Der DNS-Serverdienst ist in das Konzept und die Implementierung von Active Directory-Domänendienste (Active Directory Domain Services, AD DS) integriert. AD DS stellt ein Tool für die Strukturierung, Verwaltung und Suche von Ressourcen in einem Netzwerk bereit.

Bei der Bereitstellung von DNS-Servern (Domain Name System) mit AD DS sollten Sie Folgendes berücksichtigen:

  • DNS wird für die Suche nach Domänencontrollern benötigt.

    Der Netzwerkanmeldedienst verwendet die DNS-Serverunterstützung zur Registrierung von Domänencontrollern in Ihrem DNS-Domänennamespace.

  • DNS-Server unter Windows Server 2003 oder Windows Server 2008 können AD DS zur Speicherung und Replikation Ihrer Zonen verwenden.

    Durch die Integration Ihrer Zonen in AD DS können Sie die Vorteile von DNS-Features nutzen, z. B. die AD DS-Replikation, sichere dynamische Updates sowie die Aufzeichnung von Alterungs- und Aufräumvorgängen.

Integration von DNS in AD DS

Wenn Sie AD DS auf einem Server installieren, stufen Sie den Server zu einem Domänencontroller für eine bestimmte Domäne hoch. Bei diesem Vorgang werden Sie aufgefordert, einen DNS-Domänennamen für die AD DS-Domäne anzugeben, der Sie beitreten möchten und für die Sie den Server hochstufen. Außerdem erhalten Sie die Möglichkeit, die DNS-Serverrolle zu installieren. Diese Option wird bereitgestellt, da ein DNS-Server benötigt wird, um diesen Server oder andere Domänencontroller für die Mitglieder einer AD DS-Domäne zu ermitteln.

Vorteile der AD DS-Integration

Für Netzwerke, die DNS zur Unterstützung von AD DS bereitstellen, werden Directory-integrierte primäre Zonen dringend empfohlen. Sie bieten die folgenden Vorteile:

  • DNS bietet eine Multimaster-Datenreplikation und verbesserte Sicherheit basierend auf den Funktionen von AD DS.

    In einem standardmäßigen Zonenspeichermodell werden DNS-Updates anhand eines Einzelmaster-Updatemodells durchgeführt. Bei diesem Modell wird ein einzelner autorisierender DNS-Server für eine Zone als primäre Quelle für die Zone definiert. Dieser Server verwaltet die Masterkopie der Zone in einer lokalen Datei. Bei diesem Modell stellt der primäre Server für die Zone die einzige feste Fehlerquelle dar. Wenn dieser Server nicht verfügbar ist, werden keine Updateanforderungen von DNS-Clients für die Zone verarbeitet.

    Bei der Directory-integrierten Speicherung werden dynamische Updates von DNS an AD DS-integrierte DNS-Server gesendet und auf allen anderen AD DS-integrierten DNS-Servern mithilfe der AD DS-Replikation repliziert. Bei diesem Modell können alle AD DS-integrierten DNS-Server dynamische Updates für die Zone akzeptieren. Da die Masterkopie der Zone in der AD DS-Datenbank verwaltet wird, die auf allen Domänencontrollern vollständig repliziert wird, kann die Zone von jedem DNS-Server aktualisiert werden, der auf einem Domänencontroller für die Domäne ausgeführt wird. Mithilfe des Multimaster-Updatemodells von AD DS kann jeder primäre Server für die Directory-integrierte Zone Anforderungen von DNS-Clients verarbeiten, um die Zone zu aktualisieren, so lange ein Domänencontroller verfügbar und über das Netzwerk erreichbar ist.

    Bei Verwendung von Directory-integrierten Zonen können Sie zudem Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um einen dnsZone-Objektcontainer in der Verzeichnisstruktur zu sichern. Dieses Feature ermöglicht einen genau festgelegten Zugriff auf die Zone oder auf einen Ressourceneintrag in der Zone. Eine ACL für einen Zonenressourceneintrag kann beispielsweise so eingeschränkt werden, dass dynamische Updates nur für einen bestimmten Clientcomputer oder eine sichere Gruppe, z. B. eine Gruppe von Domänenadministratoren, zulässig sind. Dieses Sicherheitsfeature ist für standardmäßige primäre Zonen nicht verfügbar.

  • Zonen werden automatisch auf neuen Domänencontrollern repliziert und synchronisiert, sobald einer AD DS-Domäne eine neue Zone hinzugefügt wird.

    Der DNS-Serverdienst kann von einem einzelnen Domänencontroller entfernt werden. Allerdings sind die Directory-integrierten Zonen dann bereits auf jedem Domänencontroller gespeichert. Daher stellt die Zonenspeicherung und -verwaltung keine zusätzliche Ressource dar. Darüber hinaus bewirken die Methoden, die zur Synchronisierung von Informationen verwendet werden, die in AD DS gespeichert sind, eine Verbesserung der Leistung im Vergleich mit den standardmäßigen Zonenupdatemethoden, die mitunter eine Übertragung der gesamten Zone erfordern können.

  • Durch die Integration der Speicherung Ihrer DNS-Zonendatenbanken in AD DS können Sie die Planung der Datenbankreplikation für Ihr Netzwerk optimieren.

    Wenn Ihr DNS-Namespace und die AD DS-Domänen einzeln gespeichert und repliziert werden, müssen Sie diese Elemente auch einzeln planen und möglicherweise auch einzeln verwalten. Wenn Sie beispielsweise die standardmäßige DNS-Zonenspeicherung und AD DS zusammen verwenden, müssen Sie zwei verschiedene Datenbank-Replikationstopologien entwerfen, implementieren, testen und verwalten.

    Eine der Replikationstopologien wird beispielsweise zur Replikation von Verzeichnisdaten zwischen Domänencontrollern benötigt und die andere Topologie zur Replikation von Zonendatenbanken zwischen DNS-Servern. Dadurch kann die Planung und Entwicklung Ihres Netzwerks sowie eine künftige Erweiterung komplexer werden. Durch die Integration des DNS-Speichers werden die Speicherverwaltung und Replikation für DNS und AD DS vereinheitlicht und beide Komponenten in einer gemeinsamen Verwaltungseinheit zusammengeführt.

  • Die Directory-integrierte Replikation ist schneller und effizienter als die Standard-DNS-Replikation.

    Da die Verarbeitung der AD DS-Replikation pro Eigenschaft erfolgt, werden nur relevante Änderungen propagiert. Bei Updates für Zonen, die in AD DS gespeichert werden, werden weniger Daten verwendet und übermittelt.

Nur primäre Zonen können in AD DS gespeichert werden. Ein DNS-Server kann keine sekundären Zonen in AD DS speichern. Diese müssen in standardmäßigen Textdateien gespeichert werden. Bei Verwendung des Multimaster-Replikationsmodells von AD DS sind keine sekundären Zonen mehr erforderlich, wenn alle Zonen in AD DS gespeichert sind.

Weitere Informationen zur Konfiguration von DNS für die AD DS-Integration finden Sie unter Konfigurieren eines DNS-Servers für die Verwendung mit Active Directory-Domänendienste und unter Prüfliste: Hinzufügen eines Domänencontrollers mit dem DNS-Serverdienst


Inhaltsverzeichnis