von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Szenarien zur Namensauflösung
Bevor wir zu den nächsten Szenarien kommen, stellt sich die Frage:Warum sollte man ein Windows-basierendes DNS verwenden?
DNS-Server von Windows
Es wird insbesondere bei Migrationen immer wieder diskutiert, ob man den DNS-Service von Microsoft oder von Drittherstellern nutzen soll. Dies ist besonders bei Unternehmen, die derzeit bereits eine Nicht-Microsoft-DNS-Infrastruktur einsetzen, der Fall.
Vorteile des Microsoft DNS unter Windows 2000 und höher sind vor allem:
- Multi-Master-DNS-Zonen: Normalerweise darf nur immer ein DNSServer, der die primäre Zone hält, auf diese schreibend zugreifen. Ist die DNS-Zone in das Active Directory integriert, können alle Domänencontroller, die eine Kopie der Zone halten, diese auch beschreiben. Die intelligente Replikation des Active Directory löst die Konflikte.
- Replikation:Wenn die Zone in das Active Directory integriert ist, wird dessen Replikation verwendet. Die AD-Replikation ist darauf optimiert, sowohl innerhalb von Standorten wie auch über schwache WAN-Leitungen zuverlässig zu replizieren.
- Sichere dynamische DNS-Aktualisierungen: Ein AD-basiertes DNS kann auch die Sicherheit des Active Directory nutzen.Wenn ein Drittherstellerprodukt für DNS verwendet wird, können keine sicheren dynamischen Updates verwendet werden.
- Support aus einer Hand:Wir alle kennen das: ein Problem in der Infrastruktur, das den Support des Herstellers erfordert. Dabei fangen die Hersteller häufig an, sich die Schuld gegenseitig zuzuweisen.Wenn ich ein Problem mit dem Active Directory oder dem Microsoft DNS habe, erhalte ich den Support aus einer Hand, was bei derartigen Problemen durchaus wünschenswert ist.
Aber betrachten wir jetzt, wie ein Active Directory in eine bestehende DNSInfrastruktur eingebunden werden kann.
AD als Subdomäne einer bestehenden DNS-Umgebung
Wenn ein Unternehmen bereits eine DNS-Infrastruktur hat, diese von der Microsoft-Infrastruktur unabhängig und die Umgebung sehr heterogen ist, ist es manchmal gewünscht, die Windows-Domäne als Subdomäne in die bestehende DNS-Umgebung zu integrieren. Der größte Vorteil hiervon ist, dass der Windows- DNS-Service für die Windows-Domänen genutzt werden kann.
Hierbei muss der Administrator eine Delegation von dem bestehenden Namensraum für die neue Subdomäne einrichten. Die Subdomäne liegt auf den Active-Directory-basierten DNS-Servern. Auf den Windows-DNS-Servern wird eine Weiterleitung auf die darüber liegenden DNS-Server eingerichtet. Hierzu gibt es eine Variation, wenn getrennte Namensräume verwendet werden.
AD in einem parallelen Namensraum
Manchmal wünschen die Unternehmen auch, für die Windows-Welt einen neuen Namensraum zu verwenden. Dies sieht dann genauso aus wie bei dem eben beschriebenen Szenario. Alternativ dazu kann man aber mit dem Windows Server 2003 auch eine “Bedingte Weiterleitung” verwenden.
Hierbei kann der Windows Server 2003 den DNS-Server des ISP als Weiterleitung verwenden und fragt den bisherigen DNSServer nur für dessen Namensraum an. Die “Bedingte Weiterleitung” konfigurieren Sie in den Eigenschaften des DNS-Servers.
Manchmal ist es auch gewünscht, die Active- Directory-Domäne in einen bestehenden Namensraum zu integrieren. Hierfür gibt es zwei Varianten.
AD-Domäne in eine bestehende DNS-Umgebung integrieren und Subdomänen delegieren
Wenn die Active-Directory-Domäne in den bestehenden Namensraum integriert werden soll, kann der Administrator die Microsoft-spezifischen DNS-Subdomänen und die Active-Directory-Subdomänen auf einen Windows-DNS-Server delegieren.
Mit diesem Szenario kann das Unternehmen die Vorteile des Windows-DNS mit einem gemeinsamen DNS-Namen verbinden. Dynamische Aktualisierungen sind in allen Microsoft-spezifischen Subdomänen möglich und die Domänencontroller können ihre Einträge automatisch schreiben. Allerdings muss der Administrator alle Zonen manuell einrichten und konfigurieren. Dann hat er Delegationen für alle Zonen auf dem Nicht-Windows-DNS-Server einzurichten. Außerdem muss er die Host- Einträge für die Clients und Server der Rootdomäne im Nicht-Windows-DNS manuell pflegen. Daher sollte das Unternehmen darauf achten, dass die Clients und Server alle Mitglieder in der Active-Directory-Subdomäne sind.
Eine weitere Möglichkeit ist es, dass das Unternehmen darauf verzichtet, Microsoft DNS-Server zu verwenden
Die Active-Directory-Domänen in eine bestehende DNS-Domäne integrieren
Wenn man auf die Vorteile der Active- Directory-integrierten DNS-Zonen und dynamische Aktualisierungen verzichten kann und bereits eine Nicht-Windows- DNS-Infrastruktur im Einsatz ist, kann das Unternehmen die Active-Directory- Domäne auch in das bestehende DNS integrieren.
Dafür ist es notwendig, dass der Administrator jede Änderung der Standortstruktur, der Betriebsmaster, der Domänencontroller oder der globalen Katalogserver im DNS pflegt (normalerweise würden die Domänencontroller dies automatisch über die dynamischen Aktualisierungen machen).
Hierzu kann der Administrator die Datei “%windir%\system32\config\netlogon.dns” auf jedem Domänencontroller als Vorlage verwenden. In dieser Datei speichert der Domänencontroller, welche DNS-Einträge auf dem DNS-Server für ihn geschrieben werden müssen. Dann muss der Administrator dem Domänencontroller noch abgewöhnen, dass er die dynamischen Einträge schreiben will. Das kann er über den folgenden Registrierungsschlüssel machen:
HKLM\SYSTEM\CurrentControlSet\ Services\Netlogon\Parameters
RegisterDnsARecords = 0 (reg_DWord)
Aber wie kann sich der Administrator das Einrichten eines Windows-basierten DNS erleichtern?
Einrichten und Konfigurieren von DNS über die Befehlszeile
Wenn man DNS einrichten oder verwalten möchte, kann man sich eine
Ausgabe 04/05 des IT-Administrator Magazins S. 26- 31, Autor: Ulf B. Simon-Weidner
DNS-Server von Windows
Es wird insbesondere bei Migrationen immer wieder diskutiert, ob man den DNS-Service von Microsoft oder von Drittherstellern nutzen soll. Dies ist besonders bei Unternehmen, die derzeit bereits eine Nicht-Microsoft-DNS-Infrastruktur einsetzen, der Fall.
Vorteile des Microsoft DNS unter Windows 2000 und höher sind vor allem:
- Multi-Master-DNS-Zonen: Normalerweise darf nur immer ein DNSServer, der die primäre Zone hält, auf diese schreibend zugreifen. Ist die DNS-Zone in das Active Directory integriert, können alle Domänencontroller, die eine Kopie der Zone halten, diese auch beschreiben. Die intelligente Replikation des Active Directory löst die Konflikte.
- Replikation:Wenn die Zone in das Active Directory integriert ist, wird dessen Replikation verwendet. Die AD-Replikation ist darauf optimiert, sowohl innerhalb von Standorten wie auch über schwache WAN-Leitungen zuverlässig zu replizieren.
- Sichere dynamische DNS-Aktualisierungen: Ein AD-basiertes DNS kann auch die Sicherheit des Active Directory nutzen.Wenn ein Drittherstellerprodukt für DNS verwendet wird, können keine sicheren dynamischen Updates verwendet werden.
- Support aus einer Hand:Wir alle kennen das: ein Problem in der Infrastruktur, das den Support des Herstellers erfordert. Dabei fangen die Hersteller häufig an, sich die Schuld gegenseitig zuzuweisen.Wenn ich ein Problem mit dem Active Directory oder dem Microsoft DNS habe, erhalte ich den Support aus einer Hand, was bei derartigen Problemen durchaus wünschenswert ist.
Aber betrachten wir jetzt, wie ein Active Directory in eine bestehende DNSInfrastruktur eingebunden werden kann.
AD als Subdomäne einer bestehenden DNS-Umgebung
Wenn ein Unternehmen bereits eine DNS-Infrastruktur hat, diese von der Microsoft-Infrastruktur unabhängig und die Umgebung sehr heterogen ist, ist es manchmal gewünscht, die Windows-Domäne als Subdomäne in die bestehende DNS-Umgebung zu integrieren. Der größte Vorteil hiervon ist, dass der Windows- DNS-Service für die Windows-Domänen genutzt werden kann.
Hierbei muss der Administrator eine Delegation von dem bestehenden Namensraum für die neue Subdomäne einrichten. Die Subdomäne liegt auf den Active-Directory-basierten DNS-Servern. Auf den Windows-DNS-Servern wird eine Weiterleitung auf die darüber liegenden DNS-Server eingerichtet. Hierzu gibt es eine Variation, wenn getrennte Namensräume verwendet werden.
AD in einem parallelen Namensraum
Manchmal wünschen die Unternehmen auch, für die Windows-Welt einen neuen Namensraum zu verwenden. Dies sieht dann genauso aus wie bei dem eben beschriebenen Szenario. Alternativ dazu kann man aber mit dem Windows Server 2003 auch eine “Bedingte Weiterleitung” verwenden.
Hierbei kann der Windows Server 2003 den DNS-Server des ISP als Weiterleitung verwenden und fragt den bisherigen DNSServer nur für dessen Namensraum an. Die “Bedingte Weiterleitung” konfigurieren Sie in den Eigenschaften des DNS-Servers.
Manchmal ist es auch gewünscht, die Active- Directory-Domäne in einen bestehenden Namensraum zu integrieren. Hierfür gibt es zwei Varianten.
AD-Domäne in eine bestehende DNS-Umgebung integrieren und Subdomänen delegieren
Wenn die Active-Directory-Domäne in den bestehenden Namensraum integriert werden soll, kann der Administrator die Microsoft-spezifischen DNS-Subdomänen und die Active-Directory-Subdomänen auf einen Windows-DNS-Server delegieren.
Mit diesem Szenario kann das Unternehmen die Vorteile des Windows-DNS mit einem gemeinsamen DNS-Namen verbinden. Dynamische Aktualisierungen sind in allen Microsoft-spezifischen Subdomänen möglich und die Domänencontroller können ihre Einträge automatisch schreiben. Allerdings muss der Administrator alle Zonen manuell einrichten und konfigurieren. Dann hat er Delegationen für alle Zonen auf dem Nicht-Windows-DNS-Server einzurichten. Außerdem muss er die Host- Einträge für die Clients und Server der Rootdomäne im Nicht-Windows-DNS manuell pflegen. Daher sollte das Unternehmen darauf achten, dass die Clients und Server alle Mitglieder in der Active-Directory-Subdomäne sind.
Eine weitere Möglichkeit ist es, dass das Unternehmen darauf verzichtet, Microsoft DNS-Server zu verwenden
Die Active-Directory-Domänen in eine bestehende DNS-Domäne integrieren
Wenn man auf die Vorteile der Active- Directory-integrierten DNS-Zonen und dynamische Aktualisierungen verzichten kann und bereits eine Nicht-Windows- DNS-Infrastruktur im Einsatz ist, kann das Unternehmen die Active-Directory- Domäne auch in das bestehende DNS integrieren.
Dafür ist es notwendig, dass der Administrator jede Änderung der Standortstruktur, der Betriebsmaster, der Domänencontroller oder der globalen Katalogserver im DNS pflegt (normalerweise würden die Domänencontroller dies automatisch über die dynamischen Aktualisierungen machen).
Hierzu kann der Administrator die Datei “%windir%\system32\config\netlogon.dns” auf jedem Domänencontroller als Vorlage verwenden. In dieser Datei speichert der Domänencontroller, welche DNS-Einträge auf dem DNS-Server für ihn geschrieben werden müssen. Dann muss der Administrator dem Domänencontroller noch abgewöhnen, dass er die dynamischen Einträge schreiben will. Das kann er über den folgenden Registrierungsschlüssel machen:
HKLM\SYSTEM\CurrentControlSet\ Services\Netlogon\Parameters
RegisterDnsARecords = 0 (reg_DWord)
Aber wie kann sich der Administrator das Einrichten eines Windows-basierten DNS erleichtern?
Einrichten und Konfigurieren von DNS über die Befehlszeile
Wenn man DNS einrichten oder verwalten möchte, kann man sich eine
<<Vorherige Seite Seite 2 von 3 Nächste Seite>>
Ausgabe 04/05 des IT-Administrator Magazins S. 26- 31, Autor: Ulf B. Simon-Weidner
