- oder Windows 2000-DNS auf das Windows Server 2003-DNS aus. Migrieren Sie einen vollstndigen Server.

    Sichern Sie die vorhandene Konfiguration, um diese beim Auftreten von Problemen wiederherstellen zu knnen. Legen Sie den Migrationszeitplan so an, dass die DNS-Clients jederzeit ber Zugriff auf einen DNS-Server verfgen. Beispielsweise ist es empfehlenswert, den vorhandenen DNS-Server erst dann auszuschalten, wenn Sie sicher sind, dass der DNS-Server von Windows Server 2003 ordnungsgem funktioniert. Nachdem Sie die Server aktualisiert oder migriert haben, mssen Sie diese auf eine ordnungsgeme Funktionsweise hin berprfen. Weitere Informationen ber das Testen der DNS-Serverleistung finden Sie unter "Monitor Servers" im Hilfe- und Supportcenter fr Windows Server 2003 und unter "Troubleshooting Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Troubleshooting Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp, beide englischsprachig).

    Migrieren von Drittanbieter-DNS-Servern zum Windows Server 2003-DNS


    Wenn Sie DNS-Server, die nicht von Microsoft stammen, zum Windows Server 2003-DNS migrieren, mssen Sie die DNS-Server von Windows Server 2003 erst als sekundre Server fr die berlappenden Zonen einrichten. Konfigurieren Sie eine Zonenbertragung von den primren DNS-Servern des Drittanbieters zu den sekundren DNS-Servern von Windows Server 2003. Nach der Zonenbertragung mssen Sie sicherstellen, dass beim diesem Vorgang keine Fehler aufgetreten sind. Fehler knnen dann auftreten, wenn der DNS-Server von Windows Server 2003 keine vom DNS-Server des Drittanbieters gesendeten Eintrge erkennen kann. ndern Sie die Drittanbietereintrge, so dass sie dem Windows Server 2003-DNS entsprechen, oder entfernen Sie die Eintrge aus der Zone, um eine erfolgreiche Zonenbertragung sicherzustellen. Nachdem Sie berprft haben, ob die Zonen zu den DNS-Servern von Windows Server 2003 bertragen wurden, aktualisieren Sie die sekundren Zonen auf Active Directory-integrierte Zonen. Zu diesem Zeitpunkt knnen Sie die Drittanbieter-DNS-Server ohne weiteres aus dem Netzwerk zurckziehen und entfernen. Anmerkung Wenn Sie die BIND-Startdatei mit dem DNS-Dienst von Windows Server 2003 verwenden, gelten andere Einschrnkungen fr die Verwendung dieser Datei durch den DNSDienst. Beispielsweise werden einige BIND-Startdirektiven nicht untersttzt. Weitere englischsprachige Informationen ber die Verwendung von BIND-Startdateien mit dem Windows Server 2003-DNS finden Sie unter der Verknpfung mit der Microsoft Knowledge Base auf der Seite Web Resources unter http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=ENUS&FR=1, wo Sie nach Q194513, "The Structure of a Domain Name System Boot File" und Q234144, "DNS Boot File Directives and Configuration for Windows NT 4.0" suchen mssen.

    Entwerfen von DNS-Zonen

    Jeder in Windows Server 2003-DNS verfgbare Zonentyp erfllt einen bestimmten Zweck. Wenn Sie einen bestimmten Zonentyp fr die Bereitstellung auswhlen, legen Sie damit zugleich den praktischen Zweck der Zone fest. Abbildung 4.8 zeigt den Entwurfsprozess von DNS-Zonen.

    Abbildung 4.8 Entwerfen von DNS-Zonen

    Auswhlen eines Zonentyps


    Entwerfen Sie die Zonen in bereinstimmung mit der Infrastruktur fr die Netzwerkverwaltung. Wenn ein Standort im Netzwerk lokal verwaltet wird, stellen Sie eine Zone fr die untergeordnete Domne bereit. Wenn eine Abteilung ber eine untergeordnete Domne, aber keinen Administrator verfgt, belassen Sie die untergeordnete Domne in der bergeordneten Zone. Planen Sie bei Bedarf Reverse-Lookupzonen, und entscheiden Sie, ob Sie die Zonen in Active Directory speichern. Active Directory verteilt Daten mithilfe eines Multimasterreplikationsmodells, das mehr Sicherheit als ein Standard-DNS ermglicht. Mit Ausnahme von sekundren Zonen knnen Sie alle Zonentypen in Active Directory speichern. Beim Entwerfen von DNS-Zonen hosten Sie jede Zone auf mehreren DNS-Servern. Entscheiden Sie sich fr den jeweils geeigneten Zonentyp auf Grundlage der Domnenstruktur. Zudem mssen Sie fr jeden Zonentyp mit Ausnahme von sekundren Zonen die Entscheidung treffen, ob Sie dateibasierte Zonen oder Active Directory-integrierte Zonen bereitstellen.

    Primre Zonen
    Stellen Sie primre Zonen bereit, die den geplanten DNS-Domnennamen entsprechen. Sie knnen nicht eine Active Directory-integrierte und eine dateibasierte Kopie derselben Zone speichern.

    Sekundre Zonen
    Fgen Sie sekundre Zonen hinzu, wenn Sie keine Active Directory-Infrastruktur haben. Wenn Sie eine Active Directory-Infrastruktur besitzen, verwenden Sie sekundre Zonen auf DNS-Servern, die nicht als Domnencontroller konfiguriert sind. Eine sekundre Zone enthlt eine vollstndige Kopie einer Zone. Verwenden Sie daher sekundre Zonen fr eine verbesserte Verfgbarkeit von Zonen an Remotestandorten, wenn Sie keine Zonendaten ber eine WAN-Verbindung mithilfe von Active Directory-Replikation replizieren mchten. Es empfiehlt sich, sekundre Zonen fr die meisten oder sogar fr alle primren Zonen hinzuzufgen. Dieser Entwurf ermglicht Fehlertoleranz, geografische Verteilung der Netzwerkhosts und Lastenausgleich.

    Stubzonen
    Eine Stubzone ist eine Kopie einer Zone, die nur den Autorittsursprungs-Ressourceneintrag (Start-of-Authority oder SOA), die Nameserver-Ressourceneintrge (NS) mit einer Liste der autorisierenden Server fr die Zone und die "Glue Host"-Ressourceneintrge (Adresseinrge, Typ A) fr die Identifizierung dieser autorisierenden Server enthlt. Ein DNS-Server, der eine Stubzone hostet, wird mit der IP-Adresse des autorisierenden Servers konfiguriert, von dem er geladen wird. Er kann die Stubzone manuell aktualisieren. Wenn ein DNS-Server, der eine Stubzone hostet, eine Abfrage nach einem Computernamen in der Zone erhlt, auf welche die Stubzone verweist, verwendet der DNS-Server die IP-Adresse zum Abfragen des autorisierenden Servers oder gibt bei iterativen Abfragen einen Verweis mit den DNS-Servern zurck, die in der Stubzone aufgelistet werden. DNS-Server knnen Stubzonen sowohl fr iterative als auch fr rekursive Abfragen verwenden. Stubzonen werden in regelmigen Abstnden aktualisiert. Die jeweilige Einstellung fr die Aktualisierung wird durch das Aktualisierungsintervall des SOA-Ressourceneintrags fr die Stubzone festgelegt. Wenn ein DNSServer eine Stubzone ldt, fragt dieser die Masterserver der Zone nach SOA-Ressourceneintrgen, NSRessourceneintrgen im Stamm der Zone und A-Ressourceneintrgen ab. Der DNS-Server versucht, seine Ressourceneintrge am Ende des Aktualisierungsintervalls der SOA-Ressourceneintrge zu aktualisieren. Zum Aktualisieren der Eintrge fragt der DNS-Server die Masterserver nach den zuvor aufgelisteten Ressourceneintrgen ab. Sie knnen Stubzonen verwenden, um sicherzustellen, dass der fr eine bergeordnete Zone autorisierende DNS-Server automatisch Aktualisierungen ber die Nameserver erhlt, die fr eine untergeordnete Zone autorisierend sind. Fgen Sie hierzu die Stubzone dem Server hinzu, der die bergeordnete Zone hostet.

    Stubzonen knnen entweder dateibasiert oder Active Directory-integriert sein. Bei Active Directory-integrierten Stubzonen knnen Sie diese auf einem Computer konfigurieren und durch die Active Directory-Replikation auf andere DNS-Server bertragen lassen, die auf Domnencontrollern ausgefhrt werden. Sie knnen Stubzonen auch einsetzen, um Ihre Server ber andere Namespaces zu informieren, obwohl die bedingte Weiterleitung die bevorzugte Methode hierfr ist. Weitere Informationen ber die Verwendung von Stubzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003. Anmerkung Nur die DNS-Server von Windows Server 2003 untersttzen Stubzonen.

    Reverse-Lookupzonen
    Reverse-Lookupzonen enthalten Informationen, die zum Ausfhren von Reverse-Lookups ntig sind. Ein Reverse-Lookup verwendet die IP-Adresse des Computers, um dessen DNS-Namen herauszufinden. ReverseLookupzonen sind weder fr Windows-Netzwerke noch fr die Active Directory-Untersttzung erforderlich. Weitere Informationen ber Reverse-Lookupzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003. Wenn Ihre DNS-Topologie Active Directory enthlt, verwenden Sie Active Directory-integrierte Zonen. Da die DNS-Replikation auf einem Einzelmastermodell beruht, kann ein primrer DNS-Server in einer standardmigen DNS-Zone ein Einzelpunktversagen darstellen. In einer Active Directory-integrierten Zone kann ein DNS-Server keine einzelne ausfallgefhrdete Stelle sein, da Active Directory die Multimasterreplikation verwendet. Aktualisierungen an jedem beliebigen Domnencontroller werden an alle Domnencontroller repliziert, und die Zoneninformationen auf einem beliebigen primren DNS-Server innerhalb einer Active Directory-integrierten Zone werden immer repliziert. Active Directory-integrierte Zonen bieten die folgenden Vorteile: Sie knnen Zonen mithilfe von sicheren dynamischen Aktualisierungen sichern. Die Fehlertoleranz wird erhht. Jede Active Directory-integrierte Zone kann an alle Domnencontroller innerhalb der Active Directory-Domne oder -Gesamtstruktur repliziert werden. Alle DNS-Server, die auf diesen Domnencontrollern ausgefhrt werden, knnen als primre Server fr die Zone agieren und dynamische Aktualisierungen empfangen. Es wird Replikation ermglicht, bei der nur genderte Daten weitergeleitet und die replizierten Daten komprimiert werden. Dadurch wird der Netzwerkverkehr verringert.

    Bei einer Active Directory-Infrastruktur knnen Sie Active Directory-integrierte Zonen nur auf Active Directory-Domnencontrollern nutzen. Wenn Sie Active Directory-integrierte Zonen verwenden, mssen Sie entscheiden, ob Sie Active Directory-integrierte Zonen in der Anwendungsverzeichnispartition speichern mchten. Sie knnen Active Directory-integrierte Zonen und dateibasierte Zonen im gleichen Entwurf miteinander kombinieren. Wenn beispielsweise der DNS-Server, der fr die private Stammzone autorisierend ist, unter einem anderen Betriebssystem als Windows Server 2003 oder Windows 2000 ausgefhrt wird, kann er nicht als Active Directory-Domnencontroller agieren. Daher mssen Sie dateibasierte Zonen auf diesem Server verwenden. Sie knnen jedoch diese Zone an einen beliebigen Domnencontroller mit Windows Server 2003 oder Windows 2000 delegieren. Beispielsweise haben die Administratoren in einem Unternehmen, das Active Directory bereitstellen musste, die DNS-Anforderungen fr die Active Directory-Untersttzung untersucht und herausgefunden, dass der autorisierende DNS-Server fr den Namen supplier01-int.com auf einem BIND 4.9.7-Server ausgefhrt wurde, der Active Directory nicht untersttzt. Sie trafen die Entscheidung, eine Delegierung von der dateibasierten Zone supplier01-int.com hinzuzufgen, die auf dem BIND-Server gehostet wurde. Die Delegierung verweist auf einen autorisierenden Server unter Windows Server 2003 mit dem Namen partner.supplier01-int.com fr die Zone. Der Server mit Windows Server 2003 agiert auch als Domnencontroller. Auf diese Weise haben die Administratoren die Integration der Zone partner.supplier01-int.com in Active Directory ermglicht.

    Auswhlen einer Replikationsmethode

    Nachdem Sie entschieden haben, welche Zone von welchem DNS-Server gehostet wird, mssen Sie jetzt die Entscheidung treffen, wie die Zonen zwischen den Servern repliziert werden sollen. Replizierte Zonen ermglichen hhere Verfgbarkeit, verbessern die Abfrageantwortzeit und verringern den Netzwerkverkehr, der durch Namensabfragen verursacht wird. Allerdings erfordern replizierte Zonen Speicherplatz und erhhen allgemein den Netzwerkverkehr. Wenn Sie ber ein verteiltes Netzwerk verfgen, das auf verschiedenen Standorten verwaltet wird, verwenden Sie untergeordnete Domnen fr diese Standorte. Wenn Sie kein verteiltes Netzwerk einsetzen, sollten Sie mglichst die Verwendung von untergeordneten Domnen vermeiden. Beim Entwerfen der Zonenreplikation muss auch bercksichtigt werden, wo replizierte Zonen im Hinblick auf Redundanz und Verfgbarkeit verwendet werden. In Windows Server 2003 knnen Sie Zonen replizieren, indem Sie die dateibasierte Zonenbertragung oder die Active Directory-Replikation nutzen. Whlen Sie die geeignete Methode fr die Zonenbertragung anhand folgender Kriterien aus: Verwenden Sie bei dateibasierten Zonen die dateibasierte Zonenbertragung. Verwenden Sie bei Active Directory-integrierten Zonen von Windows Server 2003 und Windows 2000 die Active Directory-Replikation. Sie mssen den Replikationsbereich festlegen, wenn Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domne verwenden.

    Dateibasierte Zonenbertragung
    Das DNS von Windows Server 2003 und Windows 2000 untersttzt jeweils sowohl die inkrementelle als auch die vollstndige Zonenbertragung von dateibasierten Zonen. Die inkrementelle Zonenbertragung ist die Standardmethode. Wenn diese Methode von einem Drittanbieter-DNS-Server nicht untersttzt wird, der in die bertragung eingebunden ist, verwendet das DNS von Windows Server 2003 und Windows 2000 standardmig die Methode zur vollstndigen Zonenbertragung. Die inkrementelle Zonenbertragung, die in RFC 1995, "Incremental Zone Transfer in DNS", beschrieben wird, bietet eine bessere Nutzung der verfgbaren Netzwerkbandbreite. Der Masterserver bertrgt hierbei nur die inkrementellen nderungen in der Zone und nicht den gesamten Inhalt der Zonendatei. Dadurch wird der Einfluss von DNS-Zonenbertragungen auf den Netzwerkverkehr verringert. Ohne inkrementelle Zonenbertragungen bertrgt der Masterserver bei jeder Aktualisierung einer DNS-Zone die gesamte Zonendatei an den sekundren Server. Das Windows Server 2003-DNS verwendet die vollstndige Zonenbertragung, wenn Zonen an DNS-Server bertragen werden mssen, die keine inkrementellen Zonenbertragungen untersttzen. Dazu zhlen DNSServer, die unter Windows NT 4.0 oder BIND 8.12 und frheren Versionen ausgefhrt werden.

    Active Directory-Replikation
    Die Active Directory-Replikation propagiert Zonennderungen zwischen Domnencontrollern. Die Replikationsverarbeitung unterscheidet sich von vollstndigen Zonenbertragungen bei DNS, bei denen der DNS-Server die gesamte Zone bertrgt. Die Replikationsverarbeitung unterscheidet sich auch von inkrementellen Zonenbertragungen, bei denen der Server alle nderungen bertrgt, die seit der letzten nderung vorgenommen wurden. Die Active Directory-Zonenreplikation bietet die folgenden zustzlichen Vorteile: Der Netzwerkverkehr wird verringert, da die Domnencontroller nur das endgltige Ergebnis aller nderungen senden. Wenn eine Zone in Active Directory gespeichert wurde, erfolgt die Replikation automatisch. Es muss keine zustzliche Konfiguration vorgenommen werden. Wenn die Active Directory-Zonenreplikation zwischen Standorten erfolgt, werden bei berschreitungen der standardmigen bertragungsgre Zonendaten vor der bertragung automatisch komprimiert. Diese Komprimierung verringert die Netzwerkverkehrslast.

    Nach sorgfltiger Analyse knnen Sie die DNS-Zonen partitionieren und delegieren. Dabei muss bercksichtigt werden, wie Sie einen effizienten und fehlertoleranten Namensdienst fr jeden Standort oder jede Site bereitstellen knnen. Wenn Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domne verwenden, mssen Sie einen Active Directory-integrierten Zonenreplikationsbereich mithilfe der MMC auswhlen. Bei der Auswahl eines Replikationsbereichs mssen Sie beachten, dass ein breiterer Replikationsbereich auch einen erhhten Netzwerkverkehr durch die Replikation zur Folge hat. Wenn Sie sich beispielsweise dazu entscheiden, Active Directory-integrierte DNS-Zonendaten an alle DNS-Server in der Gesamtstruktur zu replizieren, verursacht dies greren Netzwerkverkehr als die Replikation der DNS-Zonendaten an alle DNS-Server in einer einzelnen Active Directory-Domne in dieser Gesamtstruktur. Sie sollten daher die angestrebte Minimierung des Replikationsverkehrs mit der Minimierung des durch Zonenabfragen verursachten Netzwerkverkehrs in Einklang bringen. Tabelle 4.8 listet die Replikationsoptionen fr Active Directory-integrierte Zonendaten auf. Tabelle 4.8 Replikationsoptionen fr Active Directory-integrierte Zonendaten

    Option Beschreibung Alle DNS-Server in der Active Die Zonendaten werden an alle DNSDirectory-Gesamtstruktur Server repliziert, die auf Windows Server 2003-basierten Domnencontrollern in allen Domnen der Active Directory-Gesamtstruktur ausgefhrt werden.

    Anwendung Sie mchten den breitesten Replikationsbereich verwenden. Diese Option erzeugt im Allgemeinen den grten Zonenreplikationsverkehr. Beachten Sie, dass Sie diese Option nur auswhlen knnen, wenn alle DNS-Server Windows Server 2003 ausfhren und eine Active Directoryintegrierte Kopie dieser Zone hosten. Alle DNS-Server in einer Die Zonendaten werden an alle DNSSie mssen die Zone nicht in der angegebenen Active Directory- Server repliziert, die auf Windows Gesamtstruktur replizieren und Domne Server 2003-basierten mchten den Domnencontrollern in den angegebenen Zonenreplikationsverkehr Active Directory-Domnen ausgefhrt einschrnken. Diese Option werden. Diese Option ist die verursacht weniger Standardeinstellung fr die Active Zonenreplikationsverkehr als das Directory-integrierte DNSReplizieren der Zone an alle DNSZonenreplikation. Server in der Gesamtstruktur oder an alle Domnencontroller in der Domne. Bei dieser Option werden (Die angegebene Active Directorydie Zonendaten nicht an DNS-Server Domne ist die Domne des Domnencontrollers, auf dem der DNS- repliziert, die auf Windows 2000basierten Domnencontrollern Server ausgefhrt wird, der die Zone ausgefhrt werden. hostet.) Alle Domnencontroller in der Die Zonendaten werden an alle Sie hosten eine Active DirectoryActive Directory-Domne Domnencontroller in der angegebenen integrierte Kopie dieser Zone auf Active Directory-Domne repliziert, und einem DNS-Server, der auf einem dies unabhngig davon, ob DNS-Server Windows 2000-basierten auf den Domnencontrollern in der Domnencontroller ausgefhrt wird. Domne ausgefhrt werden.

    Option Alle Domnencontroller, die im Replikationsbereich einer Anwendungsverzeichnispartiti on angegeben wurden

    Beschreibung Die Zonendaten werden an alle Domnencontroller repliziert, die im Replikationsbereich der Anwendungsverzeichnispartition angegeben wurden.

    Anwendung Sie mchten den Zonenreplikationsbereich fr Ihre Organisation anpassen. Mit dieser Option knnen Sie den Zonenreplikationsverkehr bei maximierter Funktionalitt minimieren. Diese Option erfordert jedoch zustzlichen Verwaltungsaufwand. Sie knnen diese Option nur auswhlen, wenn alle DNS-Server Windows Server 2003 ausfhren und eine Active Directory-integrierte Kopie dieser Zone hosten.

    Migrieren von Zonen zu DNS-Server von Windows Server 2003


    Sie knnen Zonen mit einer der folgenden zwei Methoden zu DNS-Server von Windows Server 2003 migrieren: Durch das Verwenden der Zonenbertragung. Durch das Kopieren der Zonendateien.

    Beim Kopieren der Zonendateien mssen Sie die Integritt der Zonen manuell berprfen. Unabhngig von der Methode fr die Zonenmigration mssen Sie sich entscheiden, ob Sie den ursprnglichen DNS-Server aus dem Netzwerk herausnehmen oder diesen als sekundren Server einsetzen. Wenn Sie feststellen, dass der ursprngliche DNS-Server des Drittanbieters Schwierigkeiten bei der Interoperabilitt im Netzwerk verursacht, oder wenn Sie die entsprechende Serverhardware fr andere Zwecke bentigen, knnen Sie den Server aus dem Netzwerk herausnehmen. Andernfalls behalten Sie den Server im Netzwerk, um Sicherungsfunktionen fr den primren DNS-Server von Windows Server 2003 bereitzustellen. Weitere Informationen ber die Verwendung von Zonenbertragung finden Sie unter "Initiate a zone transfer at a secondary server" im Hilfe- und Supportcenter fr Windows Server 2003.

    Konfigurieren und Verwalten von DNS-Clients


    Beim Konfigurieren der DNS-Clients mssen Sie eine Liste von DNS-Servern angeben, die von den Clients beim Auflsen von DNS-Namen verwendet werden sollen. Sie mssen auch eine DNS-Suffixsuchliste angeben, die von den Clients verwendet werden soll, wenn DNS-Abfragesuchen nach kurzen unvollstndigen Domnennamen ausgefhrt werden. Sie knnen auch eine Gruppenrichtlinie verwenden, um die DNSClientkonfiguration zu vereinfachen.

    Abbildung 4.9 zeigt den Prozess zum Konfigurieren und Verwalten von DNS-Clients.

    Abbildung 4.9 Konfigurieren und Verwalten von DNS-Clients

    Konfigurieren von Client-DNS-Serverlisten und -Suffixsuchlisten


    Konfigurieren Sie die DNS-Serverlisten der Clients und die DNS-Suffixsuchliste, indem Sie die IP-Adressen fr mindestens zwei DNS-Server fr die Clients und Domnencontroller angeben: die IP-Adresse fr einen bevorzugten Server und die IP-Adresse fr einen Ersatzserver. Whlen Sie fr den bevorzugten Server einen Server aus, der auf der lokalen Site ausgefhrt wird. Der alternative Server kann entweder auf einer lokalen oder einer Remotesite ausgefhrt werden. Standardmig wird die DNS-Suffixsuchliste auf Grundlage des primren DNS-Suffixes des Clients und anhand von verbindungsspezifischen DNS-Suffixen aufgefllt. Sie knnen die DNS-Suffixsuchliste mithilfe des DNS-

    Managers oder einer Gruppenrichtlinie ndern. Es ist sehr zu empfehlen, die Gre der Suffixsuchliste einzuschrnken, da eine umfangreiche Suffixsuchliste den Netzwerkverkehr erhht.

    Verwenden von Gruppenrichtlinien zum Vereinfachen der Clientkonfiguration


    Windows Server 2003 enthlt einen neuen Satz von Gruppenrichtlinien, mit denen die Einfhrung von DNSClients von Windows Server 2003 vereinfacht wird. Sie knnen die Richtlinien verwenden, um DNSServerlisten, Suffixsuchlisten sowie die Konfiguration dynamischer Aktualisierungen und viele weitere Einstellungen festzulegen. Wie bei allen Einstellungen fr Gruppenrichtlinien knnen Sie verschiedene Einstellungen auf der Grundlage von Site, Domne oder OU einstellen. Weitere englischsprachige Informationen ber diese Gruppenrichtlinien finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits(oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).

    Sichern der DNS-Infrastruktur


    Da DNS als offenes Protokoll entworfen wurde, sind DNS-Daten mglicherweise vor Angriffen nicht ausreichend geschtzt. Das Windows Server 2003-DNS bietet verbesserte Sicherheitsfunktionen, um den Schutz der Daten zu verbessern. Abbildung 4.10 zeigt den Prozess zum Sichern der DNS-Infrastruktur.

    Abbildung 4.10 Sichern der DNS-Infrastruktur

    Identifizieren von DNS-Sicherheitsrisiken


    Eine DNS-Infrastruktur ist gegen die folgenden Arten von Sicherheitsrisiken anfllig: Footprinting. Der Erstellungsprozess eines Diagramms oder "Footprints" einer DNS-Infrastruktur durch das Erfassen von DNS-Zonendaten wie Domnennamen, Computernamen und IP-Adressen fr empfindliche Netzwerkressourcen. DNS-Domnen- und Computernamen weisen oft auf die Funktion oder den Standort von Domnen und Computern hin. Denial-of-Service-Angriff . Dabei versucht der Angreifer, die Verfgbarkeit der Netzwerkdienste dadurch zu beeintrchtigen, dass er an einen oder mehrere DNS-Server im Netzwerk eine hohe Anzahl von rekursiven Abfragen sendet. Wenn ein DNS-Server eine extrem hohe Anzahl an Abfragen erhlt, erreicht seine CPU-Nutzung schlielich einen Hchstwert, wodurch der DNS-Serverdienst nicht mehr verfgbar ist. Ohne einen vollstndig funktionsfhigen DNS-Server im Netzwerk sind Netzwerkdienste, die auf DNS zurckgreifen, fr die Netzwerkbenutzer nicht mehr verfgbar. Datennderung. Der Missbrauch von gltigen IP-Adressen in IP-Paketen, die ein Angreifer erstellt hat, um Daten zu zerstren oder weitere Angriffe durchzufhren. Die Datennderung wird typischerweise bei DNS-Infrastrukturen versucht, die bereits mit Footprinting analysiert wurden. Wenn der Angriff erfolgreich ist, scheinen die Pakete von einer gltigen IP-Adresse im Netzwerk zu kommen. Dies wird blicherweise als IP-Spoofing bezeichnet. Mit einer gltigen IP-Adresse (eine IP-Adresse innerhalb des IP-Adressenbereichs eines Subnetzes) kann ein Angreifer Zugriff auf das Netzwerk erhalten. Umleitung. Dabei kann ein Angreifer Abfragen nach DNS-Namen an Server umleiten, die unter der Kontrolle des Angreifers stehen. Eine Methode der Umleitung beruht auf dem Versuch, den DNSZwischenspeicher eines DNS-Servers mit fehlerhaften DNS-Daten zu beschdigen, die knftige Abfragen an Server weiterleiten knnten, welche vom Angreifer kontrolliert werden. Wenn beispielsweise eine Abfrage an example.contoso.com erfolgt und eine Verweisantwort einen Eintrag fr einen Namen auerhalb der Domne contoso.com liefert, verwendet der DNS-Server die zwischengespeicherten Daten, um eine Abfrage fr den externen Namen aufzulsen. Die Umleitung kann erfolgen, wenn ein Angreifer ber Schreibzugriff auf DNS-Daten verfgt, beispielsweise durch unsichere dynamische Aktualisierungen.

    Weitere englischsprachige Informationen ber bliche Angriffstypen, das Entwickeln einer Sicherheitsrichtlinie und Einschtzen des eigenen Risikos finden Sie unter "Designing an Authentication Strategy" und "Designing an Authorization Strategy" in Designing and Deploying Directory and Security Services.

    Entwickeln einer DNS-Sicherheitsrichtlinie


    Wenn Ihre DNS-Daten gefhrdet sind, knnen Angreifer Informationen ber das Netzwerk erhalten, mit deren Hilfe sie weitere Dienste gefhrden knnen. Beispielsweise knnen Angreifer Ihrer Organisation mit den folgenden Methoden Schaden zufgen: Mithilfe der Zonenbertragung knnen Angreifer eine Liste mit allen Hosts und deren IP-Adressen im Netzwerk abrufen. Mit Dienstverweigerungsangriffen knnen Angreifer verhindern, dass E-Mails an Ihr Netzwerk weitergeleitet bzw. von dort gesendet werden. Zudem ist es auf diese Weise mglich, dass Ihr Webserver nicht mehr im Internet sichtbar ist. Wenn Angreifer die Zonendaten ndern, knnen sie falsche Webserver einrichten oder bewirken, dass E-Mails an ihre Server umgeleitet werden.

    Ihr Risiko, Ziel solcher Angriff zu werden, richtet sich nach dem Ausma Ihrer Anbindung an das Internet. Bei einem DNS-Server in einem privaten Netzwerk, der einen privaten Namespace, ein privates Adressierungsschema und einen wirksamen Firewall verwendet, ist das Angriffsrisiko geringer. Zudem ist dann die Wahrscheinlichkeit grer, den Eindringling zu entdecken. Bei einem DNS-Server, der an das Internet angebunden ist, muss mit hheren Risiken gerechnet werden.

    Das Entwickeln einer DNS-Sicherheitsrichtlinie umfasst die folgenden Schritte: Es muss entschieden werden, welchen Zugriff die Clients bentigen, welchen Kompromiss zwischen Sicherheit und Leistung Sie anstreben und welche Daten besonders gut geschtzt werden mssen. Machen Sie sich mit den Sicherheitsfragen vertraut, die interne und externe DNS-Server betreffen. Analysieren Sie den durch die Namensauflsung verursachten Netzwerkverkehr, um festzustellen, welche Clients welche Server abfragen knnen.

    Sie knnen eine DNS-Sicherheitsrichtlinie mit niedriger, mittlerer oder hoher Sicherheit auswhlen.

    DNS-Sicherheitsrichtlinie mit niedriger Sicherheit


    Bei einer niedrigen Sicherheitsstufe ist keine zustzliche Konfiguration der DNS-Bereitstellung erforderlich. Verwenden Sie diese Stufe der DNS-Sicherheit in einer Netzwerkumgebung, in der die Integritt der DNS-Daten keine Rolle spielt, oder in einem privaten Netzwerk, das nicht extern angebunden ist. Eine Sicherheitsrichtlinie mit niedriger Sicherheit weist die folgenden Merkmale auf: Auf die DNS-Infrastruktur Ihrer Organisation kann vollstndig ber das Internet zugegriffen werden. Alle DNS-Server im Netzwerk fhren standardmige DNS-Auflsung aus. Alle DNS-Server sind mit Stammhinweisen konfiguriert, die auf die Stammserver fr das Internet zeigen. Alle DNS-Server lassen Zonenbertragungen an beliebige Server zu. Alle DNS-Server sind fr das Abhren an allen IP-Adressen konfiguriert. Die Funktion zur Vermeidung von Zwischenspeicherbeschdigung ist auf allen DNS-Servern deaktiviert. Die dynamische Aktualisierung ist fr alle DNS-Zonen zulssig. UDP (User Datagram Protocol) und TCP/IP-Port 53 sind auf dem Firewall Ihres Netzwerks sowohl fr Quell- als auch fr Zieladressen offen.

    DNS-Sicherheitsrichtlinie mit mittlerer Sicherheit


    Bei einer mittleren DNS-Sicherheit werden die DNS-Sicherheitsfunktionen verwendet, die verfgbar sind, ohne DNS-Server auf Domnencontrollern auszufhren und ohne DNS-Zonen in Active Directory zu speichern. Eine Sicherheitsrichtlinie mit mittlerer Sicherheit weist die folgenden Merkmale auf: Auf die DNS-Infrastruktur Ihrer Organisation kann teilweise ber das Internet zugegriffen werden. Alle DNS-Server sind fr die Verwendung von Weiterleitungen konfiguriert, um auf eine bestimmte Liste mit internen DNS-Servern zu zeigen, wenn sie Namen nicht lokal auflsen knnen. Alle DNS-Server schrnken Zonenbertragungen auf Server ein, die in den NS-Eintrgen in ihren Zonen aufgelistet werden. DNS-Server werden fr das Abhren von bestimmten IP-Adressen konfiguriert. Die Funktion zur Vermeidung von Zwischenspeicherbeschdigung ist auf allen DNS-Servern aktiviert. Die dynamische Aktualisierung ist fr DNS-Zonen nicht zulssig. Interne DNS-Server kommunizieren mit externen DNS-Servern ber den Firewall mithilfe einer eingeschrnkten Liste von zulssigen Quell- und Zieladressen. Externe DNS-Server auerhalb Ihres Firewalls sind mit Stammhinweisen konfiguriert, die auf die Stammserver fr das Internet zeigen. Die gesamte Namensauflsung fr das Internet erfolgt mit Proxyservern und Gateways.

    DNS-Sicherheitsrichtlinie mit hoher Sicherheit


    Bei hoher DNS-Sicherheit wird die gleiche Konfiguration wie bei der mittleren Sicherheit verwendet. Zudem werden die Sicherheitsfunktionen genutzt, die dann verfgbar sind, wenn der DNS-Serverdienst auf einem Domnencontroller ausgefhrt wird und die DNS-Zonen in Active Directory gespeichert werden. Zudem wird bei einer hohen Sicherheitseinstellung jegliche DNS-Kommunikation mit dem Internet unterbunden. Dies ist keine typische Konfiguration; sie wird aber empfohlen, wenn die Verbindung mit dem Internet nicht erforderlich ist. Eine Sicherheitsrichtlinie mit hoher Sicherheit weist die folgenden Merkmale auf:

    Die DNS-Infrastruktur Ihrer Organization kommuniziert nicht mit dem Internet ber interne DNSServer. Das Netzwerk verwendet einen internen DNS-Stamm und -Namespace, und die gesamte Autoritt fr DNS-Zonen ist intern. DNS-Server, die mit Weiterleitungen konfiguriert sind, verwenden nur interne DNS-Server-IPAdressen. Alle DNS-Server schrnken die Zonenbertragungen auf angegebene IP-Adressen ein. DNS-Server werden fr das Abhren von bestimmten IP-Adressen konfiguriert. Die Funktion zur Vermeidung von Zwischenspeicherbeschdigung ist auf allen DNS-Servern aktiviert. Interne DNS-Server sind mit Stammhinweisen konfiguriert, die auf die internen DNS-Server zeigen, welche die Stammzone fr den internen Namespace hosten. Alle DNS-Server werden auf Domnencontrollern ausgefhrt. Eine DACL (Discretionary Access Control List) wird auf dem DNS-Serverdienst konfiguriert, um nur bestimmten Einzelpersonen das Ausfhren von Verwaltungsaufgaben auf DNS-Servern zu ermglichen. Alle DNS-Zonen werden in Active Directory gespeichert. Eine DACL wird so konfiguriert, dass nur bestimmten Personen das Erstellen, Lschen oder ndern von DNS-Zonen erlaubt wird. Die DACLs werden mit DNS-Resourceneintrgen konfiguriert, damit nur bestimmte Personen DNSDaten erstellen, lschen oder ndern knnen. Sichere dynamische Aktualisierung ist fr alle DNS-Zonen konfiguriert, mit Ausnahme von Zonen der obersten Ebene und von Stammzonen, fr die keinerlei dynamische Aktualisierungen zulssig sind.

    Sichern von DNS-Servern, die mit dem Internet verbunden sind


    Mit dem Internet verbundene DNS-Server weisen ein besonders hohes Risiko fr Angriffe auf. Sie knnen die mit dem Internet verbundenen DNS-Server mit folgenden Manahmen sichern: Platzieren Sie den Nameserver in einer demilitraisierten Zone (DMZ) statt dem internen Netzwerk. Weitere englischsprachige Informationen ber demilitraisierten Zonen finden Sie unter "Deploying ISA Servers" in diesem Kit. Verwenden Sie einen DNS-Server fr ffentlich zugngliche Dienste innerhalb der demilitraisierten Zone und einen separaten DNS-Server fr das private interne Netzwerk. Dies verringert das Risiko von Zugriffen auf den privaten Namespace, der sensible Namen und IP-Adressen Internetnutzern zugnglich machen kann. Dadurch wird auch die Leistung gesteigert, weil die Anzahl von Ressourceneintrgen auf dem DNS-Server verringert wird. Fgen Sie einen sekundren Server in einem anderen Subnetz oder Netzwerk oder bei einem ISP hinzu. Dies schtzt Sie gegen Dienstverweigerungsangriffe. Schlieen Sie Einzelpunktversagen aus, indem Sie die Router und DNS-Server sichern und die DNSServer geografisch verteilen. Fgen Sie mindestens einem Offsite-DNS-Server sekundre Kopien der Zonen hinzu. Verschlsseln Sie den Zonereplikationsverkehr mithilfe von IPSec- oder VPN-Tunnels, um dadurch die Namen und IP-Adressen vor Internetnutzern zu verbergen. Konfigurieren Sie Firewalls, um die Paketfilterung fr UDP- und TCP-Port 53 zu erzwingen. Schrnken Sie die Liste mit DNS-Servern ein, die eine Zonenbertragung auf dem DNS-Server veranlassen knnen. Nehmen Sie diese Einschrnkung fr jede Zone im Netzwerk vor. berwachen Sie die DNS-Protokolle, und berwachen Sie die externen DNS-Server mithilfe der Ereignisanzeige.

    Sichern interner DNS-Server


    Interne DNS-Server sind dem Risiko von Angriffen weniger ausgesetzt als externe DNS-Server, mssen aber dennoch geschtzt werden. So sichern Sie die internen DNS-Server: Beseitigen Sie einzelne Ausfallpunkte. Beachten Sie jedoch, dass DNS-Redundanz Ihnen nicht hilft, wenn Ihre Clients auf keinerlei Netzwerkdienste zugreifen knnen. Bercksichtigen Sie die Clientstandorte in den einzelnen DNS-Zonen sowie deren Vorgehensweise zum Auflsen von Namen, wenn der DNS-Server beschdigt ist und keine Abfragen beantworten kann. Verhindern Sie unautorisierten Zugriff auf die Server. Erlauben Sie nur sichere dynamische Aktualisierungen fr die Zonen, und schrnken Sie die Liste mit zulssigen DNS-Servern fr den Empfang von Zonenbertragungen ein. berwachen Sie die DNS-Protokolle, und berwachen Sie die internen DNS-Server mithilfe der Ereignisanzeige. Die berwachung von Protokollen und Server kann dazu beitragen, unautorisierte nderungen am DNS-Server oder den Zonendateien zu erkennen. Implementieren Sie Active Directory-integrierte Zonen mit sicherer dynamischer Aktualisierung.

    Sichern von dynamisch aktualisierten DNS-Zonen


    Die Verwendung von unsicheren dynamischen Aktualisierungen hat neue Sicherheitsrisiken zur Folge. Da jeder Computer einen beliebigen Eintrag ndern kann, ist ein Angreifer in der Lage, Zonendaten zu ndern und dann die Identitt von vorhandenen Servern zu bernehmen. Wenn Sie beispielsweise den Webserver web.contoso.com installieren und dieser seine IP-Adresse in DNS mithilfe von dynamischer Aktualisierung registriert, kann ein Angreifer einen zweiten Webserver installieren, diesen ebenfalls web.contoso.com nennen und durch die dynamische Aktualisierung die zugehrige IP-Adresse im DNS-Eintrag ndern. Auf diese Weise kann der Angreifer die Identitt des ursprnglichen Webservers bernehmen und sichere Informationen erfassen. Aus diesem Grund ist es wichtig, die sichere dynamische Aktualisierung zu implementieren. Zum Vermeiden des Serveridentittswechsels verwenden Sie Active Directory-integrierte Zonen, und konfigurieren Sie diese fr sichere dynamische Aktualisierung. Bei sicheren dynamischen Aktualisierungen knnen nur die Computer und Benutzer, die in einer Zugriffssteuerungsliste (Access Control List oder ACL) angegeben wurden, die Objekte innerhalb einer Zone erstellen oder ndern. Wenn Ihre Sicherheitsrichtlinie strengere Sicherheit erfordert, knnen Sie diese Einstellungen bearbeiten, um den Zugriff noch weiter einzuschrnken. Schrnken Sie den Zugriff nach Computer, Gruppe oder Benutzerkonto ein, und weisen Sie Berechtigungen fr die gesamte DNS-Zone und fr die einzelnen DNS-Namen innerhalb der Zone zu. Weitere englischsprachige Informationen zum Sichern von dynamisch aktualisierten DNS-Zonen finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).

    Sichern der DNS-Zonenreplikation


    Die Zonenreplikation kann entweder ber Zonenbertragung oder als Teil der Active Directory-Replikation erfolgen. Ohne die sichere Zonenreplikation gehen Sie das Risiko ein, die Namen und IP-Adressen der Computer Angreifern offen zu legen. Sie knnen die DNS-Zonenreplikation mit den folgenden Methoden sichern: Verwenden der Active Directory-Replikation. Verschlsseln der Zonenreplikation, die ber ffentliche Netzwerke wie das Internet gesendet wird. Einschrnken der Zonenbertragung auf autorisierte Server.

    Verwenden der Active Directory-Replikation


    Die Replikation von Zonen als Teil der Active Directory-Replikation bietet die folgenden Vorteile fr die Sicherheit: Der Active Directory-Replikationsverkehr wird verschlsselt, und daher wird der Zonenreplikationsverkehr ebenfalls automatisch verschlsselt. Nur eine begrenzte Anzahl von Benutzern knnen die Einstellungen fr die Active DirectoryReplikation ndern. DNS-Server, die Active Directory-integrierte Zonen hosten, mssen Domnencontroller sein. Dies bedeutet, dass die Active Directory-Replikation nur zwischen Domnencontrollern erfolgen kann. Daher knnen nur Administratoren, die fr das Verwalten von Domnencontrollern autorisiert sind, die Einstellungen fr die Active Directory-Replikation ndern. Die Active Directory-Domnencontroller, welche die Replikation ausfhren, authentifizieren sich gegenseitig, so dass kein Identittswechsel mglich ist. Anmerkung Verwenden Sie nach Mglichkeit Active Directory-integrierte Zonen, da diese als Teil der Active Directory-Replikation repliziert werden, die sicherer als die dateibasierte Zonenbertragung ist.

    Verschlsseln von Replikationsverkehr in ffentlichen Netzwerken


    Verschlsseln Sie den gesamten Replikationsverkehr mit IPSec- oder VPN-Tunnels, der ber ffentliche Netzwerke gesendet wird. Gehen Sie wie folgt vor, wenn Sie Replikationsverkehr verschlsseln, der ber ffentliche Netzwerke gesendet wird: Verwenden Sie die hchste Verschlsselungsstufe oder VPN-Tunnelauthentifizierung, die die Server untersttzen. Verwenden Sie den Routing und RAS-Dienst von Windows Server 2003, um den IPSec- oder VPNTunnel zu erstellen.

    Einschrnken der Zonenbertragung auf autorisierte Server


    Wenn Sie ber sekundre Server verfgen und die Zonendaten mithilfe von Zonenbertragung replizieren, konfigurieren Sie die Zone so, dass die Zonenbertragung nur an autorisierte Server zugelassen wird. Dies verhindert, dass ein Angreifer die Zonenbertragung zum Beschaffen von Zonendaten verwendet. Wenn Sie stattdessen Active Directory-integrierte Zonen verwenden, deaktivieren Sie die Zonenbertragung in den Eigenschaften der Zone.

    Integrieren von DNS in andere Windows Server 2003-Dienste


    Wenn Sie das Windows Server 2003-DNS bereitstellen, sollten Sie den DNS-Dienst in andere Windows Server 2003-Dienste wie DHCP und WINS integrieren. Abbildung 4.11 zeigt den Prozess zum Integrieren des Windows Server 2003-DNS in andere Windows Server 2003-Dienste.

    Abbildung 4.11 Integrieren von DNS in andere Windows Server 2003-Dienste

    Integrieren von DNS mit DHCP


    DHCP untersttzt das Windows Server 2003-DNS bei der dynamischer Aktualisierung von DNS-Zonen. Durch die Integration von DHCP und DNS in einer DNS-Bereitstellung knnen Sie den Netzwerkressourcen dynamische, in DNS gespeicherte Adressierungsinformationen bereitstellen. Fr diese Integration knnen Sie den DHCP-Dienst von Windows Server 2003 nutzen. Der Standard fr dynamische Aktualisierungen, der in RFC 2136, "Dynamic Updates in the Domain Name System (DNS UPDATE)", festgelegt wird, aktualisiert automatisch DNS-Eintrge. Sowohl Windows Server 2003 als auch Windows 2000 untersttzen dynamische Aktualisierungen, und sowohl Clients als auch DHCP-Server knnen dynamische Aktualisierungen senden, wenn sich ihre IP-Adressen ndern. Die

    dynamische Aktualisierung selbst ist nicht sicher, da jeder Client die DNS-Eintrge ndern kann. Zum Sichern dynamischer Aktualisierungen knnen Sie die Funktion fr dynamische Aktualisierungen verwenden, die von Windows Server 2003 bereitgestellt wird. Fr das Lschen veralteter Eintrge knnen Sie die Alterungs- und Aufrumfunktion des DNS-Servers einsetzen. Die dynamische Aktualisierung ermglicht DHCP-Servern das Registrieren von A- und PTRRessourceneintrgen fr DHCP-Clients. Dieser Prozess erfordert die Verwendung der DHCP-Client FQDN Option 81. Option 81 ermglicht es dem Client, seinen FQDN dem DHCP-Server bereitzustellen. Der Client stellt dem Server auch Anweisungen zur Verfgung, in denen beschrieben wird, wie dynamische DNSAktualisierungen fr den DHCP-Client verarbeitet werden sollen. Wenn Option 81 von einem qualifizierten DHCP-Client ausgesandt wird, erfolgt die Verarbeitung und Interpretation von Option 81 durch einen DHCP-Server von Windows Server 2003, um zu bestimmen, wie der Server Aktualisierungen fr den Client einleitet. Wenn der Server fr das Ausfhren von dynamischen DNSAktualisierungen konfiguriert ist, fhrt dieser eine der folgenden Aktionen aus: Der DHCP-Server aktualisiert sowohl DNS-A- als auch -PTR-Eintrge, wenn dies von Clients mithilfe der Option 81 angefordert wird. Der DHCP-Server aktualisiert DNS-A- und -PTR-Eintrge unabhngig davon, ob der Client diese Aktion anfordert.

    Darber hinaus kann der DHCP-Server dynamisch DNS-A- und -PTR-Eintrge fr Legacyclients aktualisieren, die nicht in der Lage sind, Option 81 an den Server zu senden. Sie knnen den DHCP-Server auch so konfigurieren, dass A- und PTR-Eintrge der Clients nach dem Lschen der Clientlease verworfen werden. Dies verringert die Zeit, die zum manuellen Verwalten dieser Eintrge erforderlich ist, und stellt Untersttzung fr DHCP-Clients zur Verfgung, die keine dynamischen Aktualisierungen ausfhren knnen. Zudem vereinfacht die dynamische Aktualisierung die Einrichtung von Active Directory, da Domnencontroller dynamisch mit SRV-Eintrgen registriert werden knnen.

    Integrieren von DNS in WINS


    Wenn Sie auf das Windows Server 2003-DNS von einer frheren Version von Windows aktualisieren, mssen Sie mglicherweise weiterhin eine vorhandene WINS-Infrastruktur untersttzen. Mit dem Windows Server 2003-DNS knnen Sie eine vorhandene WINS-Implementierung untersttzen, indem Sie einen DNSServer fr das Abfragen eines WINS-Servers als DNS-Zoneneinstellung konfigurieren. WINS stellt dynamische NetBIOS-Namensauflsung zur Verfgung. Wenn die Organisation Clients und Programme untersttzt, die WINS fr die NetBIOS-Namensauflsung verwenden, mssen Sie weiterhin WINS untersttzen. Wenn einige der Clients in WINS registriert sind und andere Clients ihre Namen auflsen mssen, aber die NetBIOS-Namensauflsung nicht untersttzen, knnen Sie WINS-Lookup verwenden, um dem DNSServer das Abfragen von Namen im WINS-Namespace zu ermglichen. Diese Funktion ist besonders ntzlich, wenn einige der Clients, welche die NetBIOS-Namensauflsung erfordern, nicht WINS verwenden knnen, oder wenn einige der Clients nicht in DNS registriert werden knnen (beispielsweise Microsoft Windows 95- oder Windows 98-Clients). WINS-Verweise sind die bevorzugte Methode, wenn einige Ihrer DNS-Server die Ressourceneintrge nicht untersttzen, die fr WINS-Lookup und WINS-Reverse-Lookup verwendet werden.

    WINS-Lookup und WINS-Reverse-Lookup


    Durch das Konfigurieren von DNS-Servern fr WINS-Lookup knnen Sie DNS fr die Abfrage von WINS zur Namensauflsung konfigurieren, so dass DNS-Clients die Namen und IP-Adressen von WINS-Clients ausfindig machen knnen. Um DNS fr die Abfrage von WINS zur Namensauflsung zu konfigurieren, fgen Sie einen WINS-Lookupeintrag der autorisierenden Zone hinzu. Wenn ein DNS-Server, der fr diese Zone autorisierend ist, eine Abfrage nach einem Namen erhlt, berprft er die autorisierende Zone. Wenn der DNS-Server den Namen nicht in der autorisierenden Zone findet, die Zone jedoch einen WINS-Lookupeintrag enthlt, fragt der DNS-Server den WINS-Server ab. Wenn der Name in WINS registriert ist, gibt der WINS-Server den verknpften Eintrag an den DNS-Server zurck. Als Antwort auf die ursprngliche DNS-Abfrage kompiliert der DNS-Server dann den entsprechenden DNSEintrag und gibt ihn zurck. DNS-Clients mssen nicht darber informiert sein, ob ein Client in WINS oder DNS registriert ist. Darber hinaus mssen sie den WINS-Server nicht abfragen. Sie knnen den DNS-Server auch fr WINS-Reverse-Lookups konfigurieren. Reverse-Lookups funktionieren auf geringfgig andere Weise. Wenn ein autorisierender DNS-Server nach einem nicht vorhandenen PTREintrag abgefragt wird und die autorisierende Zone den WINS-R-Eintrag enthlt, verwendet der DNS-Server eine NetBIOS-Knoten-Adapterstatusabfrage. Anmerkung Aus Grnden der Fehlertoleranz knnen Sie mehrere WINS-Server im WINSLookupeintrag angeben. Der Server, auf dem der DNS-Dienst von Windows 2000- oder Windows Server 2003 ausgefhrt wird, durchsucht dann die WINS-Server in der durch die Liste angegebenen Reihenfolge, um den Namen zu finden.

    Konfigurieren von WINS-Verweisen


    Computer, auf denen Drittanbieterimplementierungen von DNS-Servern ausgefhrt werden, untersttzen die Eintrge, die fr WINS-Lookup und WINS-Reverse-Lookup verwendet werden, nicht. Wenn Sie versuchen, eine Kombination aus Microsoft- und Drittanbieter-DNS-Servern zum Hosten einer Zone mit diesen Eintrgen zu verwenden, kann die Zusammenstellung zu Datenfehlern oder fehlgeschlagenen Zonenbertragungen bei den Drittanbieter-DNS-Servern fhren. Wenn Sie diese Kombination einsetzen, knnen Sie mithilfe von WINS-Verweisen eine spezielle WINS-Zone erstellen und delegieren, die DNS-Lookups nach WINS verweist. Diese Zone fhrt weder Registrierungen noch Aktualisierungen aus. Als Nchstes konfigurieren Sie alle DNS-Clients so, dass der WINS-Verweiszonenname an unvollstndige Abfragen angehngt wird. Auf diese Weise kann der Client mithilfe einer DNS-Abfrage gleichzeitig DNS und WINS abfragen. Fr eine vereinfachte Verwaltung knnen Sie DHCP oder Gruppenrichtlinien verwenden, um die Clients fr das Ausfhren der Konfiguration einzurichten. Weitere Informationen zu DHCP finden Sie unter "Deploying DHCP" (englischsprachig). Weitere englischsprachige Informationen zu Gruppenrichtlinien finden Sie unter "Designing a Group Policy Infrastructure" in Designing a Managed Environment in diesem Kit. Anmerkung Die WINS-Zone muss auf einem Windows Server 2003- oder Windows 2000 DNS-Server gehostet und darf nicht an Drittanbieter-DNS-Server repliziert werden. Drittanbieter-DNS-Server untersttzen keine WINS-Ressourceneintrge und knnen die Zone mglicherweise nicht hosten.

    Implementieren von Windows Server 2003 DNS


    Nachdem Sie die Konfiguration im Rahmen eines Pilotprojekts getestet haben, knnen Sie die nderungen auf die Produktionsumgebung anwenden. Abbildung 4.9 zeigt den Implementierungsprozess des Windows Server 2003-DNS.

    Abbildung 4.12

    Implementieren des Windows Server 2003-DNS

    Vorbereiten der Bereitstellung des Windows Server 2003-DNS


    Bereiten Sie die Umgebung fr die Bereitstellung des Windows Server 2003-DNS vor, indem Sie alle wichtigen Daten zuverlssig sichern, an denen nderungen vorgenommen werden sollen. Dazu zhlen auch Server und Zonen. Testen Sie die angefertigten Sicherungskopien, bevor Sie mit der Bereitstellung beginnen. Erstellen Sie zudem einen Wiederherstellungsplan, um auf unvorhersehbare Ereignisse wie Datenverlust, Serverausflle oder einen Ausfall der Netzwerkverbindungen vorbereitet zu sein. Vor der DNS-Bereitstellung mssen Sie sich vergewissern, dass die Routingverbindungen zwischen den Servern ordnungsgem funktionieren, die Sie bereitstellen mchten. Je nach Konfiguration der DNS-Infrastruktur mssen die DNS-Server mglicherweise in der Lage sein, Folgendes abzufragen: Stammserver Weiterleitungen Server, die bergeordnete Zonen hosten Server, die untergeordnete Zonen hosten Server, die Masterzonen hosten Server, die andere Active Directory-integrierte Kopien derselben Zone hosten, wenn ein Active Directory-integrierter Server verwendet wird Server im Internet

    Wenn Sie davon ausgehen, dass Clients Namen im Internet abfragen und wenn Sie die Verwendung eines Proxyservers planen, mssen Sie sicherstellen, dass der Proxyserver einsatzbereit ist. Es kann empfehlenswert sein, DNS als Teil der Active Directory-Installation auf Domnencontrollern zu installieren. In diesem Fall mssen Sie bedenken, dass Sie den Namen des Computers nicht mehr ndern knnen, nachdem Active Directory auf dem Computer installiert wurde.

    Einrichten des DNS-Servers


    Bevor Sie DNS installieren, mssen Sie sicherstellen, dass Ihr Computer richtig benannt wurde und dass Sie andere Computer, die von den DNS-Servern mglicherweise abgefragt werden mssen, im Netzwerk mithilfe von Ping erreichen. Da Clients die DNS-Server ber die IP-Adresse suchen, mssen Sie jedem DNS-Server eine statische IP-Adresse zuweisen. Sie knnen den DNS-Server mit einer der folgenden vier Methoden einrichten: Installieren Sie DNS auf einem Server, und verwenden Sie den Assistenten zum Installieren von Active Directory fr die Installation von Active Directory. Der Assistent zum Installieren von Active Directory erstellt automatisch eine Active Directoryintegrierte Kopie der Forward-Lookupzone, die dem Namen der Active Directory-Domne entspricht, und konfiguriert die Zone fr die sichere dynamische Aktualisierung. Zudem erstellt der Assistent die standardmigen Reverse-Lookupzonen, die in den DNS-RFCs empfohlen werden. In einigen Fllen konfiguriert der Assistent den Server als Stammserver oder initialisiert die Stammhinweise mit den Namen der Stammserver. Sie knnen den Assistenten zum Installieren von Active Directory unter Verwendung einer Antwortdatei starten, Dabei handelt es sich um eine Datei, die Antworten auf alle Fragen enthlt, die vom Assistenten gestellt werden. Weitere englischsprachige Informationen ber die Verwendung der Antwortdatei finden Sie unter "Active Directory Data Storage" im Distributed Services Guide des Windows Server 2003 Resource Kits (oder unter "Active Directory Data Storage" im Web unter http://www.microsoft.com/windows/reskits/default.asp). Vor oder nach der Installation von Active Directory auf dem Server knnen Sie das Dienstprogramm Software verwenden, um den DNS-Serverdienst zu installieren. Danach knnen Sie den Assistenten fr die DNS-Serverkonfiguration zum Konfigurieren der Zonen ausfhren. hnlich wie der Assistent zum Installieren von Active Directory erstellt der Assistent fr die DNS-Serverkonfiguration die

    standardmigen Reverse-Lookupzonen, die in den DNS-RFCs empfohlen werden, und konfiguriert den Server entweder als Stammserver oder initialisiert die Stammhinweise. Sie knnen das Befehlszeilenprogramm Dnscmd.exe zum Konfigurieren des DNS-Servers verwenden. Sie knnen VB Script oder andere Skriptsprachen ber den WMI-Anbieter verwenden, der in Windows Server 2003 enthalten ist.

    Nachdem Sie den DNS-Server eingerichtet haben, mssen Sie die Stammhinweise prfen. Wenn der Server als Stammserver konfiguriert ist und nicht als Stammserver verwendet werden soll, lschen Sie die Stammzone. Weitere englischsprachige Informationen ber diese Optionen sowie Informationen ber die Kriterien, anhand der vom Assistenten zum Installieren von Active Directory und dem Assistenten fr die DNSServerkonfiguration bestimmt wird, ob die Stammhinweise initialisiert werden sollen, finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).

    Einrichten von Zonen


    Wenn Sie DNS mit dem Assistenten zum Installieren von Active Directory installieren, erstellt der Assistent DNS-Zonen, die den von Ihnen angegebenen Active Directory-Domnen entsprechen. Wenn die Zonen noch nicht vorhanden sind, die Sie whrend der Zonenplanungsphase der Bereitstellung angegeben haben, mssen Sie diese jetzt erstellen. Wenn die vom Assistenten erstellte Zone nicht den gewnschten Zonentyp aufweist, ndern Sie diesen jetzt. Beispielsweise mssen Sie mglicherweise eine standardmige primre Zone in eine Active Directoryintegrierte Zone konvertieren. Wenn der Assistent fr die Installation die Zone erstellt, aber nicht die Delegierung hinzufgt, mssen Sie diese jetzt hinzufgen. Fgen Sie fr jede erstellte Zone die entsprechenden Ressourceneintrge hinzu, und aktivieren oder deaktivieren Sie je nach Bedarf dynamische Aktualisierungen oder sichere dynamische Aktualisierungen. Wenn Sie Aktualisierungen an sekundre Server in einer Zone bertragen mchten, konfigurieren Sie DNS benachrichtigen (DNS notify) am primren Server. Weitere Informationen zum Hinzufgen und Entfernen von Zonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003.

    Konfigurieren der Weiterleitung


    Wenn Ihre Server Abfragen an einen anderen Server weiterleiten mssen, konfigurieren Sie Forwarder fr die Server, die Abfragen weiterleiten mssen. Wenn Sie mchten, dass der Server Abfragen an verschiedene Server in Abhngigkeit von dem DNS-Suffix weiterleitet, das in der Abfrage angegeben wurde, konfigurieren Sie die bedingte Weiterleitung entsprechend. Weitere Informationen ber die bedingte Weiterleitung finden Sie unter "Verwenden der Weiterleitung" in diesem Kapitel und unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp, englischsprachig).

    Konfigurieren des DNS-Servers fr dynamische Aktualisierung


    In Abhngigkeit von Ihrer Konfiguration von Server und Zonen sind die Zonen mglicherweise bereits fr dynamische Aktualisierung oder sichere dynamische Aktualisierung konfiguriert. Wenn sie nicht auf die gewnschte Weise konfiguriert sind, nehmen Sie die erforderlichen nderungen vor. Informationen ber das Konfigurieren von dynamischen Aktualisierungen und sicheren dynamischen Aktualisierungen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003.

    Konfigurieren der Alterungs- und Aufrumfunktionen


    Bei dynamischen Aktualisierungen fgt der DNS-Server immer dann Eintrge zur Zone hinzu, wenn ein Computer dem Netzwerk beitritt und in DHCP registriert wird. In manchen Fllen lscht der DNS-Server die Eintrge jedoch nicht automatisch, so dass diese veralten. Veraltete Ressourceneintrge bentigen Speicherplatz auf dem Server. Zudem knnte ein Server einen veralteten Eintrag zum Beantworten einer Abfrage verwenden. Dies fhrt zu Einbuen bei der DNS-Serverleistung. Zur Lsung des Problems kann der DNS-Server von Windows Server 2003 veraltete Eintrge aufrumen, indem die Datenbank nach veralteten Eintrgen durchsucht wird und diese gelscht werden. Sie knnen die Alterungs- und Aufrumfunktionen ber DNS-Manager oder durch Verwendung von Dnscmd.exe konfigurieren. Weitere englischsprachige Informationen ber die Verwendung der Alterungs- und Aufrumfunktionen finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits(oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).

    Konfigurieren der Zonenreplikation


    Wenn Sie dateibasierte primre oder sekundre Zonen verwenden, konfigurieren Sie fr jede Zone einen Masterserver, um Zonenbertragungen an jeden sekundren Server fr eine Zone zu ermglichen. Konfigurieren Sie dann jeden sekundren Server der Zone mit einer Liste mit Masterservern fr diese Zone. Wenn Sie die Active Directory-Replikation in einer Windows Server 2003-Domne verwenden, konfigurieren Sie den Zonenreplikationsbereich. Wenn Sie Anwendungsverzeichnispartitionen verwenden, mssen Sie zum Konfigurieren des Zonenreplikationsbereichs ber Organisationsadministrator-Berechtigungen verfgen. Sie mssen auch ber Organisationsadministrator-Berechtigungen verfgen, wenn die standardmigen Anwendungsverzeichnispartitionen nicht in Active Directory verfgbar sind und diese vom DNS-Server nicht automatisch erstellt werden. Weitere Informationen ber Themen wie DNS-Zonenspeicherung und -replizierung in Active Directory oder das Auflisten eines DNS-Servers in einer DNS-Anwendungsverzeichnispartition, Entfernen eines DNS-Servers aus einer DNS-Anwendungsverzeichnispartition oder ndern des Zonenreplizierungsbereichs finden Sie im Hilfeund Supportcenter von Windows Server 2003.

    berprfen der korrekten Funktionsweise des DNS-Servers


    Nachdem Sie die DNS-Server installiert und konfiguriert haben, berprfen Sie deren korrekte Funktionsweise. Verwenden Sie die berwachungsfunktionen des DNS-MMC-Snap-Ins, z. B. die Tests mit einfachen und rekursiven Abfragen. Sie knnen auch die Ereignisprotokolldatei oder die Debugprotokolldatei untersuchen oder das Befehlszeilenprogramm Nslookup verwenden, um Abfragen durchzufhren. Um auf die berwachungsfunktionen des DNS-MMC-Snap-Ins zuzugreifen, klicken Sie auf der Registerkarte fr die berwachung im Men Aktion auf Eigenschaften. Weitere englischsprachige Informationen ber das berprfen der DNS-Servervorgnge finden Sie unter "DNS Troubleshooting" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "DNS Troubleshooting" im Web unter http://www.microsoft.com/windows/reskits/default.asp).

    Einrichten von DNS-Clients


    Richten Sie jeden DNS-Client mit den folgenden Angaben ein: Hostname und DNS-Suffix Bevorzugte und alternative DNS-Server Optional eine Proxy-Autokonfigurationsdatei oder Namensausschlussliste (bei einem Proxyclient)

    Sie knnen eine der folgenden Methoden zum Einrichten der DNS-Clients verwenden: Verwenden Sie die TCP/IP-Einstellungen des Clients. Verwenden Sie Gruppenrichtlinien zum Konfigurieren von Clientgruppen. Verwenden Sie den DHCP-Serverdienst zum automatischen Konfigurieren von einigen Clienteinstellungen.

    Weitere Informationen zum Installieren und Konfigurieren von DNS-Clients finden Sie im Hilfe- und Supportcenter fr Windows Server 2003.

    Verwenden von Befehlszeilenprogrammen zum Bereitstellen von DNS


    Sie knnen das Befehlszeilenprogramm Dnscmd.exe verwenden, um die meisten Aufgaben auszufhren, die Sie ber das DNS-MMC-Snap-In ausfhren knnen. Mit Dnscmd.exe knnen Sie Zonen und Eintrge erstellen, lschen und anzeigen sowie Server- und Zoneneigenschaften zurcksetzen. Sie knnen auch routinemige Verwaltungsvorgnge ausfhren, beispielsweise das Erstellen und Aktualisieren von Zonen, das erneute Laden der Zone, das Aktualisieren der Zone und Zurckschreiben der Zone in eine Datei oder in Active Directory, Anhalten und Fortsetzen der Zone, Leeren des Zwischenspeichers, Hinzufgen von Eintrgen zu Stammhinweisen, Beenden und Starten des DNS-Dienstes und Anzeigen von Statistiken. Sie knnen Dnscmd.exe auch zum Erstellen von Batchdateiskripts oder fr die Remoteverwaltung verwenden. Weitere Informationen ber Dnscmd.exe erhalten Sie, wenn Sie im Hilfe- und Supportcenter zuerst auf Tools und dann auf Windows-Supporttools klicken. Informationen ber das Installieren und Verwenden der Windows Server 2003-Supporttools und der zugehrigen Hilfe finden Sie in der Datei Sreadme.doc, die sich auf der Windows Server 2003-Betriebssystem-CD im Ordner \Support\Tools befindet. Sie knnen mit Nslookup.exe Abfragetests fr den DNS-Domnennamespace ausfhren und Diagnoseinformationen anzeigen.

    Weitere Ressourcen
    Diese Ressourcen enthalten zustzliche Informationen und Tools fr die in diesem Kapitel angesprochenen Themen. Verwandte Informationen in den Resource Kits "Windows Server 2003-DNS" im Networking Guide des Windows Server 2003 Resource Kits enthlt Informationen ber den DNS-Serverdienst. "Configuring IP Addressing and Name Resolution" in Administering Microsoft Windows XP Professional enthlt Informationen ber den DNS-Client. Verwandte englischsprachige Informationen auerhalb der Resource Kits RFC 1035: "Domain Names Implementation and Specification" DNS und BIND, 3. Ausg., von Paul Albitz und Cricket Liu, , Kln: O'Reilly Verlag 2001enthlt weitere Informationen zu DNS. Microsoft Windows 2000 TCP/IP Protokolle und Dienste, von Thomas Lee und Joseph Davies, Unterschleiheim: Microsoft Press Deutschland 2000 enthlt weitere Informationen ber das DNSProtokoll.

    Die Verknpfung Internet Engineering Task Force (IETF) auf der Seite Web Resources unter http://www.microsoft.com/windows/reskits/webresources/ (englischsprachig) ermglicht den Zugriff auf weitere Informationen ber RFCs (Request for Comments) und IETF-Internetdrafts. Verwandte Tools Informationen ber das Installieren und Verwenden der Windows Server 2003-Supporttools und der zugehrigen Hilfe finden Sie in der Datei Sreadme.doc, die sich auf der Windows Server 2003-Betriebssystem-CD im Ordner \Support\Tools befindet. Active Directory Sizer Active Directory Sizer ermglicht es Ihnen, die fr das Bereitstellen von Active Directory erforderliche Hardware einzuschtzen, wobei das Organisationsprofil, Domneninformationen und Sitetopologie als Kriterien herangezogen werden. Netdiag.exe Netdiag.exe untersttzt Sie beim Isolieren von Netzwerk- und Konnektivittsproblemen. Hierzu wird eine Reihe von Tests durchgefhrt, mit denen der Status des Netzwerkclients und dessen Funktionalitt berprft wird. Dnscmd.exe Sie knnen das Befehlszeilenprogramm Dnscmd.exe verwenden, um die meisten Aufgaben auszufhren, die ber das DNS-MMC-Snap-In vorgenommen werden knnen. Nslookup.exe Mit Nslookup knnen Sie Abfragetests des DNS-Domnennamespaces ausfhren und Probleme mit Nameservern diagnostizieren.

    Beta-Disclaimer
    Diese Dokumentation ist eine Vorversion der Dokumentation, die bis zur endgltigen Handelsausgabe wesentlichen nderungen unterzogen werden kann, und stellt vertrauliche Informationen im Besitz der Microsoft Corporation dar. Sie wird in bereinstimmung mit den Bestimmungen einer Geheimhaltungsvereinbarung zwischen dem Empfnger und Microsoft zur Verfgung gestellt. Dieses Dokument dient nur zu Informationszwecken. Microsoft schliet fr dieses Dokument jede Gewhrleistung aus, sei sie ausdrcklich oder konkludent. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschlielich URLs und anderen Verweisen auf Internetwebsites, knnen ohne vorherige Ankndigung gendert werden. Das vollstndige Risiko der Nutzung oder der Ergebnisse der Nutzung dieses Dokuments liegt beim Benutzer. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden, sofern nichts anderes angegeben ist. Jede hnlichkeit mit tatschlichen Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufllig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhngig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrckliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments fr irgendwelche Zwecke vervielfltigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhngig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Es ist mglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrcklich in den schriftlichen Lizenzvertrgen von Microsoft eingerumt. 2002 Microsoft Corporation. Alle Rechte vorbehalten. Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Lndern. Die in diesem Dokument aufgefhrten Namen bestehender Firmen und Produkte sind mglicherweise Marken der jeweiligen Eigentmer. Vielen Dank fr das Prfen der Dokumentation, die vom Windows Resource Kits-Team entwickelt wurde. Wenn Sie Feedback zur Relevanz, Ntzlichkeit oder Vollstndigkeit des Inhalts senden mchten, schreiben Sie bitte an die Adresse docbeta@microsoft.com. Bitte geben Sie die Kapitelberschrift in der Betreffzeile Ihrer EMail an. Geben Sie auerdem die relevanten Zeilennummern bei Ihren Kommentaren an. Sie knnen uns Ihre Kommentare auch als Anhang senden. 1985-2002 Microsoft Corporation. Alle Rechte vorbehalten.

    Das könnte Ihnen auch gefallen