In einem Windows-Netzwerk sind DNS (Domain Name System) und DHCP (Dynamic Host Configuration Protocol) die zwei fundamentalsten Netzwerkdienste. Ohne DNS kein Active Directory. Ohne DHCP müssen alle IP-Adressen manuell vergeben werden. Beide Dienste laufen in den meisten Umgebungen auf dem Domänencontroller – obwohl das für DHCP nicht zwingend erforderlich ist.
Active Directory ist vollständig von DNS abhängig. Clients nutzen DNS um den Domänencontroller zu finden. Der DC registriert sich selbst im DNS mit speziellen SRV-Records (Service Records) die Clients mitteilen wo sie den Kerberos-Dienst, LDAP und andere AD-Dienste finden.
Beispiel SRV-Records die AD registriert:
_ldap._tcp.fisipedia.de → DC01.fisipedia.de
_kerberos._tcp.fisipedia.de → DC01.fisipedia.de
_gc._tcp.fisipedia.de → DC01.fisipedia.de (Global Catalog)Stimmt die DNS-Konfiguration nicht, funktioniert die Domänenanmeldung nicht.
Eine DNS-Zone ist ein Verwaltungsbereich für DNS-Einträge. Windows DNS kennt verschiedene Zonentypen:
Primäre Zone: Die schreibbare Hauptkopie der Zone – Einträge können hier direkt bearbeitet werden
Sekundäre Zone: Eine schreibgeschützte Kopie der primären Zone – für Redundanz und Lastverteilung
Stub-Zone: Enthält nur die NS-Records (Nameserver-Records) einer Zone – für die Weiterleitung an andere DNS-Server
AD-integrierte Zone: Die primäre Zone wird in Active Directory gespeichert statt in einer Datei – automatische Replikation auf alle DCs, sicherer
In AD-Umgebungen sollte immer die AD-integrierte Zone verwendet werden.
Record-Typ | Funktion | Beispiel |
|---|---|---|
A | dc01 → 192.168.1.10 | |
AAAA | Hostname → IPv6-Adresse | dc01 → 2001:db8::1 |
PTR | IPv4-Adresse → Hostname (Reverse) | 192.168.1.10 → dc01.fisipedia.de |
CNAME | Alias auf einen anderen Hostnamen | www → webserver.fisipedia.de |
MX | Mailserver für eine Domain | fisipedia.de → mail.fisipedia.de |
SRV | Dienst-Eintrag (für AD, Kerberos etc.) | _ldap._tcp → dc01 |
NS | Nameserver für eine Zone | fisipedia.de NS → dc01 |
SOA | Start of Authority – Zoneninfo | Primärer NS, Seriennummer |
Ein interner DNS-Server kennt nur die internen Hostnamen. Anfragen für externe Namen (z.B. google.com) werden über Weiterleitungen (Forwarder) an externe DNS-Server weitergeleitet – z.B. an den DNS-Server des Providers oder an 8.8.8.8.
# DNS-Auflösung testen
nslookup dc01.fisipedia.de
nslookup -type=SRV _ldap._tcp.fisipedia.de
# DNS-Cache anzeigen
ipconfig /displaydns
# DNS-Cache leeren
ipconfig /flushdnsDer DHCP-Server vergibt automatisch IP-Konfigurationen an Clients die eine Verbindung zum Netzwerk aufbauen. Er vergibt:
DNS-Server-Adressen
Optionale weitere Informationen (WINS-Server, Domänenname etc.)
Ein Scope definiert einen Adressbereich der vergeben werden darf. Für jeden Adressbereich gibt es genau einen Scope. Ein Scope enthält:
Adressbereich: z.B. 192.168.1.100 bis 192.168.1.200
Subnetzmaske: z.B. 255.255.255.0
Ausschlüsse: Adressen die nicht vergeben werden sollen (z.B. für Drucker mit fester IP)
Lease-Zeit: Wie lange eine Adresse gültig ist (Standard: 8 Tage)
DHCP-Optionen: Gateway, DNS-Server etc.
Eine Reservierung weist einem bestimmten Gerät (identifiziert durch MAC-Adresse) immer dieselbe IP-Adresse zu. Das ist nützlich für Drucker, Server oder andere Geräte die eine feste IP brauchen aber trotzdem per DHCP konfiguriert werden sollen.
In einer Active-Directory-Umgebung müssen DHCP-Server autorisiert werden. Das verhindert dass ein nicht autorisierter DHCP-Server (Rogue DHCP Server) versehentlich falsche IP-Adressen vergibt. Die Autorisierung erfolgt in der DHCP-Konsole durch ein Domain-Admin-Konto.
Seit Windows Server 2012 unterstützt der DHCP-Dienst DHCP-Failover. Zwei DHCP-Server teilen sich einen Scope und können sich bei Ausfall gegenseitig vertreten. Modi:
Hot Standby: Ein Server ist aktiv, der andere übernimmt bei Ausfall
Load Sharing: Beide Server bedienen Anfragen gleichzeitig
Superscope: Fasst mehrere Scopes zu einem zusammen – nützlich wenn ein Subnetz mehrere IP-Bereiche hat
Multicast-Scope: Vergibt Multicast-Adressen (224.0.0.0 – 239.255.255.255) für Multicast-Anwendungen
DNS ist für Active Directory zwingend – SRV-Records zeigen Clients wo DC, Kerberos und LDAP laufen
AD-integrierte DNS-Zonen werden in AD gespeichert – automatische Replikation, sicherer
Wichtige Record-Typen: A, AAAA, PTR, CNAME, MX, SRV, NS, SOA
DNS-Weiterleitungen (Forwarder) leiten externe Anfragen an öffentliche DNS-Server weiter
DHCP-Scopes definieren vergabefähige IP-Adressbereiche
DHCP-Reservierungen geben bestimmten Geräten (MAC) immer dieselbe IP
DHCP-Server in AD müssen autorisiert werden (Schutz vor Rogue DHCP)
DHCP-Failover ermöglicht Redundanz zwischen zwei DHCP-Servern