Wenn Sie Weiterleitungen zur Verwaltung des DNS-Datenverkehrs (Domain Name System) zwischen Ihrem Netzwerk und dem Internet verwenden möchten, müssen Sie die Firewall des Netzwerks so konfigurieren, dass nur ein DNS-Server mit dem Internet kommunizieren kann. Wenn Sie die anderen DNS-Server in Ihrem Netzwerk für die Weiterleitung von Abfragen konfigurieren, ist mithilfe dieses DNS-Servers keine lokale Auflösung möglich, da er nur als Weiterleitung dient. Weitere Informationen zu Weiterleitungen finden Sie unter Grundlegendes zu Weiterleitungen.

Weiterleitungsreihenfolge

Die Listenreihenfolge der IP-Adressen, die als Weiterleitungen auf einem DNS-Server definiert sind, bestimmt die Reihenfolge, in der die IP-Adressen verwendet werden. Nachdem der DNS-Server die Abfrage an die Weiterleitung mit der ersten IP-Adresse weitergeleitet hat, wartet er kurze Zeit auf eine Antwort von dieser Weiterleitung (entsprechend der Einstellung für das Weiterleitungszeitlimit des DNS-Servers), bevor er den Weiterleitungsversuch mit der nächsten IP-Adresse fortsetzt. Er setzt diesen Vorgang fort, bis er eine positive Antwort von einer Weiterleitung erhält.

In der folgenden Abbildung erhält der DNS-Server beispielsweise keine Antwort von den DNS-Servern mit der ersten und der zweiten Weiterleitungs-IP-Adresse. Der DNS-Server mit der dritten Weiterleitungs-IP-Adresse antwortet, und die Abfrage wird an diesen DNS-Server weitergeleitet.

Weiterleitungsreihenfolge

Ausgelagerter VPN-Remotezugriff

Im Gegensatz zur konventionellen Auflösung, bei der jedem Server eine Roundtrip-Zeit (RTT) zugewiesen wird, werden die IP-Adressen in der Weiterleitungsliste nicht anhand der Roundtrip-Zeit sortiert. Sie müssen sie manuell sortieren, um die Priorität zu ändern.

Bedingte Weiterleitungen

Bedingte Weiterleitungen sind DNS-Server, die Abfragen anhand von Domänennamen weiterleiten. Anstatt alle Abfragen, die ein DNS-Server nicht auflösen kann, an eine Weiterleitung weiterleiten zu lassen, können Sie DNS-Server für die Weiterleitung von Abfragen an verschiedene Weiterleitungen anhand des Domänennamens, der in den Abfragen angegeben ist, konfigurieren. Bei der Weiterleitung anhand des Domänennamens wird der konventionelle Weiterleitungsvorgang durch das Hinzufügen einer namenbasierten Bedingung verbessert.

Die Einstellung für bedingte Weiterleitungen für einen DNS-Server umfasst die folgenden Elemente:

  • Die Domänennamen, für die der DNS-Server Abfragen weiterleitet

  • Eine oder mehrere DNS-Server-IP-Adressen für jeden angegebenen Domänennamen

Wenn ein DNS-Client oder -Server einen Abfragevorgang für einen DNS-Server ausführt, überprüft der DNS-Server, ob er die Abfrage anhand seiner eigenen Zonendaten oder anhand der Daten in seinem Cache auflösen kann. Wenn der DNS-Server für Weiterleitungen für den Domänennamen, der in der Abfrage angegeben ist, konfiguriert ist, wird die Abfrage an die IP-Adresse einer Weiterleitung weitergeleitet, die mit diesem Domänennamen verknüpft ist. In der folgenden Abbildung werden beispielsweise alle Abfragen für die Domänennamen an einen DNS-Server weitergeleitet, der mit dem Domänennamen verknüpft ist.

Bedingte Weiterleitung

DFÜ- und VPN-Remotezugriff

Wenn auf dem DNS-Server keine Weiterleitungen für den Namen vorhanden sind, der in der Abfrage angegeben ist, versucht der Server, die Abfrage durch eine standardmäßige Rekursion aufzulösen. Weitere Informationen finden Sie unter Konfigurieren eines DNS-Servers für die Verwendung von Weiterleitungen.

Mithilfe bedingter Weiterleitungen kann die Namensauflösung zwischen internen (privaten) DNS-Namespaces verbessert werden, die nicht Teil des DNS-Namespace des Internets sind. Solche DNS-Namespaces können das Ergebnis einer Firmenfusion sein. Wenn Sie die DNS-Server in einem internen Namespace für die Weiterleitung aller Abfragen an die autorisierenden DNS-Server in einem zweiten internen Namespace konfigurieren, ermöglichen bedingte Weiterleitungen die Namensauflösung zwischen den beiden Namespaces, ohne eine Rekursion für den DNS-Namespace des Internets durchzuführen. Durch diese Verbesserung der Namensauflösung wird zudem vermieden, dass Ihre DNS-Server für verschiedene Namespaces in Ihrem Netzwerk eine Rekursion bis zum internen Stamm durchführen.

Wichtig

Ein DNS-Server kann keine Abfragen für Domänennamen in den Zonen weiterleiten, für die er als Host fungiert. Der autorisierende DNS-Server für die Zone widgets.tailspintoys.com kann beispielsweise keine Abfragen anhand des Domänennamens widgets.tailspintoys.com weiterleiten. Der DNS-Server, der für widgets.tailspintoys.com autorisierend ist, kann Abfragen für DNS-Namen weiterleiten, die mit hr.widgets.tailspintoys.com enden, wenn hr.widgets.tailspintoys.com an einen anderen DNS-Server delegiert wird.

Domänennamenlänge für bedingte Weiterleitungen

Wenn ein DNS-Server, der für eine bedingte Weiterleitung konfiguriert ist, eine Abfrage für einen Domänennamen erhält, vergleicht er den Domänennamen mit seiner Liste von Domänennamenbedingungen und verwendet die längste Domänennamenbedingung, die dem Domänennamen in der Abfrage entspricht. In der nächsten Abbildung führt der DNS-Server beispielsweise die folgende Logik für die bedingte Weiterleitung aus, um zu bestimmen, wie eine Abfrage für einen Domänennamen weitergeleitet werden soll:

  1. Der DNS-Server empfängt eine Abfrage für toys.widgets.tailspintoys.com.

  2. Er vergleicht den Domänennamen mit tailspintoys.com und widgets.tailspintoys.com.

  3. Der DNS-Server stellt fest, dass widgets.tailspintoys.com der Domänenname ist, der dem Domänennamen in der Abfrage am ehesten entspricht.

  4. Der DNS-Server leitet die Abfrage an den DNS-Server mit der IP-Adresse 172.31.255.255 weiter, der mit widgets.tailspintoys.com verknüpft ist.

Bedingte Weiterleitungen anhand der Domänennamenlänge

Ethernet-Switch-Zugriff

Inhaltsverzeichnis