The Cable GuyDNS-Verbesserungen in Windows Server 2008
Joseph Davies
Dieser Artikel basiert auf einer Vorabversion von Windows Server 2008. Die in diesem Artikel enthaltenen Informationen können jederzeit geändert werden.
Microsoft hat einen DNS-Serverdienst (Domain Name System) in die Versionen von Windows Server seit Windows NT 4.0 aufgenommen.DNS ist eine hierarchische, verteilte Datenbank, die Zuordnungen von DNS-Domänennamen zu verschiedenen Datentypen wie IP-Adressen enthält.In Windows Server 2008 umfasst der DNS-Serverdienst den neuen
Zonenladevorgang im Hintergrund, Verbesserungen zur Unterstützung von IPv6, Unterstützung für schreibgeschützte Domänencontroller (Read-only Domain Controllers, RODCs) und die Möglichkeit, globale Namen mit einer einfachen Bezeichnung zu hosten.
Zonenladevorgang im Hintergrund
Der DNS-Serverdienst in Windows Server® 2008 beschleunigt den Datenabruf durch Implementieren des Zonenladevorgangs im Hintergrund.In der Vergangenheit kam es in Unternehmen mit Zonen, die eine große Anzahl von Datensätzen in Active Directory® enthielten, zu Verzögerungen von bis zu einer Stunde oder mehr, wenn der DNS-Serverdienst in Windows Server 2003 versuchte, beim Neustart die DNS-Daten aus Active Directory abzurufen.Während dieser Verzögerungen war der DNS-Server für DNS-Clientanforderungen für seine gehosteten Zonen nicht verfügbar.
Um dieses Problem zu lösen, ruft der DNS-Serverdienst in Windows Server 2008 nach dem Start Zonendaten aus Active Directory im Hintergrund ab, sodass er auf Anforderungen von Daten aus anderen Zonen antworten kann.Wenn der Dienst startet, erstellt er einen oder mehrere Ausführungsthreads, um die in Active Directory gespeicherten Zonen zu laden.Da separate Threads zum Laden der Active Directory-basierten Zonen vorhanden sind, kann der DNS-Serverdienst auf Abfragen antworten, während der Zonenladevorgang gerade ausgeführt wird.Wenn ein DNS-Client Daten in einer Zone anfordert, die bereits geladen wurde, antwortet der DNS-Server entsprechend.Wenn Daten in einer Zone angefordert werden, die noch nicht vollständig abgerufen wurde, ruft der DNS-Server stattdessen die spezifischen Daten aus Active Directory ab.
Diese Möglichkeit zum Abrufen bestimmter Daten aus Active Directory während des Zonenladevorgangs stellt einen zusätzlichen Vorteil gegenüber der Speicherung von Zoneninformationen in Dateien bereit, da der DNS-Serverdienst nun sofort auf Anforderungen antworten kann.Wenn die Zone in Dateien gespeichert ist, muss der Dienst die Datei sequenziell lesen, bis die Daten gefunden werden.
Verbesserte Unterstützung für IPv6
IPv6, das in früheren Ausgaben dieser Rubrik behandelt wurde, ist eine neue Sammlung von Standardinternetprotokollen.IPv6 wurde entwickelt, um viele Probleme der aktuellen Version (IPv4) wie Adressenknappheit, Sicherheit, automatische Konfiguration und den Bedarf an Erweiterbarkeit zu lösen.
Ein Unterschied in IPv6 besteht darin, dass die Adressen 128 Bit lang sind, während IPv4-Adressen nur 32 Bit lang sind.IPv6-Adressen werden in Hexadezimalnotation mit Doppelpunkt ausgedrückt.Jede Hexadezimalziffer entspricht 4 Bit der IPv6-Adresse.Eine vollständig dargestellte IPv6-Adresse besteht aus 32 Hexadezimalziffern in 8 Blöcken, die durch Doppelpunkte getrennt sind.Ein Beispiel für eine vollständig dargestellte IPv6-Adresse ist FD91:2ADD:715A:2111:DD48:AB34:D07C:3914.
Die Forwardnamensauflösung für IPv6-Adressen verwendet den IPv6-Host-DNS-Datensatz, der als AAAA-Datensatz (ausgesprochen „Quad-A“) bezeichnet wird.Für die Reversenamensauflösung verwendet IPv6 die IP6.ARPA-Domäne, und jede Hexadezimalziffer in der 32-stelligen IPv6-Adresse wird in umgekehrter Reihenfolge zu einer eigenständigen Ebene in der umgekehrten Domänenhierarchie.Der Reverse-Lookup-Domänenname für die Adresse FD91:2ADD:715A:2111:DD48:AB34:D07C:3914 ist beispielsweise 4.1.9.3.C.7.0.D.4.3.B.A.8.4.D.D.1.1.1.2.A.5.1.7.D.D.A.2.1.9.D.F.IP6.ARPA.
Der DNS-Serverdienst in Windows Server 2003 unterstützt die Forward- und Reversenamensauflösung für IPv6. Die Unterstützung ist jedoch nicht vollständig integriert.Um beispielsweise einen IPv6-Adressdatensatz (den gerade erörterten AAAA-Datensatz) im Windows Server 2003-DNS-Manager-Snap-In zu erstellen, müssen Sie mit der rechten Maustaste auf die Zone klicken, auf „Other New Records“ (Weitere neue Einträge) klicken und dann auf IPv6-Host (AAAA) als Ressourceneintragstyp doppelklicken.Um einen AAAA-Datensatz im DNS-Manager-Snap-In für Windows Server 2008 hinzuzufügen, klicken Sie mit der rechten Maustaste auf den Zonennamen und klicken dann auf „Neuer Host“ (A oder AAAA).Im Dialogfeld „Neuer Host“ können Sie eine IPv4- oder eine IPv6-Adresse eingeben.Abbildung 1 zeigt ein Beispiel.
Abbildung 1** Dialogfeld „Neuer Host“ **
Ein weiteres Beispiel für bessere Unterstützung für IPv6 ist die Unterstützung von Reverse-IPv6-Zonen.Um eine Reverse-Lookupzone im DNS-Manager-Snap-In für Windows Server 2003 zu erstellen, müssen Sie den Reverse-Zonennamen manuell auf der Seite „Reverse Zone Lookup Name“ (Reverse-Lookupzonenname) des Assistenten zum Erstellen neuer Zonen eingeben.Ein Beispiel für einen Reverse-Zonennamen in DNS ist 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa (für das IPv6-Subnetzpräfix 2001:db8:0:1::/64, vollständig dargestellt als 2001:0db8:0000:0001::/64).
IPv6-Reverse-Zonen im DNS-Manager-Snap-In für Windows Server 2008 sind jetzt in den Assistenten zum Erstellen neuer Zonen integriert.Der Assistent verfügt über eine neue Seite, auf der Sie zur Auswahl einer IPv4- oder IPv6-Reverse-Lookupzone aufgefordert werden.Für eine IPv6-Reverse-Lookupzone müssen Sie nur das IPv6-Subnetzpräfix eingeben, und der Assistent erstellt die Zone automatisch.Abbildung 2 zeigt ein Beispiel.
Abbildung 2** Benennen einer IPv6-Reverse-Lookupzone **(Klicken Sie zum Vergrößern auf das Bild)
Eine weitere Verbesserung bei Reverse-Zonen ist die Art und Weise, wie das DNS-Manager-Snap-In IPv6-Zeigerdatensätze (Pointer, PTR) anzeigt.Abbildung 3 veranschaulicht, wie das DNS-Manager-Snap-In für Windows Server 2003 einen PTR-Datensatz anzeigt.
Abbildung 3** PTR-Datensatz für IPv6 in Windows Server 2003 **(Klicken Sie zum Vergrößern auf das Bild)
Obwohl diese Anzeige die Struktur des DNS-Namespace für IPv6-Reverse-Domänennamen genau wiedergibt, erschwert sie die PTR-Datensatzverwaltung für IPv6-Adressen.Abbildung 4 zeigt, wie das DNS-Manager-Snap-In für Windows Server 2008 einen PTR-Datensatz anzeigt.
Abbildung 4** PTR-Datensatz für IPv6 in Windows Server 2008 **(Klicken Sie zum Vergrößern auf das Bild)
Der DNS-Serverdienst in Windows Server 2003 unterstützt Vorgänge über IPv6, aber dies muss manuell mit dem dnscmd /config /EnableIPv6 1-Befehl aktiviert werden.Dagegen unterstützt Windows Server 2008 standardmäßig Vorgänge über IPv6.Das Dnscmd.exe-Befehlszeilentool wurde so aktualisiert, dass IPv6-Adressen in Befehlszeilenoptionen akzeptiert werden.Zudem kann der DNS-Serverdienst jetzt rekursive Abfragen an reine IPv6-Server senden, und die Serverweiterleitungsliste kann sowohl IPv4- als auch IPv6-Adressen enthalten.
Weitere Informationen über IPv6 und darüber, wie das Protokoll in Windows® unterstützt wird, finden Sie unter microsoft.com/ipv6.
Unterstützung für schreibgeschützte Domänencontroller
Windows Server 2008 führt auch den RODC ein, eine neue Art von Domänencontroller, der eine schreibgeschützte Kopie von Active Directory-Informationen enthält und Active Directory-Funktionen durchführt, aber nicht direkt konfiguriert werden kann.RODCs sind weniger anfällig für Angriffe und können an Orten untergebracht werden, wo die physische Sicherheit des Domänencontrollers nicht garantiert werden kann oder wo das Netzwerk potenziell schädliche Hosts enthält.
Für RODCs unterstützt der DNS-Serverdienst in Windows Server 2008 den neuen primären schreibgeschützten Zonentyp.Wenn ein Computer zu einem RODC wird, repliziert er eine vollständige schreibgeschützte Kopie aller Anwendungsverzeichnispartitionen, die der DNS verwendet, einschließlich Domänenpartition, ForestDNSZones und DomainDNSZones.So wird gewährleistet, dass der DNS-Serverdienst, der auf dem RODC ausgeführt wird, über eine vollständige schreibgeschützte Kopie aller DNS-Zonen verfügt, die in den Verzeichnispartitionen eines Domänencontrollers gespeichert sind, bei dem es sich nicht um einen RODC handelt.Sie können den Inhalt einer primären schreibgeschützten Zone auf einem RODC anzeigen, aber Sie können ihn nicht ändern.Der Inhalt der Zone muss auf einem Domänencontroller geändert werden, bei dem es sich nicht um einen RODC handelt.
GlobalNames-Zone
Namensauflösung mit der GlobalNames-Zone
Wenn ein Windows Vista-basierter DNS-Client nach Bereitstellung der GlobalNames-Zone versucht, einen Namen mit einer einfachen Bezeichnung aufzulösen, fügt er das primäre DNS-Suffix an die einfache Bezeichnung an und sendet die Namensabfrage an seinen DNS-Server.
Wenn der Name nicht gefunden wird, sendet der DNS-Client zusätzliche Namensabfragen für die Kombination aus der einfachen Bezeichnung und den Suffixen in seiner DNS-Suffixsuchliste (bei entsprechender Konfiguration).Wenn keiner dieser Namen aufgelöst wird, fordert der Client die Auflösung mithilfe der einfachen Bezeichnung an.
Der DNS-Server sucht die einfache Bezeichnung in der GlobalNames-Zone.Wenn sie dort angezeigt wird, sendet der DNS-Server die aufgelöste IPv4-Adresse oder den FQDN zurück an den DNS-Client.Andernfalls konvertiert der DNS-Clientcomputer den Namen in einen NetBIOS-Namen und verwendet NetBIOS-Verfahren einschließlich WINS zur Namensauflösung.Am DNS-Clientdienst müssen keine Änderungen vorgenommen werden, um die Auflösung der einfachen Bezeichnung in der GlobalNames-Zone zu aktivieren.
Windows Server 2008 und Windows Vista® unterstützen das NetBIOS über TCP/IP-Protokoll (NetBT).NetBT verwendet NetBIOS-Namen zum Identifizieren von Sitzungsschicht-NetBIOS-Anwendungen.Obwohl die NetBIOS-Namensauflösung mit WINS für aktuelle Versionen von Windows, die Windows Sockets-basierte Netzwerkanwendungen und DNS zur Namensauflösung benötigen, nicht erforderlich ist, stellen viele Microsoft-Kunden WINS in ihren Netzwerken bereit, um ältere NetBT-Anwendungen zu unterstützen und die Namensauflösung für einfache Bezeichnungen in ihren Organisationen bereitzustellen.Einfache Bezeichnungen beziehen sich in der Regel auf wichtige, bekannte und häufig verwendete Server in einer Organisation wie E-Mail Server, zentrale Webserver oder die Server für Branchenanwendungen.
Damit diese einfachen Bezeichnungen organisationsweit nur mithilfe von DNS aufgelöst werden können, könnte es erforderlich sein, den DNS-Domänen Ihrer Organisation A-Datensätze hinzuzufügen, sodass ein Windows-basierter DNS-Client den Namen unabhängig von dessen zugewiesenem DNS-Domänensuffix oder der Suffixsuchliste auflösen kann.
Angenommen die contoso.com-Organisation hat einen zentralen Webserver namens CWEB, der Mitglied der central.contoso.com-Domäne ist.Um eine einfache Bezeichnung für den Server CWEB zu implementieren, wenn DNS-Clients das DNS-Domänensuffix wcoast.contoso.com, central.contoso.com oder ecoast.contoso.com zugewiesen werden kann, muss der Netzwerkadministrator zwei zusätzliche A-Datensätze für cweb.wcoast.contoso.com und cweb.ecoast.contoso.com erstellen. Sie sollten jedoch beachten, dass manuell erstellte A-Datensätze für einfache Bezeichnungen bei Änderungen in der IPv4-Adresszuweisung oder bei neuen Namen verwaltet werden müssen.
Wenn contoso.com für ältere NetBT-Anwendungen WINS bereits verwendet, kann ein Netzwerkadministrator die Namensauflösung für die einfache Bezeichnung CWEB durch Hinzufügen eines einzelnen statischen WINS-Datensatzes zur WINS-Infrastruktur implementieren.Wenn sich die IPv4 Adresse ändert, muss nur der einzelne statische WINS-Datensatz geändert werden.Da einfache Bezeichnungen auf WINS leichter verwaltet werden können, verwenden viele Windows-basierte Netzwerke statische WINS-Datensätze für einfache Bezeichnungen.
Um eine Lösung für die Auflösung einfacher Bezeichnungen im DNS bereitzustellen, die sich ebenso leicht wie statische WINS-Datensätze verwalten lässt, unterstützt der DNS-Serverdienst in Windows Server 2008 eine neue Zone namens „GlobalNames“ zum Speichern von einfachen Bezeichnungen.Der Replikationsbereich dieser Zone ist in der Regel eine Gesamtstruktur, die die Auflösung für einfache Bezeichnungen über eine vollständige Active Directory-Gesamtstruktur bereitstellt.Zusätzlich kann die GlobalNames-Zone die Auflösung einfacher Bezeichnungen in einer Organisation unterstützen, die mehrere Gesamtstrukturen enthält, wenn Sie Ressourceneinträge zur Dienstidentifizierung (Service Location, SRV) zum Veröffentlichen des Speicherorts der GlobalNames-Zone verwenden.
Im Unterschied zu WINS soll die GlobalNames-Zone die Auflösung von einfachen Bezeichnungen für einen begrenzten Satz von Hostnamen bereitstellen, bei denen es sich in der Regel um die zentralen und wichtigen Server einer Organisation handelt, die von der IT-Abteilung verwaltet werden.Die GlobalNames-Zone sollte nicht zum Speichern der Namen von Desktopcomputern oder anderen Servern verwendet werden, deren IPv4-Adressen sich ändern können, und unter keinen Umständen werden von ihr dynamische DNS-Updates unterstützt.Sie wird am häufigsten für Aliasressourceneinträge (CNAME) zum Zuordnen einer einfachen Bezeichnung zu einem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) verwendet.Für Netzwerke, die derzeit WINS verwenden, enthält die GlobalNames-Zone normalerweise Ressourceneinträge für von der IT-Abteilung verwaltete Namen, die bereits statisch in WINS konfiguriert sind.
Die GlobalNames-Zone stellt die Auflösung von einfachen Bezeichnungen nur dann bereit, wenn auf allen maßgeblichen DNS-Servern Windows Server 2008 ausgeführt wird. Doch auf anderen DNS-Servern, die für keine Zone maßgeblich sind, können ältere Versionen von Windows oder andere Betriebssysteme ausgeführt werden.Die GlobalNames-Zone muss in der Gesamtstruktur eindeutig sein.
Für maximale Leistung und Skalierbarkeit sollte die GlobalNames-Zone in Active Directory integriert werden, und Sie sollten jeden maßgeblichen DNS-Server mit einer lokalen Kopie dieser Zone konfigurieren.Dies ist erforderlich, damit die Bereitstellung der GlobalNames-Zone über mehrere Gesamtstrukturen hinweg unterstützt wird.
Weitere Informationen zur DNS-Unterstützung in Windows und zum Bereitstellen der GlobalNames-Zone finden Sie auf der Microsoft DNS-Webseite unter microsoft.com/dns.
Joseph Davies ist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Themen im Bereich der Windows-Netzwerke. Er hat fünf Bücher für Microsoft Press verfasst und ist Autor des monatlich erscheinenden TechNet-Artikels „The Cable Guy“.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.