logo

Das DNS in Active Directory

Seit der Einführung von Active Directory im Rahmen von Windows 2000 Server spielt die Technologie im Arbeitsalltag von IT-Administratoren eine wichtige Rolle. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, doch viele Administratoren begannen schon Ende 1999 mit der Nutzung von Active Directory, das am 15. Dezember 1999 als RTM-Version bereitgestellt wurde.

Was ist das Active Directory-DNS?

AD DS beinhaltet eine Methode für die Speicherung und Replikation von DNS-Einträgen mithilfe von Active Directory-integrierten DNS-Zonen.

Alle in der Zone gespeicherten Einträge und Zonendaten werden mit dem nativen Replikationsdienst von AD DS auf anderen DNS-Servern repliziert. Jeder Domänencontroller speichert eine überschreibbare Kopie der DNS-Zonendaten für Namespaces, die er autorisiert. Active Directory-integrierte Zonen bieten außerdem die Möglichkeit, sichere dynamische Updates zu nutzen. So können Sie steuern, welche Computer Updates installieren dürfen, und nicht genehmigte Änderungen verhindern.

DNS-Zonendaten werden in einer Anwendungsverzeichnispartition gespeichert. Für die Speicherung von Zonendaten kommt die Partition „ForestDnsZones“ auf Gesamtstrukturebene zum Einsatz. Für jede AD DS-Domäne wird eine Domänenpartition namens „DomainDnsZones“ erstellt.

In der Regel wird für DNS-Implementierungen ein zusammenhängender Namespace verwendet.

Wenn beispielsweise eine AD DS-Domäne den vollqualifizierten Domänennamen (FQDN)corp.contoso.com“ hat, würde der FQDN eines Clients in dieser Domäne „client.corp.contoso.com“ lauten. AD DS und Active Directory-integrierte DNS-Zonen unterstützen jedoch auch nicht zusammenhängende Namespaces. In einem solchen Szenario könnte der FQDN der AD DS-Domäne „na.corp.contoso.com“ lauten, der FQDN eines Clients „client.corp.contoso.com“. Das Namenselement „na“ ist in diesem Beispiel nicht im FQDN des Clients enthalten. Bei der Verwendung unzusammenhängender Namespaces sind verschiedene Anforderungen und Aspekte zu berücksichtigen.

Weitere Informationen hierzu finden Sie unter https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx.

Drei wichtige DNS-Komponenten

Das DNS ist Voraussetzung für AD DS. In der AD DS-Infrastruktur werden insbesondere diese drei Komponenten verwendet:

  • Domänencontroller-Locator

Der Locator wird im Netzwerkanmeldungsdienst implementiert und stellt die Namen der Domänencontroller in einer AD DS-Umgebung bereit. Der Locator identifiziert die Domänencontroller in einer AD DS-Umgebung anhand der Adress- (A) und Diensteinträge (SRV) in den DNS-Ressourceneinträgen.

  • Active Directory-Domänennamen im DNS

Bei den AD DS-Domänennamen im DNS handelt es sich um die bereits erwähnten FQDNs.

  • Active Directory-DNS-Objekte

DNS-Domänen und AD DS-Domänen haben in der Regel denselben Namen, doch es handelt sich dabei um zwei separate Objekte mit unterschiedlichen Rollen. Das DNS speichert Zonen und Zonendaten, die von AD DS benötigt werden, und beantwortet DNS-Abfragen von Clients. AD DS speichert Objektnamen und Objekteinträge und nutzt LDAP-Abfragen, um Daten abzurufen oder zu ändern. In AD DS gespeicherte DNS-Zonen verfügen über ein Containerobjekt der Klasse „dnsZone“. Das dnsZone-Objekt verfügt über einen DNS-Knoten, der die Klasse „dnsNode“ verwendet. Für jeden eindeutigen Namen in einer DNS-Zone gibt es ein eindeutiges dnsNode-Objekt. In AD DS-Umgebungen ist dieses Objekt auch mit bestimmten Funktionen verbunden. Ein Domänencontroller kann somit verschiedene Rollen haben und beispielsweise als globaler Katalogserver dienen, was durch das dnsNode-Objekt gekennzeichnet ist.

DNS-Einträge im Active Directory

Wie bereits ausgeführt, werden Domänencontroller anhand der SRV-Einträge in einer DNS-Zone identifiziert. Die Komponenten von AD DS werden im DNS nach dem folgenden Format in der Unterdomäne „_msdcs“ gespeichert: _Service.Protocol.DcType._msdsc.DnsDomänenname.

Der Dienst Lightweight Directory Access Protocol-Dienst (LDAP) des primären Domänencontrollers (PDC) in der AD DS-Domäne „contoso.com“ hätte beispielsweise den Namen „_ldap._tcp.pdc.contoso.com“. Der Dienst und die Protokollzeichenfolgen verwenden als Präfix Unterstriche (_), um mögliche Konflikte mit vorhandenen Ressourcen oder Einträgen im Namespace zu vermeiden.

Der Netzwerkanmeldungsdienst benötigt für eine Suche 17 unterschiedliche SRV-Einträge. Eine vollständige Liste aller SRV-Einträge kann unter https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx abgerufen werden.

Zusätzlich zu den SRV-Einträgen benötigt der Netzwerkanmeldungsdienst außerdem zwei A-Einträge für Clients, die möglicherweise keine SRV-Einträge verwenden. Hierbei handelt es sich um den Eintrag für den DNS-Domänennamen und den Eintrag für „gc._msdsc.DnsForestName“. Auf diese Weise können auch Clients, die keine SRV-Einträge verwenden, mithilfe eines A-Eintrags einen Domänencontroller oder globalen Katalogserver suchen.

Best Practices

Das DNS ist anfällig für Sicherheitsbedrohungen wie Foot Printing, Denial-of-Service-Angriffe, Datenänderungen und Umleitungen.

Zur Abwehr dieser Bedrohungen können DNS-Zonen geschützt werden, indem sichere dynamische Updates verwendet, Zonenübertragungen beschränkt sowie die Zonendelegierung und DNS-Sicherheitserweiterungen (DNSSEC) implementiert werden. Werden sichere dynamische Updates verwendet, erfolgt die Authentifizierung von Computern über das Active Directory und bei Zonenübertragungen werden Sicherheitseinstellungen angewendet.

Zonenübertragungen können außerdem auf bestimmte IP-Adressen im Netzwerk beschränkt werden. Für die Zonendelegierung gibt es zwei Methoden.

Zum einen können DNS-Änderungen auf ein Team oder eine Person beschränkt werden. Dabei müssen alle Änderungen nachverfolgt und genehmigt werden. Diese Methode begrenzt die Anzahl der Personen, die Änderungen vornehmen dürfen, lässt jedoch eine einzelne Fehlerquelle zu.

Zum anderen können Zonen an Benutzer delegiert werden, die für die Verwaltung der einzelnen Komponenten eines Netzwerks oder einer Domäne zuständig sind. Auch bei dieser Methode müssen Änderungen nachverfolgt und genehmigt werden, doch das Risiko wird auf mehrere Personen verteilt. Auf diese Weise lässt sich der Schaden begrenzen, wenn nur eine Komponente kompromittiert wird.

DNSSEC

Zur Überprüfung von DNS-Antworten stellt DNSSEC Ursprungsautorität, Datenintegrität und authentifizierte Bestätigung der Abwesenheit bereit. Die DNSSEC-Implementierung von Windows Server 2012 entspricht den Standards für RFC 4033, 4034 und 4035.

Die folgenden sechs Ressourceneintragstypen werden speziell für DNSSEC verwendet:

  • Ressourceneintragssignatur (RRSIG)
  • Next Secure (NSEC)
  • Next Secure 3 (NSEC3)
  • Next Secure 3-Parameter (NSEC3PARAM)
  • DNS-Schlüssel (DNSKEY)
  • Delegierungssignaturgeber (DS)

Weitere Informationen zu den einzelnen Eintragstypen und ihrer Verwendung finden Sie unter https://technet.microsoft.com/en-us/library/jj200221.aspx.

Weitere Informationen zu Active Directory finden Sie auch in unserem Active Directory-Tutorial für Einsteiger.