DNS und Active Directory – ohne geht’s nicht

von

Stefan
in ,

Das Domain Name System (DNS) spielt eine zentrale Rolle in Active Directory (AD), da es für die Namensauflösung und die Funktionsfähigkeit der AD-Dienste unerlässlich ist. Hier sind die wichtigsten Aspekte:

1. Die Rolle von DNS in Active Directory

a) DNS als Grundlage für AD:

  • Active Directory ist stark von DNS abhängig, da es für die Namensauflösung und die Lokalisierung von Domänencontrollern (DCs) verwendet wird.
  • Ohne ein korrekt konfiguriertes DNS kann AD nicht ordnungsgemäß funktionieren.

b) Funktionen von DNS in AD:

  1. Namensauflösung:
    • DNS übersetzt Domänennamen (z. B. firma.local) in IP-Adressen, die von Computern genutzt werden.
  2. Lokalisierung von Domänencontrollern:
    • Clients und andere DCs verwenden DNS, um Domänencontroller zu finden.
    • SRV-Einträge (Service Resource Records) werden verwendet, um Dienste wie LDAP oder Kerberos zu lokalisieren.
    • Beispiel: _ldap._tcp.dc._msdcs.firma.local zeigt auf einen DC, der LDAP-Dienste bereitstellt.
  3. Replikation:
    • DNS unterstützt die Replikation zwischen Domänencontrollern, indem es sicherstellt, dass die richtigen Server gefunden werden.
  4. Gesamtstrukturweite Namensauflösung:
    • DNS ermöglicht die Kommunikation zwischen Domänen in einer Gesamtstruktur.

c) Integrierte DNS-Zonen:

  • AD kann DNS-Zonen in der AD-Datenbank speichern und replizieren. Diese Zonen werden als Active Directory-integrierte Zonen bezeichnet.
  • Vorteile:
    • Automatische Replikation von DNS-Daten zwischen Domänencontrollern.
    • Höhere Sicherheit durch AD-Berechtigungen.
    • Kein separater DNS-Server erforderlich.

2. DNS-Zonen und -Einträge verwalten

a) DNS-Zonen:

  1. Primäre Zonen:
    • Enthalten die schreibbare Kopie der DNS-Daten.
    • In AD sind primäre Zonen oft AD-integriert.
  2. Sekundäre Zonen:
    • Eine schreibgeschützte Kopie einer primären Zone, die zur Lastverteilung und Redundanz verwendet wird.
  3. Stub-Zonen:
    • Enthalten nur die notwendigen Informationen, um DNS-Anfragen an einen anderen DNS-Server weiterzuleiten (z. B. NS- und SOA-Einträge).

b) DNS-Zonentypen in AD:

  1. Forward-Lookup-Zonen:
    • Übersetzen Domänennamen in IP-Adressen.
    • Beispiel: server1.firma.local → 192.168.1.10.
  2. Reverse-Lookup-Zonen:
    • Übersetzen IP-Adressen in Domänennamen.
    • Beispiel: 192.168.1.10 → server1.firma.local.

c) Wichtige DNS-Einträge:

  1. A (Address) Records:
    • Verknüpfen einen Hostnamen mit einer IPv4-Adresse.
    • Beispiel: server1.firma.local → 192.168.1.10.
  2. AAAA Records:
    • Verknüpfen einen Hostnamen mit einer IPv6-Adresse.
  3. CNAME (Canonical Name) Records:
    • Alias für einen anderen Hostnamen.
    • Beispiel: www.firma.local → server1.firma.local.
  4. SRV (Service) Records:
    • Lokalisieren Dienste wie LDAP oder Kerberos.
    • Beispiel: _ldap._tcp.dc._msdcs.firma.local.
  5. NS (Name Server) Records:
    • Zeigen auf die DNS-Server, die für eine Zone verantwortlich sind.
  6. PTR (Pointer) Records:
    • Werden in Reverse-Lookup-Zonen verwendet, um IP-Adressen in Hostnamen aufzulösen.

d) Verwaltung von DNS-Zonen und -Einträgen:

  1. DNS-Manager:
    • Öffne den DNS-Manager (dnsmgmt.msc), um Zonen und Einträge zu verwalten.
    • Beispiel: Hinzufügen eines neuen A-Records für einen Server.
  2. PowerShell:
    • Nutze PowerShell für die Verwaltung:
      • Neuen A-Record hinzufügen:Add-DnsServerResourceRecordA -Name "server1" -ZoneName "firma.local" -IPv4Address "192.168.1.10" Copy
      • SRV-Records anzeigen:Get-DnsServerResourceRecord -ZoneName "firma.local" -Name "_ldap._tcp.dc._msdcs" Copy
  3. Überwachung:
    • Überwache DNS-Server und Zonen auf Fehler oder veraltete Einträge.
    • Nutze Tools wie dcdiag und nslookup.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert