Beruflich Dokumente
Kultur Dokumente
(Engl. Originaltitel: Deploying DNS) Bereitstellen von DNS Das Domain Name System (DNS) von Microsoft Windows Server 2003 bietet Funktionen zur effizienten Namensauflsung, Untersttzung fr Active Directory-Verzeichnisdienste und Zusammenarbeit mit anderen Standardtechnologien. Durch die Bereitstellung von DNS in Ihrer Client-/Serverinfrastruktur knnen Ressourcen in einem TCP/IP-Netzwerk andere Ressourcen im Netzwerk durch die Auflsung von Hostnamen in IPAdressen oder von IP-Adressen in Hostnamen ausfindig machen.
DNS-Bereitstellungsprozess
Fr das Bereitstellen von DNS mssen Sie die DNS-Infrastruktur planen und entwerfen, wozu DNS-Namespace, -Serverplatzierung, -Zonen und -Clientkonfiguration zhlen. Zudem mssen Sie die Integrationsstufe mit Active Directory planen und Ihre Sicherheits-, Skalierbarkeits- und Leistunganforderungen ermitteln, bevor Sie die DNS-Lsung in der Produktionsumgebung implementieren. Abbildung 4.1 zeigt den DNSBereitstellungsprozess.
Abbildung 4.1
DNS-Bereitstellungsprozess
DNS-Konzepte
Das Microsoft Windows Server 2003-DNS arbeitet mit vielen Betriebssystemen zusammen. Zudem verwendet DNS eine verteilte Datenbank fr die Implementierung eines hierarchischen Namensystems. Mit diesem
Namensystem kann eine Organisation ihre Prsenz im Internet erweitern und die Erstellung von Namen ermglichen, die sowohl im Internet als auch in internen TCP/IP-basierten Intranets eindeutig sind. Aufgrund seiner verteilten, hierarchischen Struktur wird DNS weltweit fr den Internetnamespace verwendet. Mithilfe von DNS kann jeder Computer im Internet den Namen eines anderen Computers im Internetnamespace ermitteln. Computer unter Windows Server 2003 und Windows 2000 verwenden DNS auch fr die Suche nach Domnencontrollern.
Active Directory Sizer liefert auch Schtzungen fr Folgendes: Bentigter Speicher Nutzung der Netzwerkbandbreite Gre der Domnendatenbank Gre der Datenbank des Globalen Katalogservers Erforderliche Bandbreite fr die Replikation zwischen Standorten
Netdiag Das Tool Netdiag untersttzt Sie beim Erkennen von Netzwerk- und Verbindungsproblemen. Netdiag fhrt eine Reihe von Tests aus, mit denen Sie den Zustand des Netzwerkclients bestimmen knnen. Weitere Informationen ber Netdiag finden Sie unter "Supporttools" im Hilfe- und Supportcenter fr Windows Server 2003. Dnscmd.exe Mit dem Befehlszeilenprogramm Dnscmd.exe knnen Sie die meisten Aufgaben ausfhren, die ber das DNSMMC-Snap-In (Microsoft Management Console) vorgenommen werden knnen.
Masternamensserver. Ein Server, der die Zonendatei mit Ressourceneintrgen anderen (sekundren) Nameservern zur Verfgung stellt. Wenn ein Masternamensserver ein sekundrer Nameserver ist, muss er Ressourceneintrge fr die Zone von einem anderen Masternamensserver whrend einer Zonenbertragung erhalten. Primrer Nameserver. Ein Server, der fr die Namensauflsung in der Zone verantwortlich ist, fr die er Autoritt besitzt. Ein primrer Nameserver weist eine beschreibbare DNS-Masterdatenbank mit Ressourceneintrgen auf. DNS-Masterdatenbankeintrge sind in einer lokalen Zonendatei enthalten. Sekundrer Nameserver. Ein Server, der Ressourceneintrge fr eine Zone von einem Masternamensserver bei einer Zonenbertragung erhalten muss. Ein sekundrer Nameserver besitzt keine beschreibbare Zonendatei. Wenn ein sekundrer Nameserver ein Masternamensserver ist, verfgt er ber die Autoritt zur Namensauflsung fr eine Zone, muss aber Ressourceneintrge von einem anderen Masternamensserver erhalten. Wenn ein sekundrer Nameserver kein Masternamensserver ist, kann er fr Redundanz und Lastenausgleich verwendet werden. Ressourceneintrag (Resource Record oder RR). Eine standardmige DNS-Datenbankstruktur mit Informationen zum Verarbeiten von DNS-Abfragen. Beispielsweise enthlt ein A-Ressourceneintrge (fr Adressen) eine IP-Adresse, die einem Hostnamen entspricht. Die meisten grundlegenden RRTypen werden in RFC 1035, "Domain Names Implementation and Specification", definiert, aber zustzliche RR-Typen werden in anderen RFCs definiert und fr den Einsatz mit DNS genehmigt. Stubzone. Eine Teilkopie einer Zone, die von einem DNS-Server gehostet und zum Auflsen von rekursiven oder iterativen Abfragen genutzt werden kann. Stubzonen enthalten die SOARessourceneintrge (Start of Authority oder Autorittsursprung), die DNS-Ressourceneintrge, in denen die autorisierenden Server der Zone aufgelistet werden, sowie die "Glue A"-Ressourceneintrge (Adresse), die fr die Verbindung mit den autorisierenden Servern der Zone erforderlich sind. Zone. Ein zusammengehriger Bereich des DNS-Baums in einer DNS-Datenbank, der als einzelne separate Entitt von einem DNS-Server verwaltet wird. Die Zone enthlt Ressourceneintrge fr alle Namen innerhalb der Zone. Zonendatei. Eine Datei, die aus den Ressourceneintrgen der DNS-Datenbank besteht, welche die Zone definieren. Jeder primre oder sekundre Nameserver enthlt eine Zonendatei, die allerdings nur auf dem primren Nameserver gendert werden kann. Zonenbertragung. Der Prozess, bei dem der Inhalt der Zonendatei, die sich auf einem primren Nameserver befindet, auf einen sekundren Nameserver verschoben wird. Die Zonenbertragung ermglicht Fehlertoleranz durch Synchronisierung der Zonendatei auf einem primren Nameserver mit der Zonendatei auf einem sekundren Nameserver. Der sekundre Nameserver kann die Namensauflsung bei einem Ausfall des primren Nameserver weiterhin ausfhren. Die Zonenbertragung ermglicht zudem Lastenausgleich, indem die Netzwerklast zwischen primrem und sekundrem Nameserver in Phasen mit zahlreichen Namensauflsungsanfragen aufgeteilt wird.
Abbildung 4.2
Wenn Ihr Netzwerk momentan mit dem Internet verbunden ist oder knftig verbunden sein wird, mssen Sie den Registrierungsstatus Ihrer IP-Adressen bestimmen. Ihre Netzwerk-IP-Adressen werden von anderen Computern im Internet verwendet, um Ressourcen in Ihrem Netzwerk ausfindig zu machen. Wenn Sie bereits mit dem Internet verbunden sind, ist Ihr Netzwerk ein Teilnetz des Netzwerks Ihres Internetdienstanbieters. Vergewissern Sie sich, dass Ihr Internetdienstanbieter (Internet Service Provider oder ISP) die IP-Adressen dieses Teilnetzes bei einer Internetregistrierungsstelle registriert hat. Wenn Ihr Internetdienstanbieter die Netzwerk-IP-Adressen registriert hat, mssen Sie diese nicht selbst registrieren.
Wenn Sie das DNS von Windows Server 2003 in eine DNS-Infrastruktur eines Drittanbieters migrieren oder integrieren, mssen Sie den in der DNS-Infrastruktur verwendeten Namespaceentwurf nicht ndern. Bei der Bereitstellung einer neuen Infrastruktur des Windows Server 2003-DNS mssen Sie eine Strategie zum Benennen von DNS-Domnen und Computernamen entwerfen und einen Plan fr die Auflsung dieser Namen innerhalb des Netzwerks und im Internet erarbeiten. Wenn Sie das DNS von Windows Server 2003 fr die Untersttzung von Active Directory bereitstellen, mssen Sie die Active Directory-Gesamtstruktur und den Active Directory-Domnennamen in die DNS-Infrastrukur integrieren. Sie knnen beispielsweise den vorhandenen DNS-Namespaceentwurf so ndern, dass Netzwerkressourcen untersttzt werden, welche die spezifischen Namen von Active DirectoryDomnencontrollern, -OUs (Organizational Units oder Organisationseinheiten), -Standorten und -Subnetzen ausfindig machen mssen. Anmerkung Sie mssen den DNS-Namespace in bereinstimmung mit den Planungen der logischen Struktur von Active Directory entwerfen. Weitere englischsprachige Informationen zum Entwerfen der logischen Struktur von Active Directory finden Sie unter "Designing the Logical Structure" in Designing and Deploying Directory and Security Services. Tabelle 4.1 fasst die Entwurfsanforderungen an DNS-Namespaces fr alle mglichen Szenarien zusammen. Tabelle 4.1 Anforderungen an DNS-Namespaceentwrfe Szenarien Sie aktualisieren eine vorhandene DNS-Infrastruktur von einer frheren Version von Windows als Windows Server 2003. Sie aktualisieren von einer DNS-Infrastruktur eines Drittanbieters, die auf DNS-Software beruht, bei der die standardisierten Richtlinien fr DNS-Domnennamen bercksichtigt werden. Ihre vorhandene DNS-Software entspricht nicht den standardisierten Richtlinien fr DNS-Domnennamen. Entwurfsanforderungen Der DNS-Namespaceentwurf kann beibehalten werden.
Passen Sie den vorhandenen DNS-Namespaceentwurf in bereinstimmung mit den Richtlinien fr DNSDomnennamen an, bevor Sie einen Namespace des Windows Server 2003-DNS bereitstellen. Die vorhandene DNS-Software des Drittanbieters Integrieren Sie das DNS von Windows Server 2003 in erfllt die standardisierten Richtlinien fr DNSdie aktuelle DNS-Infrastruktur. Sie mssen weder den Domnennamen. Namespaceentwurf der DNS-Infrastruktur des Drittanbieters noch den vorhandenen Namespace ndern. Sie stellen eine neue Infrastruktur des Windows Entwerfen Sie eine logische Namenskonvention fr den Server 2003-DNS bereit. DNS-Namespace, die auf den Namenskonventionen fr DNS-Domnen beruht. Sie stellen das DNS von Windows Server 2003 fr die Erstellen Sie einen DNS-Namespaceentwurf, der auf Untersttzung von Active Directory bereit. der Active Directory-Namenskonvention beruht. Sie ndern den vorhandenen DNS-Namespace fr die Vergewissern Sie sich, dass die Active DirectoryUntersttzung von Active Directory, mchten aber den Domnennamen mit den vorhandenen DNS-Namen DNS-Namespace nicht neu entwerfen. bereinstimmen. Auf diese Weise knnen Sie die hchste Sicherheitsstufe bereitstellen und mssen hierzu nur einfache Verwaltungstechniken verwenden.
Es knnen unterschiedliche Namen fr die internen und externen Domnen verwendet werden. Derselbe Name kann fr die interne und die externe Domne verwendet werden, wobei ein privater Namespace fr die Organisation verwendet wird. Diese Methode wird nicht empfohlen. Sie verursacht Probleme bei der Namensauflsung aufgrund der Einfhrung von nicht eindeutigen DNS-Namen.
Whlen Sie die Entwurfsoption fr die Konfiguration aus, die den Anforderungen Ihrer Organisation am besten entspricht. Tabelle 4.2 listet die Entwurfsoptionen fr das Bereitstellen eines gemischten internen und externen Namespaces und die Komplexittsstufe bei der Verwaltung fr die einzelnen Optionen auf. Zudem wird jede Option mit einem Beispiel veranschaulicht. Tabelle 4.2 Entwurfsoptionen fr gemischten internen und externen DNS-Namespace Entwurfsoption Die interne Domne ist eine untergeordnete Domne der externen Domne. Verwaltungskomplexitt Beispiel Diese Konfiguration kann Eine Organisation mit dem Domnennamen einfach bereitgestellt und contoso.com fr die externe Domne verwaltet werden. verwendet den Domnennamen corp.contoso.com fr die interne Domne. Die Namen der internen und externen Diese Konfiguration kann Eine Organisation verwendet contoso.com Domnen stehen nicht in Beziehung mit gewissen fr den Domnennamen des externen zueinander. Schwierigkeiten Namespaces und contoso01-int.com fr den bereitgestellt und Domnennamen des internen Namespaces. verwaltet werden. Der interne Domnenname stimmt mit Diese Konfiguration kann Eine Organisation verwendet den dem externen Domnennamen berein. nur mit groen Domnennamen contoso.com fr den Die Organisation verfgt jedoch ber Schwierigkeiten Domnennamen des privaten internen einen privaten Namespace. bereitgestellt und Namespaces und den Domnennamen des verwaltet werden. Diese ffentlichen externen Namespaces. Option wird nicht empfohlen.
Sie knnen die interne untergeordnete Domne als bergeordnete Domne fr zustzliche untergeordnete Domnen verwenden, die Sie zum Verwalten der Abteilungen in Ihrem Unternehmen erstellen. Untergeordnete Domnen verfgen ber DNS-Namen, die dem DNS-Domnennamen der bergeordneten Domne unmittelbar untergeordnet sind. Wenn beispielsweise eine untergeordnete Domne fr die Abteilung Personalwesen zum Namespace us.corp.contoso.com hinzugefgt wird, knnte fr diesen Namespace hr.us.corp.constoso.com verwendet werden. Wenn Sie diese Konfigurationsoption fr die interne Domne verwenden, mssen Sie die Computer, die Sie fr den Zugriff ber das Internet freigeben mchten, in Ihrer externen Domne auerhalb der Firewall bereitstellen. Die Computer, die Sie nicht fr den Zugriff ber das Internet freigeben mchten, stellen Sie hingegen in der untergeordneten Domne bereit, die als interne Domne eingerichtet ist.
Wenn Sie die interne Domne nicht als untergeordnete Domne der externen Domne konfigurieren knnen, verwenden Sie eine eigenstndige interne Domne. Auf diese Weise besteht kein Zusammenhang zwischen den internen und externen Domnennamen. Eine Organisation mit dem Domnennamen contoso.com fr den externen Namespace verwendet beispielsweise den Namen contoso01-int.com fr den internen Namespace. Der Vorteil dieses Ansatzes besteht darin, dass Sie einen eindeutigen internen Domnennamen erhalten. Der Nachteil ist hingegen, dass Sie zwei separate Namespaces verwalten mssen. Darber hinaus kann die Verwendung einer eigenstndigen internen Domne, die nicht in Beziehung zur externen Domne steht, zu Verwirrung bei Benutzern fhren, da die Namespaces keinen Bezug zwischen den Ressourcen innerhalb und auerhalb des Netzwerks widerspiegeln. Zudem mssen Sie zwei DNS-Namen bei einer Internetnamensstelle registrieren.
Die von Ihnen gewhlte Methode richtet sich nach den Softwareproxyfunktionen des Clients. Tabelle 4.3 listet die mglichen Methoden auf, die Sie ausfhren knnen, um die Verwendung desselben Domnennamens fr den internen und externen Namespace zu ermglichen. Zudem werden die Proxyfunktionen der Clientsoftware angegeben, die bei jeder Methode verfgbar sind.
Tabelle 4.3 Methoden fr die Verwendung desselben Namens fr interne und externe Namespaces und kompatible Proxyfunktionen Methode Proxyfunktion der Software Kein Proxy Lokale NamensProxy-AutoAdresstabelle (Local ausschlusskonfigurationsAddress Table oder liste datei LAT)
Verwenden unterschiedlicher Domnennamen Kopieren der Zonendaten vom externen zum internen DNS-Server Duplizieren der gesamten ffentlichen DNSZonendaten und aller ffentlichen Server in das interne Netzwerk Verwalten der Liste mit ffentlichen Servern in den PAC-Dateien auf den DNS-Clients.
Wenn die Computer im Netzwerk nicht auf Ressourcen auerhalb des DNS-Namespaces zugreifen mssen, knnen Sie einen internen DNS-Stamm bereitstellen und verwalten. Wenn die Computer hingegen auf Ressourcen auerhalb des DNS-Namespaces zugreifen mssen, knnten Sie u. U. keinen internen Stamm fr die Namensauflsung verwenden, je nach den Proxyfunktionen der Computer im Netzwerk. Wenn die Namensauflsung von Computern bentigt wird, die keinen Proxy untersttzen, oder von Computern, die nur LATs untersttzen, knnen Sie keinen internen Stamm fr den DNS-Namespace verwenden. In diesem Fall mssen Sie einen oder mehrere interne DNS-Server fr das Weiterleiten von Abfragen an das Internet konfigurieren, die nicht lokal aufgelst werden knnen. Tabelle 4.4 listet die Typen von Clientproxyfunktionen auf und gibt an, ob Sie einen internen DNS-Stamm fr jeden Typ verwenden knnen. Tabelle 4.4 Clientproxyfunktionen Proxyfunktion Microsoft-Software mit entsprechenden Proxyfunktionen Weiterleiten von Abfragen Ist die Verwendung eines internen Stammes mglich?
Kein Proxy Allgemeines Telnet Lokale Adresstabelle (LAT) Winsock-Proxy (WSP) 1.x oder hher Internet Security and Acceleration (ISA) Server 2000 oder hher WSP 1.x oder hher
Namensausschlussliste
ProxyAutokonfigurationsdatei (PAC)
Internet Security and Acceleration (ISA) Server 2000 oder hher und alle Versionen von Microsoft Internet Explorer WSP 2.x Internet Security and Acceleration (ISA) Server 2000 oder hher Internet Explorer 3.01 oder hher
jeweils anderen Namespaces zu hosten. In dieser Konfiguration liegen den DNS-Servern, welche die DNS-Zonen der obersten Ebene in jedem Namespace hosten, Informationen ber die DNS-Server im anderen Namespace vor. Diese Lsung erfordert erhhten Speicherplatz fr das Hosten von sekundren Kopien der Domnen der obersten Ebene in verschiedenen Namespaces und erzeugt erhhten Zonenbertragungsverkehr. Sie knnen Stubzonen des Windows Server 2003-DNS verwenden, um die DNS-Datenverteilung zwischen separaten Namespaces zu erleichtern. Die Verwendung von Stubzonen ist jedoch weniger effizient als die Verwendung der bedingten Weiterleitung von Windows Server 2003. Weitere Information ber bedingte Weiterleitungen und Stubzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003 und unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp (beide englischsprachig).
Integrieren einer DNS-Infrastruktur von Windows Server 2003 in einen vorhandenen DNS-Namespace
Das DNS von Windows Server 2003 ist mit den relevanten Standards kompatibel und kann mit anderen Implementierungen von DNS zusammenarbeiten, einschlielich Windows NT 4.0, BIND 9.1.0, BIND 8.2, BIND 8.1.2 und BIND 4.9.7. Die Komplexitt des Integrationsprozesses hngt teilweise von den DNSFunktionen ab, die Sie untersttzen mssen. Wenn auf den Computern in der DNS-Infrastruktur Versionen von DNS ausgefhrt werden, die dieselben Funktionen untersttzen, ist die Integration der DNS-Infrastruktur von Windows Server 2003 ein einfacher Prozess. Wenn auf den Computern in der DNS-Infrastruktur Versionen von DNS ausgefhrt werden, die nicht dieselben DNS-Funktionen untersttzen, wird der Integrationsprozess komplexer. Tabelle 4.5 vergleicht die Funktionsuntersttzung im DNS von Windows Server 2003 mit anderen Implementierungen von DNS. Tabelle 4.5 Funktionsuntersttzung in verschiedenen Implementierungen von DNS Windows Windows Windows 2000 NT 4.0 Server 2003 BIND 9 BIND 8.2 BIND 8.1.2 BIND 4.9.7
Funktion Untersttzt den IETFInternetdraft (Internet Engineering Task Force), "A DNS RR for specifying the location of services (DNS SRV)." (SRVEintrge) Dynamische Aktualisierung Sichere dynamische Aktualisierung basierend auf dem GSS-TSIGAlgorithmus (Transaction Signature oder Transaktionssignatur) WINS- und WINS-REintrge Schnelle Zonenbertragung Inkrementelle Zonenbertragung UTF-8-Zeichencodierung DNS-Snap-In MMC Dnscmd.exe
Funktion Active Directoryintegrierte Zonen Speicherung von Zonen in der Anwendungspartition von Active Directory Ablaufzeit und Aufrumvorgnge bei veralteten Eintrgen Stubzonen Bedingte Weiterleitung Erweiterungsmechanismus fr DNS (EDNS0)
Windows NT 4.0
Wenn Sie ber Entitten in der Organisation verfgen, die zurzeit eigene Netzwerkressourcen verwalten, mssen Sie bestimmen, ob diese die Autoritt fr ihren Teil des DNS-Namespaces besitzen mssen. Wenn dies der Fall ist, delegieren Sie die Autoritt fr diese untergeordnete Domne.
Zudem mssen Sie ermitteln, ob Sie NetBIOS-Namen in Ihrer Organisation untersttzen mssen.
Wenn Sie eine neue DNS-Infrastruktur mit Windows Server 2003 bereitstellen, die mit dem Internet verbunden ist, mssen Sie einen Internet-DNS-Domnennamen fr Ihre Organisation erstellen. Da allen Knoten im Netzwerk, fr die Namensauflsung erforderlich ist, ein DNS-Name zugewiesen ist, der den Internet-DNSDomnennamen fr die Organisation enthlt, sollten Sie einen kurzen und einprgsamen Internet-DNSDomnennamen auswhlen. Weil DNS hierarchisch ist, werden die DNS-Domnennamen lnger, wenn Sie Ihrer Organisation untergeordnete Domnen hinzufgen. Kurze Domnennamen ermglichen einprgsame Computernamen, die den Zugriff auf Ressourcen erleichtern. Ein mit dem Internet verbundener DNS-Namespace muss eine untergeordnete Domne einer Domne der obersten Ebene oder der zweitobersten Ebene des Internet-DNS-Namespaces sein. Wenn Sie einen neuen DNSNamespace von Windows Server 2003 bereitstellen, mssen Sie eine Internet-DNS-Domne der obersten Ebene auswhlen, in welcher der Internet-DNS-Domnenname registriert wird. Sie knnen beispielsweise die Domne als untergeordnete Domne von .com, .org oder .net registrieren, oder als untergeordnete Domne des Domnennamens, der Ihrem Land oder Ihrer Region zugewiesen wurde, wie beispielsweise .au (Australien), .fr (Frankreich) oder .ca (Kanada). Wenn Sie den Internet-DNS-Domnennamen ausgewhlt und die Domne der obersten Ebene festgelegt haben, von der Ihre DNS-Domne eine untergeordnete Domne ist, fhren Sie zum Registrieren des DNSDomnennamens die folgenden Schritte durch: 1. Durchsuchen Sie das Internet, um zu berprfen, ob der von Ihnen fr die Organisation ausgewhlte DNS-Domnenname nicht von einer anderen Organisation registriert wurde. Wenn sich der von Ihnen ausgewhlte DNS-Domnenname im Eigentum einer anderen Organisation befindet, knnen Sie entweder einen anderen DNS-Domnennamen auswhlen oder versuchen, den Namen von dieser Organisation zu kaufen. Konfigurieren Sie mindestens einen autorisierenden DNS-Server zum Hosten der DNS-Zone fr den Domnennamen. Dieser DNS-Server knnte sich in Ihrem Netzwerk oder im Netzwerk Ihres Internetdienstanbieters befinden.
2.
Registrieren Sie den DNS-Domnennamen bei einer Internetregistrierungsstelle, und stellen Sie der Registrierungsstelle den DNS-Namen und die IP-Adresse von mindestens einem DNS-Server zur Verfgung, der fr Ihren DNS-Domnennamen autorisierend ist. Eine englischsprachige Liste von Internetregistrierungsstellen finden Sie unter der Verknpfung "I-CANN-Accredited Registrars" auf der Seite Web Resources unter http://www.microsoft.com/windows/reskits/webresources/. Der Registrierungsprozess von Internetdomnennamen variiert je nach Entwurf des DNS-Namespaces. Tabelle 4.6 listet die Domnennamen auf, die Sie fr jeden Typ von DNS-Namespaceentwrfen registrieren mssen.
Tabelle 4.6 Registrierung von Internet-DNS-Domnennamen Namespaceentwurf Domnennamenregistrierung Beispiel Der interne Domnenname ist eine Registrieren Sie nur den Der Domnenname contoso.com wird fr untergeordnete Domne der externen externen Domnennamen. den externen Namespace verwendet. Domne. Der Domnenname corp.contoso.com wird fr den internen Namespace verwendet. Die Namen der internen und externen Registrieren Sie sowohl den Der Domnenname contoso.com wird fr Domnen stehen nicht in Bezug internen als auch den externen den externen Namespace verwendet. zueinander. Domnennamen. Der Domnenname contoso01-int.com wird fr den internen Namespace verwendet. Der interne Domnenname stimmt Registrieren Sie den Der Domnenname contoso.com wird mit dem externen Domnennamen internen/externen sowohl fr den internen als auch den berein. Die Organisation verfgt Domnennamen. externen Namespace verwendet. jedoch ber einen privaten Namespace. Wenn Sie den DNS-Domnennamen registrieren, erstellt die Internetregistrierungsstelle eine Delegierung in der DNS-Zone, die fr die von Ihnen ausgewhlte Domne der obersten Ebene autorisierend ist. Dabei handelt es sich um die Domne der obersten Ebene fr die DNS-Server, die fr den Internet-DNS-Domnennamen Ihrer Organisation autorisierend sind. Anmerkung Wenn ein Domnenname, den Sie registrieren mchten, nicht in einer Domne der obersten Ebene wie .com verfgbar ist, drfen Sie denselben Domnennamen nicht in einer anderen Domne der obersten Ebene wie .net registrieren. Benutzer, die nach Ihrem Domnennamen suchen, knnten sonst davon ausgehen, dass die Computer und Dienste in der anderen Domne der obersten Ebene zu Ihrem Unternehmen gehren.
Verwenden Sie keine Namen von Unternehmenseinheiten oder Abteilungen als Domnennamen. Unternehmenseinheiten und andere Abteilungen ndern sich in regelmigen Abstnden, und die Domnennamen sind dann nicht mehr aktuell oder irrefhrend. Verwenden Sie keine geografischen Namen mit komplizierter Schreibweise, die sich die Benutzer nicht einprgen knnen. Vermeiden Sie es, die DNS-Domnennamenhierarchie ber mehr als fnf Ebenen von der internen oder Internetstammdomne auszudehnen. Wenn Sie das Ausma der Domnennamenhierarchie begrenzen, werden die Verwaltungskosten verringert.
Wenn Sie DNS in einem privaten Netzwerk bereitstellen und das Erstellen eines externen Namespaces nicht planen, wird empfohlen, dass Sie den DNS-Domnennamen registrieren, den Sie fr die interne Domne erstellen. Wenn Sie den Namen nicht registrieren und spter versuchen, ihn im Internet zu verwenden oder eine Verbindung mit einem Netzwerk herzustellen, das mit dem Internet verbunden ist, knnten Sie mglicherweise feststellen, dass der Name nicht verfgbar ist.
Erstellen von Computernamen in einer neuen DNS-Infrastruktur von Windows Server 2003
Verwenden Sie die folgenden Richtlinien, wenn Sie Namen fr die DNS-Computer in der neuen DNSInfrastruktur von Windows Server 2003 gestalten: Whlen Sie fr Benutzer leicht einprgsame Computernamen aus. Kennzeichnen Sie den Eigentmer eines Computers im Computernamen. Beispielsweise gibt john-doe1 an, dass John Doe den Computer verwendet. Whlen Sie Namen aus, die den Zweck des Computers beschreiben. Beispielsweise gibt ein Dateiserver mit der Bezeichnung past-accounts-1 an, dass der Dateiserver Daten zu frheren Konten speichert. Unterscheiden Sie nicht zwischen Gro- und Kleinschreibung, wenn Sie den Eigentmer oder Zweck eines Computers bezeichnen. DNS untersttzt keine Gro-/Kleinschreibung. Verwenden Sie den Active Directory-Domnennamen fr das primre DNS-Suffix des Computernamens. Wenn ein Computer nicht mit einer Domne verbunden ist, verwenden Sie einen registrierten Internetdomnennamen oder eine Ableitung eines registrierten Internetdomnennamens als primres DNS-Suffix. Verwenden Sie eindeutige Namen fr alle Computer in Ihrer Organisation. Weisen Sie denselben Computernamen nicht verschiedenen Computern in verschiedenen DNS-Domnen zu. Verwenden Sie ASCII-Zeichen, um die Interoperabilitt mit Computern mit frheren Versionen von Windows als Windows 2000 sicherzustellen. Verwenden Sie fr DNS-Computernamen nur die Zeichen, die in RFC 1123, "Requirements for Internet Hosts Application and Support" aufgelistet werden. Dazu zhlen A-Z, a-z, 0-9 und der Bindestrich (-). Das Windows Server 2003-DNS untersttzt fast alle UTF-8-Zeichen in einem Namen. Sie sollten jedoch keine erweiterten ASCII- oder UTF-8Zeichen verwenden, wenn Sie sich nicht sicher sind, dass alle DNS-Server in Ihrer Umgebung diese untersttzen.
Untersttzt RFC 1123 und UTF-8. Sie knnen den DNSServer von Windows 2000 so konfigurieren, dass die Nutzung von UTF-8-Zeichen auf dem Windows 2000Server entweder zugelassen oder nicht zugelassen wird. Sie knnen diese Einstellung fr jeden Server festlegen. Maximale Lnge 63 Oktette pro Bezeichnung. Entspricht dem fr Hostname und 255 Byte pro FQDN (254 Byte standardmigen DNS plus FQDN. fr den FQDN plus ein Byte fr der UTF-8-Untersttzung. Die den abschlieenden Punkt). Zeichenanzahl ist als Kriterium fr die Gre nicht ausreichend, da einige UTF-8Zeichen die Lnge von einem Oktett berschreiten. Domnencontroller sind auf 155 Byte fr einen FQDN beschrnkt.
15 Byte Lnge.
Wichtig Namen, die im UTF-8-Format codiert wurden, drfen die in RFC 2181, "Clarifications to the DNS Specification" definierten Beschrnkungen von maximal 63 Oktetten pro Bezeichnung und 255 Oktetten pro Name nicht berschreiten. Die Zeichenanzahl ist als Kriterium fr die Gre nicht ausreichend, da einige UTF-8-Zeichen die Lnge von einem Oktett berschreiten.
Wenn Sie die Domne auf Windows Server 2003 aktualisieren, mssen Sie mglicherweise NetBIOS im Netzwerk untersttzen, falls die Domne Clients mit frheren Versionen von Windows als Windows 2000 enthlt. Wenn das Netzwerk beispielsweise in viele Segmente unterteilt ist, wird WINS zum Erstellen der NetBIOS-Suchliste bentigt. Ohne WINS muss das Netzwerk auf Active Directory zurckgreifen, um nach Ressourcen zu suchen. Dies kann Clients mit frheren Versionen von Windows als Windows 2000 sprbar beeintrchtigen. Das Windows Server 2003-DNS ist mit WINS kompatibel. Daher knnen Sie in einer gemischten Netzwerkumgebung eine Kombination aus DNS und WINS verwenden. Auf diese Weise knnen Sie die Funktionalitt des Netzwerks zum Suchen nach Ressourcen und Diensten erweitern. Windows NT 4.0-basierte Clients knnen sowohl im Windows 2000-WINS als auch im Windows Server 2003-WINS registriert werden. Zudem knnen Computer, auf denen entweder Windows 2000 Professional oder Windows XP Professional ausgefhrt wird, im Windows NT 4.0-WINS registriert werden. Aus Grnden der Abwrtskompatibilitt erhlt jeder Computer einen NetBIOS-Namen, der in der Domne des Computers eindeutig sein muss. Das Beibehalten vorhandener NetBIOS-Namen kann mit Schwierigkeiten verbunden sein, da NetBIOS-Namen ber einen umfassenderen Zeichensatz verfgen als DNS-Namen. Eine Lsung besteht darin, NetBIOS-Namen durch DNS-Namen zu ersetzen, damit die Namen in jedem Fall den vorhandenen DNS-Namenstandards entsprechen. Dabei handelt es sich um einen zeitaufwndigen Prozess, der nicht von Organisationen genutzt werden kann, die Computer mit frheren Versionen von Windows als Windows 2000 untersttzen. RFC 2181, "Clarifications to the DNS Specification", erweitert den in DNS-Namen zulssigen Zeichensatz um beliebige Binrzeichenfolgen. Die Binrzeichenfolgen mssen nicht als ASCII interpretiert werden. Windows 2000 und Windows Server 2003 untersttzen die UTF-8-Zeichencodierung (RFC 2044). UTF-8 ist eine Obermenge von ASCII und eine bersetzung der UCS-2-(oder Unicode-)Zeichencodierung. Der UTF-8Zeichensatz ermglicht Ihnen den bergang von NetBIOS-Namen von Windows NT 4.0 zu DNS-Namen von Windows 2000 und Windows Server 2003. Standardmig wird die Multibyte-UTF-8-Namensberprfung verwendet. Dies ermglicht die grte Toleranz beim Verarbeiten von Zeichen durch den DNS-Dienst. Es handelt sich dabei um die bevorzugte Namensberprfungsmethode fr die meisten privat betriebenen DNS-Server, die keine Namensdienste fr Internethosts bereitstellen. Wichtig Das DNS von Windows Server 2003 und Windows 2000 untersttzen NetBIOSund UTF-8-Zeichen fr Computernamen. Andere Versionen von DNS untersttzen nur die Zeichen, die in RFC 1123 zugelassen werden. Verwenden Sie daher nur NetBIOS- und UTF8-Zeichenstze, wenn Sie sicher sind, dass das DNS von Windows Server 2003 oder von Windows 2000 als Methode fr die Namensauflsung verwendet wird. Namen, die im Internet angezeigt werden sollen, drfen gem der Empfehlung in RFC 1123 ausschlielich ASCIIZeichen enthalten.
Um sicherzustellen, dass jeder Client innerhalb der Organisation jeden Namen im krzlich fusionierten Unternehmen auflsen kann, enthlt die private Stammzone eine Delegierung mit der Zone fr die oberste Ebene des internen Namespaces im fusionierten Unternehmen: corp.acquired.com. Alle Computer der Unternehmenseinheit Contoso untersttzen entweder Ausschlusslisten oder PACs. Zum Auflsen von internen und externen Namen muss jeder DNS-Client alle Abfragen auf Grundlage einer Ausschlussliste oder PAC-Datei entweder an die internen DNS-Server oder an einen Proxyserver weiterleiten. Abbildung 4.4 zeigt diese Konfiguration.
Abbildung 4.4
Auf Grundlage dieser Konfiguration knnen interne Clients Namen mit folgenden Methoden abfragen: Abfragen interner DNS-Server nach internen Namen. Die internen DNS-Server lsen die Abfrage auf. Wenn ein DNS-Server, der eine Abfrage erhlt, nicht die angeforderten Daten in seinen Zonen oder im Zwischenspeicher enthlt, fhrt er rekursive Namensauflsung aus und stellt hierzu Kontakt mit den internen Stamm-DNS-Servern her. Abfragen eines Proxyservers nach Namen im Internet. Der Proxyserver leitet die Abfrage an DNSServer im Internet weiter. Die DNS-Server im Internet lsen die Abfrage auf.
Abfragen eines Proxyservers nach Namen im externen Namespace der Unternehmenseinheit Contoso. Der Proxyserver leitet die Abfrage an DNS-Server im Internet weiter. Die DNS-Server im Internet lsen die Abfrage auf. Abfragen interner DNS-Server nach Namen in der Unternehmenseinheit Acquired. Da die Stammserver eine Delegierung mit der obersten Ebene des DNS-Namespaces der Unternehmenseinheit Acquired enthalten, lsen die internen DNS-Server die Abfrage rekursiv durch Kontaktieren der DNSServer in der Unternehmenseinheit Acquired auf.
Externe Clients: Knnen interne Namen nicht abfragen. Diese Einschrnkung trgt zum Sichern des internen Netzwerks bei. Fragen DNS-Server im Internet nach Namen im externen Namespace der Unternehmenseinheit Contoso ab. Die DNS-Server im Internet lsen die Abfrage auf.
Die Unternehmenseinheit Acquired verwendet extern den Namen acquired.com und intern den Namen corp.acquired.com. Der Server InternalDNS.corp.acquired0.com hostet die Zone corp.acquired.com. Die Unternehmenseinheit Acquired hat keinen privaten Stamm. Fr die einfachere Verwaltung von Clients und DNS-Servern haben sich die Administratoren der Unternehmenseinheit Acquired fr die bedingte Weiterleitung entschieden. Die Administratoren haben den DNS-Server InternalDNS.corp.acquired.com fr das Weiterleiten von Abfragen auf die folgende Weise konfiguriert: Der Server leitet alle Abfragen, die fr die Unternehmenseinheit Contoso vorgesehen sind, an einen DNS-Server fr die Unternehmenseinheit Contoso weiter. Beispielsweise leitet der Server Abfragen, die fr corp.contoso.com bestimmt sind, an InternalDNS.corp.contoso.com weiter. Gleichzeitig leitet der Server alle anderen Abfragen, die fr contoso.com bestimmt sind, an einen DNSServer im Internet weiter.
Abbildung 4.5
Abbildung 4.6
Durch schnellere CPUs, mehr RAM und grere Festplatten wird die Skalierbarkeit und Leistung der DNSServer verbessert. Sie mssen zudem bercksichtigen, dass DNS-Server ungefhr 100 Byte RAM fr jeden Ressourceneintrag bentigen. Sie knnen die Leistung von DNS-Servern dadurch verbessern, dass Sie Computer mit zwei Prozessoren verwenden und dann dem ersten Prozessor den DNS-Serverdienst und dem zweiten Prozessor die Datenbankprozesse wie Zonenbertragungen zuweisen.
Verwenden Sie die folgenden Richtlinien, um die Anzahl der bereitzustellenden DNS-Server zu ermitteln: Wenn Sie viele Clients besitzen, fgen Sie zustzliche DNS-Server zum Hosten sekundrer oder Active Directory-integrierter Zonen hinzu. Ziehen Sie die erwartete Anzahl der Abfragen und der dynamischen Aktualisierungen pro Sekunde heran, um die Anzahl der bentigten DNS-Server zu bestimmen. Der DNS-Serverdienst von Windows Server 2003 kann bei einem Pentium III-Mikroprozessor mit 700 MHz auf mehr als 10.000 Abfragen pro Sekunde reagieren.
Informationen zur Kapazittsplanung finden Sie unter "Zuweisen von Hardwareressourcen" weiter oben in diesem Kapitel. Wenn Sie Zonen delegieren, fgen Sie zustzliche DNS-Server zum Verarbeiten der delegierten Zonen hinzu. Beachten Sie, dass Sie keine Zonen delegieren mssen, wenn Sie ber mehrere Zonen verfgen. Sie knnen alle Zonen auf demselben Server oder denselben Servern hosten. Ein DNS-Server von Windows Server 2003 kann 200.000 Zonen mit 6 Ressourceneintrgen hosten. Wenn Sie Active Directory-integrierte Zonen hosten mchten, mssen Sie diese Zonen auf Domnencontrollern mit installiertem DNS-Server platzieren. Wenn Sie keine Active Directory-integrierten Zonen verwenden, knnen Zonenbertragungen und DNS-Abfrageverkehr langsame Verbindungen berlasten. Wenn in Ihrer Umgebung ein hohes Volumen an Netzwerkverkehr zu erwarten ist, fgen Sie zustzliche DNS-Server fr den Lastenausgleich hinzu. Obwohl DNS mit Blick auf die Verringerung von Broadcastverkehr zwischen lokalen Subnetzen konzipiert wurde, entsteht dadurch ein gewisser Verkehr zwischen Servern und Clients, der insbesondere in komplexen weitergeleiteten Umgebungen nicht vernachlssigt werden sollte. Darber hinaus bleiben berlegungen zum Netzwerkverkehr manchmal ein wichtiges Thema, selbst wenn der DNS-Dienst inkrementelle Zonenbertragungen (Incremental Zone Transfers oder IXFRs) untersttzt und die Clients und Server krzlich zuvor verwendete Namen zwischenspeichern knnen. Dies gilt vor allem bei kurzen DHCP-Leases, bei denen hufiger dynamische Aktualisierungen erforderlich sind.
Wenn Sie ber ein geroutetes LAN mit zuverlssigen Hochgeschwindigkeitsverbindungen verfgen, kann ein DNS-Server mglicherweise fr einen greren Netzwerkbereich mit mehreren Subnetzen ausreichend sein. Wenn Sie ber viele Clients in einem einzelnen Subnetz verfgen, ermglicht das Platzieren von mehreren DNS-Servern im Subnetz das Nutzen von Sicherungs- und Failoverfunktionen fr den Fall, dass der bevorzugte DNS-Server nicht mehr reagiert.
Wenn Ihr DNS-Entwurf primre und sekundre Zonen umfasst und Sie eine groe Anzahl von sekundren Servern fr eine Zone ausfhren, wird der primre Masternamensserver mglicherweise berlastet, falls die sekundren Server zur Aktualittsprfung ihrer Zonendaten Abfragen ausfhren. Sie knnen dieses Problem mit drei verschiedenen Methoden lsen: Verwenden Sie einige der sekundren Server als Masterserver fr die Zone. Andere sekundre Server knnen Zonenaktualisierungen von diesen Masterservern abfragen und anfordern. Erhhen Sie das Aktualisierungsintervall, damit die sekundren Server seltener Abfragen ausfhren. Sie mssen allerdings beachten, dass ein lngeres Aktualisierungsintervall dazu fhrt, dass die sekundren Zonen hufiger nicht auf dem aktuellen Stand sind. Erstellen Sie DNS-Server, die ausschlielich der Zwischenspeicherung dienen. Remotestandorte knnen von einem lokalen DNS-Server, der ausschlielich der Zwischenspeicherung dient, in gleicher Weise wie von DNS-Servern profitieren, die Sie zum Steigern der Verfgbarkeit hinzugefgt haben.
Stellen Sie sicher, dass mindestens ein DNS-Server fr jedes Netzwerk verfgbar ist. Diese Vorsichtsmanahme schliet Router als Fehlerstelle aus. Verteilen Sie die DNS-Server ber verschiedene geografische Standorte, wenn dies mglich ist. Dadurch kann die Kommunikation auch bei Naturkatastrophen fortgesetzt werden. Wenn Sie Einzelpunktversagen im Netzwerk identifizieren, mssen Sie ermitteln, ob diese nur DNS oder die gesamten Netzwerkdienste betreffen. Wenn ein Router ausfllt und die Clients auf keinerlei Netzwerkdienste zugreifen knnen, ist der Ausfall von DNS kein Problem. Wenn ein Router ausfllt und lokale DNS-Server nicht verfgbar sind, aber die anderen Netzwerkdienste weiterhin zur Verfgung stehen, knnen die Clients nicht auf erforderliche Netzwerkressourcen zugreifen, da sie keine DNS-Namen ermitteln knnen. Wenn Sie ber eine Internetprsenz verfgen, muss DNS ordnungsgem funktionieren, damit Clients auf Ihre Webserver zugreifen, E-Mails senden und andere Dienste ausfindig machen knnen. Daher wird empfohlen, dass Sie einen sekundren DNS-Server offsite betreiben. Wenn Sie eine Geschftsbeziehung mit einer Organisation im Internet aufrechterhalten, entweder mit Geschftspartnern oder Internetdienstanbietern, knnten sich diese dazu bereit erklren, einen sekundren Server fr Sie zu betreiben. Sie mssen sich jedoch vergewissern, dass die Daten auf dem Server der Organisation gegen Angreifer aus dem Internet gesichert sind. Um die Verfgbarkeit von DNS beim Ausfall der primren Offsite-DNS-Server sicherzustellen, sollten Sie die Bereitstellung eines sekundren Offsite-DNS-Servers in Betracht ziehen. Diese Vorsichtsmanahme wird selbst dann empfohlen, wenn Sie ber keine Internetprsenz verfgen.
Platzieren von DNS-Servern mit Blick auf die Verfgbarkeit von Active Directory
Die DNS-Verfgbarkeit beeinflusst unmittelbar die Verfgbarkeit von Active Directory. Die Clients greifen auf DNS zurck, um Domnencontroller ausfindig zu machen. Die Domnencontroller greifen wiederum auf DNS zurck, um andere Domnencontroller zu finden. Aus diesen Grund sollte mglicherweise die Anzahl und Platzierung der DNS-Server an die Anforderungen der Active Directory-Clients und Domnencontroller angepasst werden. Es empfiehlt sich, mindestens einen DNS-Server auf jeder Site zu platzieren. Vergewissern Sie sich, dass die DNS-Server auf der Site fr die Locatoreintrge der Domnen auf dieser Site autorisierend sind, damit die Clients keine Offsite-DNS-Server abfragen mssen, um Domnencontroller auf einer Site ausfindig zu machen. Domnencontroller berprfen regelmig, ob der Inhalt der Locatoreintrge korrekt ist. Anmerkung Sie knnen den DNS-Serverdienst von Windows Server 2003 auf einem Domnencontroller oder mehreren Domnencontrollern auf jeder Site ausfhren und dann Active Directory-integrierte Zonen fr den Zonennamen hinzufgen, welcher der Active Directory-Domne entspricht. Dies ist eine einfache Konfiguration, die allen Anforderungen entspricht. Die zustzlichen Replikationsaktivitten, die durch das Hinzufgen von DNS zu einem Domnencontroller entstehen, sind normalerweise minimal.
Verwenden von Weiterleitungen mit Bedingungen zum Abfragen von Namen in internen Offsitedomnen
Verwenden Sie Weiterleitungen mit Bedingungen, um Servern das Abfragen von Namen in internen Offsitedomnen zu ermglichen und somit unntigen WAN-Netzwerkverkehr durch Abfragen zu vermeiden. Im
Windows Server 2003-DNS lsen Nicht-Stammserver mit einer der folgenden Methoden Namen auf, wenn sie fr diese Namen nicht autorisierend sind, keine Delegierung aufweisen und die Namen nicht zwischengespeichert haben: Abfragen eines Stammservers. Weiterleiten von Abfragen an einen Forwarder.
Dadurch wird zustzlicher Netzwerkverkehr generiert. Beispiel: Ein Nicht-Stammserver am Standort A ist fr die Weiterleitung von Abfragen an einen Forwarder am Standort B konfiguriert und muss einen Namen in einer Zone auflsen, die von einem Server am Standort C gehostet wird. Da der Nicht-Stammserver Abfragen nur an Site B weiterleiten kann, ist es ihm nicht mglich, den Server am Standort C direkt abzufragen. Stattdessen leitet er die Abfrage an den Forwarder am Standort B weiter, und der Forwarder fragt den Server am Standort C ab. Wenn Sie die bedingte Weiterleitung einsetzen, knnen Sie die DNS-Server fr die Weiterleitung von Abfragen an verschiedene Server konfigurieren, wobei der in der Abfrage angegebene Domnenname bercksichtigt wird. Dadurch werden einzelne Schritte in der Weiterleitungskette berflssig. Dies fhrt zu verringertem Netzwerkverkehr. Bei der bedingten Weiterleitung kann der Server am Standort A Abfragen an Fortwarder an Site B oder C je nach Bedarf weiterleiten. Beispielsweise mssen die Computer der Contoso Corporation am Standort Sevilla die Computer am Standort Hongkong S.A.R. abfragen. Beide Standorte verwenden einen gemeinsamen DNS-Stammserver mit Namen DNS3.Seville.avionics01-int.com, der sich in Seattle befindet. Bevor Contoso die Aktualisierung auf Windows Server 2003 durchgefhrt hat, leitete der Server in Sevilla alle Abfragen, die er nicht auflsen konnte, an den bergeordneten Server DNS1.avionics01-int.com in Seattle weiter. Wenn der Server in Sevilla Namen fr die Domne Avionics (in Hongkong S.A.R. und Tokio) abfragte, wurden diese Abfragen erst durch den Server in Sevilla nach Seattle weitergeleitet. Nach der Aktualisierung auf Windows Server 2003 haben Administratoren den DNS-Server in Sevilla so konfiguriert, dass fr den Standort Hongkong S.A.R. bestimmte Abfragen direkt und ohne Umweg ber Seattle an einen Server auf dieser Site weitergeleitet werden. Dies wird in Abbildung 4.7 gezeigt.
Abbildung 4.7
Die Administratoren haben DNS3.Seville.avionics01-int.com so konfiguriert, dass alle Abfragen an acquired01-int.com an DNS5.acquired01-int.com oder DNS6.acquired01-int.com weitergeleitet werden. DNS3.Seville.avionics01-int.com leitet alle anderen Abfragen an DNS1.avionics01-int.com oder DNS2.avionics01-int.com weiter. Weitere englischsprachige Informationen ber die bedingte Weiterleitung finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits(oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Verwenden der bedingten Weiterleitung zum Abfragen von Namen in anderen Namespaces
Wenn Ihr internes Netzwerk ber keinen privaten Stamm verfgt und die Benutzer auf andere Namespaces wie beispielsweise das Netzwerk eines Partnerunternehmens zugreifen mssen, verwenden Sie die bedingte Weiterleitung, um Servern das Abfragen von Namen in anderen Namespaces zu ermglichen. Bevor die bedingte Weiterleitung verfgbar war, konnten DNS-Server Abfragen nur an einen einzelnen Server weiterleiten. Aufgrund dieser Einschrnkung war es blich, Server so zu konfigurieren, dass alle Abfragen, die nicht aufgelst werden konnten (alle Abfragen auerhalb des Namespaces) an einen Server im Internet weitergeleitet wurden. Auf diese Weise konnten interne DNS-Server Namen innerhalb des internen Namespaces und im Internetnamespace auflsen. Um jedoch Namen in anderen Namespaces aufzulsen, mussten alle DNSServer, welche die Domne der obersten Ebene fr das Unternehmen hosteten, auch eine sekundre Zone fr die Domne der obersten Ebene des Partnerunternehmens hosten. Diese Lsung erforderte zustzlichen Speicherplatz auf dem DNS-Server und hatte zustzlichen Zonenbertragungsverkehr zur Folge. Mithilfe der bedingten Weiterleitung knnen DNS-Server Abfragen an verschiedene Server auf Grundlage des Domnennamens weiterleiten, so dass keine sekundren Zonen mehr erforderlich sind.
Contoso Corporation verfgt beispielsweise ber zwei Namespaces: Contoso und Acquired. Die Computer in jeder Unternehmenseinheit mssen auf den jeweils anderen Namespace zugreifen. Zudem bentigen die Computer in beiden Unternehmenseinheiten Zugriff auf Computer im privaten Namespace Supplier. Vor der Aktualisierung auf Windows Server 2003 hat die Unternehmenseinheit Acquired sekundre Zonen erstellt, mit denen sichergestellt werden sollte, dass Computer in den Namespaces Contoso und Acquired jeweils Namen in den Namespaces Contoso, Acquired und Supplier auflsen knnen. Nach der Aktualisierung auf Windows Server 2003 hat die Unternehmenseinheit Acquired ihre sekundren Zonen gelscht und stattdessen die bedingte Weiterleitung konfiguriert.
Sichern Sie die vorhandene Konfiguration, um diese beim Auftreten von Problemen wiederherstellen zu knnen. Legen Sie den Migrationszeitplan so an, dass die DNS-Clients jederzeit ber Zugriff auf einen DNS-Server verfgen. Beispielsweise ist es empfehlenswert, den vorhandenen DNS-Server erst dann auszuschalten, wenn Sie sicher sind, dass der DNS-Server von Windows Server 2003 ordnungsgem funktioniert. Nachdem Sie die Server aktualisiert oder migriert haben, mssen Sie diese auf eine ordnungsgeme Funktionsweise hin berprfen. Weitere Informationen ber das Testen der DNS-Serverleistung finden Sie unter "Monitor Servers" im Hilfe- und Supportcenter fr Windows Server 2003 und unter "Troubleshooting Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Troubleshooting Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp, beide englischsprachig).
Jeder in Windows Server 2003-DNS verfgbare Zonentyp erfllt einen bestimmten Zweck. Wenn Sie einen bestimmten Zonentyp fr die Bereitstellung auswhlen, legen Sie damit zugleich den praktischen Zweck der Zone fest. Abbildung 4.8 zeigt den Entwurfsprozess von DNS-Zonen.
Primre Zonen
Stellen Sie primre Zonen bereit, die den geplanten DNS-Domnennamen entsprechen. Sie knnen nicht eine Active Directory-integrierte und eine dateibasierte Kopie derselben Zone speichern.
Sekundre Zonen
Fgen Sie sekundre Zonen hinzu, wenn Sie keine Active Directory-Infrastruktur haben. Wenn Sie eine Active Directory-Infrastruktur besitzen, verwenden Sie sekundre Zonen auf DNS-Servern, die nicht als Domnencontroller konfiguriert sind. Eine sekundre Zone enthlt eine vollstndige Kopie einer Zone. Verwenden Sie daher sekundre Zonen fr eine verbesserte Verfgbarkeit von Zonen an Remotestandorten, wenn Sie keine Zonendaten ber eine WAN-Verbindung mithilfe von Active Directory-Replikation replizieren mchten. Es empfiehlt sich, sekundre Zonen fr die meisten oder sogar fr alle primren Zonen hinzuzufgen. Dieser Entwurf ermglicht Fehlertoleranz, geografische Verteilung der Netzwerkhosts und Lastenausgleich.
Stubzonen
Eine Stubzone ist eine Kopie einer Zone, die nur den Autorittsursprungs-Ressourceneintrag (Start-of-Authority oder SOA), die Nameserver-Ressourceneintrge (NS) mit einer Liste der autorisierenden Server fr die Zone und die "Glue Host"-Ressourceneintrge (Adresseinrge, Typ A) fr die Identifizierung dieser autorisierenden Server enthlt. Ein DNS-Server, der eine Stubzone hostet, wird mit der IP-Adresse des autorisierenden Servers konfiguriert, von dem er geladen wird. Er kann die Stubzone manuell aktualisieren. Wenn ein DNS-Server, der eine Stubzone hostet, eine Abfrage nach einem Computernamen in der Zone erhlt, auf welche die Stubzone verweist, verwendet der DNS-Server die IP-Adresse zum Abfragen des autorisierenden Servers oder gibt bei iterativen Abfragen einen Verweis mit den DNS-Servern zurck, die in der Stubzone aufgelistet werden. DNS-Server knnen Stubzonen sowohl fr iterative als auch fr rekursive Abfragen verwenden. Stubzonen werden in regelmigen Abstnden aktualisiert. Die jeweilige Einstellung fr die Aktualisierung wird durch das Aktualisierungsintervall des SOA-Ressourceneintrags fr die Stubzone festgelegt. Wenn ein DNSServer eine Stubzone ldt, fragt dieser die Masterserver der Zone nach SOA-Ressourceneintrgen, NSRessourceneintrgen im Stamm der Zone und A-Ressourceneintrgen ab. Der DNS-Server versucht, seine Ressourceneintrge am Ende des Aktualisierungsintervalls der SOA-Ressourceneintrge zu aktualisieren. Zum Aktualisieren der Eintrge fragt der DNS-Server die Masterserver nach den zuvor aufgelisteten Ressourceneintrgen ab. Sie knnen Stubzonen verwenden, um sicherzustellen, dass der fr eine bergeordnete Zone autorisierende DNS-Server automatisch Aktualisierungen ber die Nameserver erhlt, die fr eine untergeordnete Zone autorisierend sind. Fgen Sie hierzu die Stubzone dem Server hinzu, der die bergeordnete Zone hostet.
Stubzonen knnen entweder dateibasiert oder Active Directory-integriert sein. Bei Active Directory-integrierten Stubzonen knnen Sie diese auf einem Computer konfigurieren und durch die Active Directory-Replikation auf andere DNS-Server bertragen lassen, die auf Domnencontrollern ausgefhrt werden. Sie knnen Stubzonen auch einsetzen, um Ihre Server ber andere Namespaces zu informieren, obwohl die bedingte Weiterleitung die bevorzugte Methode hierfr ist. Weitere Informationen ber die Verwendung von Stubzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003. Anmerkung Nur die DNS-Server von Windows Server 2003 untersttzen Stubzonen.
Reverse-Lookupzonen
Reverse-Lookupzonen enthalten Informationen, die zum Ausfhren von Reverse-Lookups ntig sind. Ein Reverse-Lookup verwendet die IP-Adresse des Computers, um dessen DNS-Namen herauszufinden. ReverseLookupzonen sind weder fr Windows-Netzwerke noch fr die Active Directory-Untersttzung erforderlich. Weitere Informationen ber Reverse-Lookupzonen finden Sie im Hilfe- und Supportcenter fr Windows Server 2003. Wenn Ihre DNS-Topologie Active Directory enthlt, verwenden Sie Active Directory-integrierte Zonen. Da die DNS-Replikation auf einem Einzelmastermodell beruht, kann ein primrer DNS-Server in einer standardmigen DNS-Zone ein Einzelpunktversagen darstellen. In einer Active Directory-integrierten Zone kann ein DNS-Server keine einzelne ausfallgefhrdete Stelle sein, da Active Directory die Multimasterreplikation verwendet. Aktualisierungen an jedem beliebigen Domnencontroller werden an alle Domnencontroller repliziert, und die Zoneninformationen auf einem beliebigen primren DNS-Server innerhalb einer Active Directory-integrierten Zone werden immer repliziert. Active Directory-integrierte Zonen bieten die folgenden Vorteile: Sie knnen Zonen mithilfe von sicheren dynamischen Aktualisierungen sichern. Die Fehlertoleranz wird erhht. Jede Active Directory-integrierte Zone kann an alle Domnencontroller innerhalb der Active Directory-Domne oder -Gesamtstruktur repliziert werden. Alle DNS-Server, die auf diesen Domnencontrollern ausgefhrt werden, knnen als primre Server fr die Zone agieren und dynamische Aktualisierungen empfangen. Es wird Replikation ermglicht, bei der nur genderte Daten weitergeleitet und die replizierten Daten komprimiert werden. Dadurch wird der Netzwerkverkehr verringert.
Bei einer Active Directory-Infrastruktur knnen Sie Active Directory-integrierte Zonen nur auf Active Directory-Domnencontrollern nutzen. Wenn Sie Active Directory-integrierte Zonen verwenden, mssen Sie entscheiden, ob Sie Active Directory-integrierte Zonen in der Anwendungsverzeichnispartition speichern mchten. Sie knnen Active Directory-integrierte Zonen und dateibasierte Zonen im gleichen Entwurf miteinander kombinieren. Wenn beispielsweise der DNS-Server, der fr die private Stammzone autorisierend ist, unter einem anderen Betriebssystem als Windows Server 2003 oder Windows 2000 ausgefhrt wird, kann er nicht als Active Directory-Domnencontroller agieren. Daher mssen Sie dateibasierte Zonen auf diesem Server verwenden. Sie knnen jedoch diese Zone an einen beliebigen Domnencontroller mit Windows Server 2003 oder Windows 2000 delegieren. Beispielsweise haben die Administratoren in einem Unternehmen, das Active Directory bereitstellen musste, die DNS-Anforderungen fr die Active Directory-Untersttzung untersucht und herausgefunden, dass der autorisierende DNS-Server fr den Namen supplier01-int.com auf einem BIND 4.9.7-Server ausgefhrt wurde, der Active Directory nicht untersttzt. Sie trafen die Entscheidung, eine Delegierung von der dateibasierten Zone supplier01-int.com hinzuzufgen, die auf dem BIND-Server gehostet wurde. Die Delegierung verweist auf einen autorisierenden Server unter Windows Server 2003 mit dem Namen partner.supplier01-int.com fr die Zone. Der Server mit Windows Server 2003 agiert auch als Domnencontroller. Auf diese Weise haben die Administratoren die Integration der Zone partner.supplier01-int.com in Active Directory ermglicht.
Nachdem Sie entschieden haben, welche Zone von welchem DNS-Server gehostet wird, mssen Sie jetzt die Entscheidung treffen, wie die Zonen zwischen den Servern repliziert werden sollen. Replizierte Zonen ermglichen hhere Verfgbarkeit, verbessern die Abfrageantwortzeit und verringern den Netzwerkverkehr, der durch Namensabfragen verursacht wird. Allerdings erfordern replizierte Zonen Speicherplatz und erhhen allgemein den Netzwerkverkehr. Wenn Sie ber ein verteiltes Netzwerk verfgen, das auf verschiedenen Standorten verwaltet wird, verwenden Sie untergeordnete Domnen fr diese Standorte. Wenn Sie kein verteiltes Netzwerk einsetzen, sollten Sie mglichst die Verwendung von untergeordneten Domnen vermeiden. Beim Entwerfen der Zonenreplikation muss auch bercksichtigt werden, wo replizierte Zonen im Hinblick auf Redundanz und Verfgbarkeit verwendet werden. In Windows Server 2003 knnen Sie Zonen replizieren, indem Sie die dateibasierte Zonenbertragung oder die Active Directory-Replikation nutzen. Whlen Sie die geeignete Methode fr die Zonenbertragung anhand folgender Kriterien aus: Verwenden Sie bei dateibasierten Zonen die dateibasierte Zonenbertragung. Verwenden Sie bei Active Directory-integrierten Zonen von Windows Server 2003 und Windows 2000 die Active Directory-Replikation. Sie mssen den Replikationsbereich festlegen, wenn Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domne verwenden.
Dateibasierte Zonenbertragung
Das DNS von Windows Server 2003 und Windows 2000 untersttzt jeweils sowohl die inkrementelle als auch die vollstndige Zonenbertragung von dateibasierten Zonen. Die inkrementelle Zonenbertragung ist die Standardmethode. Wenn diese Methode von einem Drittanbieter-DNS-Server nicht untersttzt wird, der in die bertragung eingebunden ist, verwendet das DNS von Windows Server 2003 und Windows 2000 standardmig die Methode zur vollstndigen Zonenbertragung. Die inkrementelle Zonenbertragung, die in RFC 1995, "Incremental Zone Transfer in DNS", beschrieben wird, bietet eine bessere Nutzung der verfgbaren Netzwerkbandbreite. Der Masterserver bertrgt hierbei nur die inkrementellen nderungen in der Zone und nicht den gesamten Inhalt der Zonendatei. Dadurch wird der Einfluss von DNS-Zonenbertragungen auf den Netzwerkverkehr verringert. Ohne inkrementelle Zonenbertragungen bertrgt der Masterserver bei jeder Aktualisierung einer DNS-Zone die gesamte Zonendatei an den sekundren Server. Das Windows Server 2003-DNS verwendet die vollstndige Zonenbertragung, wenn Zonen an DNS-Server bertragen werden mssen, die keine inkrementellen Zonenbertragungen untersttzen. Dazu zhlen DNSServer, die unter Windows NT 4.0 oder BIND 8.12 und frheren Versionen ausgefhrt werden.
Active Directory-Replikation
Die Active Directory-Replikation propagiert Zonennderungen zwischen Domnencontrollern. Die Replikationsverarbeitung unterscheidet sich von vollstndigen Zonenbertragungen bei DNS, bei denen der DNS-Server die gesamte Zone bertrgt. Die Replikationsverarbeitung unterscheidet sich auch von inkrementellen Zonenbertragungen, bei denen der Server alle nderungen bertrgt, die seit der letzten nderung vorgenommen wurden. Die Active Directory-Zonenreplikation bietet die folgenden zustzlichen Vorteile: Der Netzwerkverkehr wird verringert, da die Domnencontroller nur das endgltige Ergebnis aller nderungen senden. Wenn eine Zone in Active Directory gespeichert wurde, erfolgt die Replikation automatisch. Es muss keine zustzliche Konfiguration vorgenommen werden. Wenn die Active Directory-Zonenreplikation zwischen Standorten erfolgt, werden bei berschreitungen der standardmigen bertragungsgre Zonendaten vor der bertragung automatisch komprimiert. Diese Komprimierung verringert die Netzwerkverkehrslast.
Nach sorgfltiger Analyse knnen Sie die DNS-Zonen partitionieren und delegieren. Dabei muss bercksichtigt werden, wie Sie einen effizienten und fehlertoleranten Namensdienst fr jeden Standort oder jede Site bereitstellen knnen. Wenn Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domne verwenden, mssen Sie einen Active Directory-integrierten Zonenreplikationsbereich mithilfe der MMC auswhlen. Bei der Auswahl eines Replikationsbereichs mssen Sie beachten, dass ein breiterer Replikationsbereich auch einen erhhten Netzwerkverkehr durch die Replikation zur Folge hat. Wenn Sie sich beispielsweise dazu entscheiden, Active Directory-integrierte DNS-Zonendaten an alle DNS-Server in der Gesamtstruktur zu replizieren, verursacht dies greren Netzwerkverkehr als die Replikation der DNS-Zonendaten an alle DNS-Server in einer einzelnen Active Directory-Domne in dieser Gesamtstruktur. Sie sollten daher die angestrebte Minimierung des Replikationsverkehrs mit der Minimierung des durch Zonenabfragen verursachten Netzwerkverkehrs in Einklang bringen. Tabelle 4.8 listet die Replikationsoptionen fr Active Directory-integrierte Zonendaten auf. Tabelle 4.8 Replikationsoptionen fr Active Directory-integrierte Zonendaten
Option Beschreibung Alle DNS-Server in der Active Die Zonendaten werden an alle DNSDirectory-Gesamtstruktur Server repliziert, die auf Windows Server 2003-basierten Domnencontrollern in allen Domnen der Active Directory-Gesamtstruktur ausgefhrt werden.
Anwendung Sie mchten den breitesten Replikationsbereich verwenden. Diese Option erzeugt im Allgemeinen den grten Zonenreplikationsverkehr. Beachten Sie, dass Sie diese Option nur auswhlen knnen, wenn alle DNS-Server Windows Server 2003 ausfhren und eine Active Directoryintegrierte Kopie dieser Zone hosten. Alle DNS-Server in einer Die Zonendaten werden an alle DNSSie mssen die Zone nicht in der angegebenen Active Directory- Server repliziert, die auf Windows Gesamtstruktur replizieren und Domne Server 2003-basierten mchten den Domnencontrollern in den angegebenen Zonenreplikationsverkehr Active Directory-Domnen ausgefhrt einschrnken. Diese Option werden. Diese Option ist die verursacht weniger Standardeinstellung fr die Active Zonenreplikationsverkehr als das Directory-integrierte DNSReplizieren der Zone an alle DNSZonenreplikation. Server in der Gesamtstruktur oder an alle Domnencontroller in der Domne. Bei dieser Option werden (Die angegebene Active Directorydie Zonendaten nicht an DNS-Server Domne ist die Domne des Domnencontrollers, auf dem der DNS- repliziert, die auf Windows 2000basierten Domnencontrollern Server ausgefhrt wird, der die Zone ausgefhrt werden. hostet.) Alle Domnencontroller in der Die Zonendaten werden an alle Sie hosten eine Active DirectoryActive Directory-Domne Domnencontroller in der angegebenen integrierte Kopie dieser Zone auf Active Directory-Domne repliziert, und einem DNS-Server, der auf einem dies unabhngig davon, ob DNS-Server Windows 2000-basierten auf den Domnencontrollern in der Domnencontroller ausgefhrt wird. Domne ausgefhrt werden.
Beschreibung Die Zonendaten werden an alle Domnencontroller repliziert, die im Replikationsbereich der Anwendungsverzeichnispartition angegeben wurden.
Anwendung Sie mchten den Zonenreplikationsbereich fr Ihre Organisation anpassen. Mit dieser Option knnen Sie den Zonenreplikationsverkehr bei maximierter Funktionalitt minimieren. Diese Option erfordert jedoch zustzlichen Verwaltungsaufwand. Sie knnen diese Option nur auswhlen, wenn alle DNS-Server Windows Server 2003 ausfhren und eine Active Directory-integrierte Kopie dieser Zone hosten.
Beim Kopieren der Zonendateien mssen Sie die Integritt der Zonen manuell berprfen. Unabhngig von der Methode fr die Zonenmigration mssen Sie sich entscheiden, ob Sie den ursprnglichen DNS-Server aus dem Netzwerk herausnehmen oder diesen als sekundren Server einsetzen. Wenn Sie feststellen, dass der ursprngliche DNS-Server des Drittanbieters Schwierigkeiten bei der Interoperabilitt im Netzwerk verursacht, oder wenn Sie die entsprechende Serverhardware fr andere Zwecke bentigen, knnen Sie den Server aus dem Netzwerk herausnehmen. Andernfalls behalten Sie den Server im Netzwerk, um Sicherungsfunktionen fr den primren DNS-Server von Windows Server 2003 bereitzustellen. Weitere Informationen ber die Verwendung von Zonenbertragung finden Sie unter "Initiate a zone transfer at a secondary server" im Hilfe- und Supportcenter fr Windows Server 2003.
Abbildung 4.9 zeigt den Prozess zum Konfigurieren und Verwalten von DNS-Clients.
Managers oder einer Gruppenrichtlinie ndern. Es ist sehr zu empfehlen, die Gre der Suffixsuchliste einzuschrnken, da eine umfangreiche Suffixsuchliste den Netzwerkverkehr erhht.
Weitere englischsprachige Informationen ber bliche Angriffstypen, das Entwickeln einer Sicherheitsrichtlinie und Einschtzen des eigenen Risikos finden Sie unter "Designing an Authentication Strategy" und "Designing an Authorization Strategy" in Designing and Deploying Directory and Security Services.
Ihr Risiko, Ziel solcher Angriff zu werden, richtet sich nach dem Ausma Ihrer Anbindung an das Internet. Bei einem DNS-Server in einem privaten Netzwerk, der einen privaten Namespace, ein privates Adressierungsschema und einen wirksamen Firewall verwendet, ist das Angriffsrisiko geringer. Zudem ist dann die Wahrscheinlichkeit grer, den Eindringling zu entdecken. Bei einem DNS-Server, der an das Internet angebunden ist, muss mit hheren Risiken gerechnet werden.
Das Entwickeln einer DNS-Sicherheitsrichtlinie umfasst die folgenden Schritte: Es muss entschieden werden, welchen Zugriff die Clients bentigen, welchen Kompromiss zwischen Sicherheit und Leistung Sie anstreben und welche Daten besonders gut geschtzt werden mssen. Machen Sie sich mit den Sicherheitsfragen vertraut, die interne und externe DNS-Server betreffen. Analysieren Sie den durch die Namensauflsung verursachten Netzwerkverkehr, um festzustellen, welche Clients welche Server abfragen knnen.
Sie knnen eine DNS-Sicherheitsrichtlinie mit niedriger, mittlerer oder hoher Sicherheit auswhlen.
Die DNS-Infrastruktur Ihrer Organization kommuniziert nicht mit dem Internet ber interne DNSServer. Das Netzwerk verwendet einen internen DNS-Stamm und -Namespace, und die gesamte Autoritt fr DNS-Zonen ist intern. DNS-Server, die mit Weiterleitungen konfiguriert sind, verwenden nur interne DNS-Server-IPAdressen. Alle DNS-Server schrnken die Zonenbertragungen auf angegebene IP-Adressen ein. DNS-Server werden fr das Abhren von bestimmten IP-Adressen konfiguriert. Die Funktion zur Vermeidung von Zwischenspeicherbeschdigung ist auf allen DNS-Servern aktiviert. Interne DNS-Server sind mit Stammhinweisen konfiguriert, die auf die internen DNS-Server zeigen, welche die Stammzone fr den internen Namespace hosten. Alle DNS-Server werden auf Domnencontrollern ausgefhrt. Eine DACL (Discretionary Access Control List) wird auf dem DNS-Serverdienst konfiguriert, um nur bestimmten Einzelpersonen das Ausfhren von Verwaltungsaufgaben auf DNS-Servern zu ermglichen. Alle DNS-Zonen werden in Active Directory gespeichert. Eine DACL wird so konfiguriert, dass nur bestimmten Personen das Erstellen, Lschen oder ndern von DNS-Zonen erlaubt wird. Die DACLs werden mit DNS-Resourceneintrgen konfiguriert, damit nur bestimmte Personen DNSDaten erstellen, lschen oder ndern knnen. Sichere dynamische Aktualisierung ist fr alle DNS-Zonen konfiguriert, mit Ausnahme von Zonen der obersten Ebene und von Stammzonen, fr die keinerlei dynamische Aktualisierungen zulssig sind.
dynamische Aktualisierung selbst ist nicht sicher, da jeder Client die DNS-Eintrge ndern kann. Zum Sichern dynamischer Aktualisierungen knnen Sie die Funktion fr dynamische Aktualisierungen verwenden, die von Windows Server 2003 bereitgestellt wird. Fr das Lschen veralteter Eintrge knnen Sie die Alterungs- und Aufrumfunktion des DNS-Servers einsetzen. Die dynamische Aktualisierung ermglicht DHCP-Servern das Registrieren von A- und PTRRessourceneintrgen fr DHCP-Clients. Dieser Prozess erfordert die Verwendung der DHCP-Client FQDN Option 81. Option 81 ermglicht es dem Client, seinen FQDN dem DHCP-Server bereitzustellen. Der Client stellt dem Server auch Anweisungen zur Verfgung, in denen beschrieben wird, wie dynamische DNSAktualisierungen fr den DHCP-Client verarbeitet werden sollen. Wenn Option 81 von einem qualifizierten DHCP-Client ausgesandt wird, erfolgt die Verarbeitung und Interpretation von Option 81 durch einen DHCP-Server von Windows Server 2003, um zu bestimmen, wie der Server Aktualisierungen fr den Client einleitet. Wenn der Server fr das Ausfhren von dynamischen DNSAktualisierungen konfiguriert ist, fhrt dieser eine der folgenden Aktionen aus: Der DHCP-Server aktualisiert sowohl DNS-A- als auch -PTR-Eintrge, wenn dies von Clients mithilfe der Option 81 angefordert wird. Der DHCP-Server aktualisiert DNS-A- und -PTR-Eintrge unabhngig davon, ob der Client diese Aktion anfordert.
Darber hinaus kann der DHCP-Server dynamisch DNS-A- und -PTR-Eintrge fr Legacyclients aktualisieren, die nicht in der Lage sind, Option 81 an den Server zu senden. Sie knnen den DHCP-Server auch so konfigurieren, dass A- und PTR-Eintrge der Clients nach dem Lschen der Clientlease verworfen werden. Dies verringert die Zeit, die zum manuellen Verwalten dieser Eintrge erforderlich ist, und stellt Untersttzung fr DHCP-Clients zur Verfgung, die keine dynamischen Aktualisierungen ausfhren knnen. Zudem vereinfacht die dynamische Aktualisierung die Einrichtung von Active Directory, da Domnencontroller dynamisch mit SRV-Eintrgen registriert werden knnen.
Abbildung 4.12
Wenn Sie davon ausgehen, dass Clients Namen im Internet abfragen und wenn Sie die Verwendung eines Proxyservers planen, mssen Sie sicherstellen, dass der Proxyserver einsatzbereit ist. Es kann empfehlenswert sein, DNS als Teil der Active Directory-Installation auf Domnencontrollern zu installieren. In diesem Fall mssen Sie bedenken, dass Sie den Namen des Computers nicht mehr ndern knnen, nachdem Active Directory auf dem Computer installiert wurde.
standardmigen Reverse-Lookupzonen, die in den DNS-RFCs empfohlen werden, und konfiguriert den Server entweder als Stammserver oder initialisiert die Stammhinweise. Sie knnen das Befehlszeilenprogramm Dnscmd.exe zum Konfigurieren des DNS-Servers verwenden. Sie knnen VB Script oder andere Skriptsprachen ber den WMI-Anbieter verwenden, der in Windows Server 2003 enthalten ist.
Nachdem Sie den DNS-Server eingerichtet haben, mssen Sie die Stammhinweise prfen. Wenn der Server als Stammserver konfiguriert ist und nicht als Stammserver verwendet werden soll, lschen Sie die Stammzone. Weitere englischsprachige Informationen ber diese Optionen sowie Informationen ber die Kriterien, anhand der vom Assistenten zum Installieren von Active Directory und dem Assistenten fr die DNSServerkonfiguration bestimmt wird, ob die Stammhinweise initialisiert werden sollen, finden Sie unter "Windows Server 2003 DNS" im Networking Guide des Windows Server 2003 Resource Kits (oder unter "Windows Server 2003 DNS" im Web unter http://www.microsoft.com/windows/reskits/default.asp).
Sie knnen eine der folgenden Methoden zum Einrichten der DNS-Clients verwenden: Verwenden Sie die TCP/IP-Einstellungen des Clients. Verwenden Sie Gruppenrichtlinien zum Konfigurieren von Clientgruppen. Verwenden Sie den DHCP-Serverdienst zum automatischen Konfigurieren von einigen Clienteinstellungen.
Weitere Informationen zum Installieren und Konfigurieren von DNS-Clients finden Sie im Hilfe- und Supportcenter fr Windows Server 2003.
Weitere Ressourcen
Diese Ressourcen enthalten zustzliche Informationen und Tools fr die in diesem Kapitel angesprochenen Themen. Verwandte Informationen in den Resource Kits "Windows Server 2003-DNS" im Networking Guide des Windows Server 2003 Resource Kits enthlt Informationen ber den DNS-Serverdienst. "Configuring IP Addressing and Name Resolution" in Administering Microsoft Windows XP Professional enthlt Informationen ber den DNS-Client. Verwandte englischsprachige Informationen auerhalb der Resource Kits RFC 1035: "Domain Names Implementation and Specification" DNS und BIND, 3. Ausg., von Paul Albitz und Cricket Liu, , Kln: O'Reilly Verlag 2001enthlt weitere Informationen zu DNS. Microsoft Windows 2000 TCP/IP Protokolle und Dienste, von Thomas Lee und Joseph Davies, Unterschleiheim: Microsoft Press Deutschland 2000 enthlt weitere Informationen ber das DNSProtokoll.
Die Verknpfung Internet Engineering Task Force (IETF) auf der Seite Web Resources unter http://www.microsoft.com/windows/reskits/webresources/ (englischsprachig) ermglicht den Zugriff auf weitere Informationen ber RFCs (Request for Comments) und IETF-Internetdrafts. Verwandte Tools Informationen ber das Installieren und Verwenden der Windows Server 2003-Supporttools und der zugehrigen Hilfe finden Sie in der Datei Sreadme.doc, die sich auf der Windows Server 2003-Betriebssystem-CD im Ordner \Support\Tools befindet. Active Directory Sizer Active Directory Sizer ermglicht es Ihnen, die fr das Bereitstellen von Active Directory erforderliche Hardware einzuschtzen, wobei das Organisationsprofil, Domneninformationen und Sitetopologie als Kriterien herangezogen werden. Netdiag.exe Netdiag.exe untersttzt Sie beim Isolieren von Netzwerk- und Konnektivittsproblemen. Hierzu wird eine Reihe von Tests durchgefhrt, mit denen der Status des Netzwerkclients und dessen Funktionalitt berprft wird. Dnscmd.exe Sie knnen das Befehlszeilenprogramm Dnscmd.exe verwenden, um die meisten Aufgaben auszufhren, die ber das DNS-MMC-Snap-In vorgenommen werden knnen. Nslookup.exe Mit Nslookup knnen Sie Abfragetests des DNS-Domnennamespaces ausfhren und Probleme mit Nameservern diagnostizieren.
Beta-Disclaimer
Diese Dokumentation ist eine Vorversion der Dokumentation, die bis zur endgltigen Handelsausgabe wesentlichen nderungen unterzogen werden kann, und stellt vertrauliche Informationen im Besitz der Microsoft Corporation dar. Sie wird in bereinstimmung mit den Bestimmungen einer Geheimhaltungsvereinbarung zwischen dem Empfnger und Microsoft zur Verfgung gestellt. Dieses Dokument dient nur zu Informationszwecken. Microsoft schliet fr dieses Dokument jede Gewhrleistung aus, sei sie ausdrcklich oder konkludent. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschlielich URLs und anderen Verweisen auf Internetwebsites, knnen ohne vorherige Ankndigung gendert werden. Das vollstndige Risiko der Nutzung oder der Ergebnisse der Nutzung dieses Dokuments liegt beim Benutzer. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden, sofern nichts anderes angegeben ist. Jede hnlichkeit mit tatschlichen Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufllig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhngig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrckliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments fr irgendwelche Zwecke vervielfltigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhngig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Es ist mglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrcklich in den schriftlichen Lizenzvertrgen von Microsoft eingerumt. 2002 Microsoft Corporation. Alle Rechte vorbehalten. Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Lndern. Die in diesem Dokument aufgefhrten Namen bestehender Firmen und Produkte sind mglicherweise Marken der jeweiligen Eigentmer. Vielen Dank fr das Prfen der Dokumentation, die vom Windows Resource Kits-Team entwickelt wurde. Wenn Sie Feedback zur Relevanz, Ntzlichkeit oder Vollstndigkeit des Inhalts senden mchten, schreiben Sie bitte an die Adresse docbeta@microsoft.com. Bitte geben Sie die Kapitelberschrift in der Betreffzeile Ihrer EMail an. Geben Sie auerdem die relevanten Zeilennummern bei Ihren Kommentaren an. Sie knnen uns Ihre Kommentare auch als Anhang senden. 1985-2002 Microsoft Corporation. Alle Rechte vorbehalten.