Arbeiten mit DNS-Zonen und -Einträgen

  • 10 Minuten

Das IT-Infrastrukturpersonal von Contoso muss DNS bereitstellen, damit die benötigten Apps und Dienste, z. B. AD DS, unterstützt werden. Der erste Schritt in diesem Prozess ist die Planung und Implementierung von DNS-Zonen.

Was ist eine DNS-Zone?

Eine DNS-Zone ist der spezifische Teil eines DNS-Namespace (z. B. contoso.com), der auf einem DNS-Server gehostet wird. Eine DNS-Zone enthält Ressourceneinträge, und der DNS-Server beantwortet Abfragen für Einträge in diesem Namespace. Der für die Auflösung von www.contoso.com in eine IP-Adresse autorisierende DNS-Server, würde z. B. die Zone Contoso.com enthalten.

Das IT-Infrastrukturpersonal von Contoso kann den Inhalt der DNS-Zone Contoso.com in einer Datei oder in der AD DS-Datenbank speichern.

Hinweis

Auf einem DNS-Server, der auch ein AD DS-Domänencontroller ist, können Sie die Zonen nur in der AD DS-Datenbank speichern.

Wenn der DNS-Server die Zone in einer Datei speichert, gilt:

  • Die betreffende Datei befindet sich in einem lokalen Ordner auf dem Server.
  • Nur eine Kopie der Zone ist beschreibbar.
  • Andere Kopien, die schreibgeschützt sind, werden als sekundäre Zonen bezeichnet.

Forward-Lookupzonen

Forward-Lookupzonen können eine Vielzahl unterschiedlicher Ressourceneinträge enthalten, der häufigste Eintrag ist jedoch ein Host (A)-Eintrag. Ein Hosteintrag wird verwendet, um einen Hostnamen in eine IP-Adresse aufzulösen.

A screenshot of the Contoso.com zone in DNS. Displayed are various resource records. Also displayed is a reverse lookup zone for 172.16.10.0/24.

Bei Verwendung von AD DS verfügen die internen DNS-Server für Ihre Organisation über eine Zone, die der AD DS-Domäne entspricht. Wenn der Domänenname für AD DS beispielsweise Contoso.com ist, gibt es auch eine DNS-Zone Contoso.com. AD DS speichert Ressourceneinträge, die von Windows-Servern und -Clients verwendet werden, um Netzwerkdienste zu finden.

Tipp

Sie müssen die DNS-Einträge, die Informationen zu AD DS-Ressourcen enthalten, nicht im Internet verfügbar machen. Dies sollten Sie auch nicht.

Wenn Sie Internetclients die Namensauflösung für eine Zone ermöglichen möchten, können Sie die Zone auf einem Windows-Server hosten, der vom Internet aus zugänglich ist.

Tipp

Eine andere Möglichkeit besteht darin, die DNS-Server mit Internetzugriff im Umkreisnetzwerk zu platzieren.

Sie haben auch die Möglichkeit, die Zone im DNS-Dienst eines Drittanbieters zu hosten, der sich auf die Bereitstellung der Namensauflösung im Internet spezialisiert hat.

Reverse-Lookupzonen

Reverse-Lookupzonen werden nur zum Auflösen einer IP-Adresse in einen Namen verwendet. Diese Funktion wird von einer Vielzahl von Apps und manchmal von Administratoren verwendet. Ein Administrator kann z. B. eine bestimmte IP-Adresse in einer Protokolldatei feststellen und mit einem Reverse-Lookup den Namen des Computers mit der entsprechenden IP-Adresse ermitteln.

A screenshot of the 10.16.172.in-addr.arpa zone in DNS. Displayed are several PTR resource records. Also displayed is a forward lookup zone for Contoso.com.

Reverse-Lookupzonen werden nur für IP-Adressbereiche erstellt, für die Sie verantwortlich sind.

Tipp

Es hat sich bewährt, Reverse-Lookupzonen für alle IP-Adressbereiche in Ihrem internen Netzwerk zu erstellen und auf Ihren internen DNS-Servern zu hosten.

Der Zonenname für Reverse-Lookupzonen endet mit in-addr.arpa und basiert auf dem IPv4-Adressbereich. Der Zonenname für die Reverse-Lookupzone 172.16.35.0/24 lautet z. B. 35.16.172.in-addr.arpa.

Tipp

Reverse-Lookupzonen basieren immer auf einem vollständigen Oktett der IP-Adresse.

Primäre und sekundäre Zonen

Wenn Sie eine Zone auf einem DNS-Server erstellen, müssen Sie angeben, ob es sich um eine primäre oder eine sekundäre Zone handelt. Um Ressourceneinträge zu erstellen, zu bearbeiten oder zu löschen, müssen Sie die primäre Zone verwenden. Da eine sekundäre Zone eine schreibgeschützte Kopie einer primären Zone ist, können Sie keine Ressourceneinträge in einer sekundären Zone verwalten.

In den meisten Fällen kopiert eine sekundäre Zone Ressourceneinträge in regelmäßigen Abständen direkt aus der primären Zone. In einigen komplexen Konfigurationen kann eine sekundäre Zone Ressourceneinträge jedoch aus einer anderen sekundären Zone kopieren.

Sie können eine primäre Standardzone in einer lokalen Datei oder Zonendaten in AD DS speichern. Wenn Sie Zonendaten in AD DS speichern, wird die Zone als Active Directory-integriert bezeichnet. Dann sind zusätzliche Features verfügbar, z. B. sichere dynamische Updates.

Hinweis

Active Directory-integrierte Zonen sind nur auf Domänencontrollern verfügbar, auf denen die DNS-Serverrolle installiert ist. Die meisten Windows-basierten DNS-Server verwenden Active Directory-integrierte Zonen.

Was sind DNS-Einträge?

DNS-Einträge sind die in DNS-Zonen gespeicherten Ressourceneinträge. Die DNS-Einträge enthalten die Informationen, die DNS-Server zur Beantwortung von DNS-Anforderungen senden. Alle Forward-Lookup- und Reverse-Lookup-DNS-Zonen enthalten die folgenden Einträge:

  • SOA (Start of Authority, Autoritätsursprung). Enthält Konfigurationsinformationen für die Zone, z. B. den Namen des primären DNS-Servers und die Häufigkeit, mit der sekundäre Server synchronisiert werden sollen. Es gibt einen SOA-Eintrag pro Zone.

  • NS (Namenserver). Kennzeichnet einen DNS-Server für die Domäne. Es gibt einen NS-Eintrag für jeden DNS-Server, der über eine Kopie der Zone verfügt.

Ressourceneinträge in Forward-Lookupzonen

In der folgenden Tabelle werden einige der Ressourceneinträge beschrieben, die in Forward-Lookupzonen verfügbar sind.

DNS-Eintragstyp BESCHREIBUNG
Host (A) Diese Einträge werden zum Auflösen eines Namens in eine IPv4-Adresse verwendet.
Host (AAAA) Diese Einträge werden zum Auflösen eines Namens in eine IPv6-Adresse verwendet.
Alias (CNAME) Diese Einträge werden zum Auflösen eines Namens in einen anderen Namen verwendet. Ein Alias kann app.contoso.com beispielsweise in sea-svr1.contoso.com auflösen.
Dienstidentifizierung (SRV) Dieser Eintrag wird von Anwendungen verwendet, um die Adresse der Server zu ermitteln, die die betreffende Anwendung hosten. In AD DS werden SRV-Einträge beispielsweise verwendet, um die Adresse von Domänencontrollern und zugehörigen Diensten zu ermitteln.
Mail-Exchanger (MX) Dieser Eintrag wird zum Identifizieren von E-Mail-Servern für eine Domäne verwendet.
Text (TXT) Dieser Eintrag wird verwendet, um beliebige Zeichenfolgen mit Informationen in DNS zu speichern.

Ressourceneinträge in Reverse-Lookupzonen

Der häufigste Eintragstyp, der in Reverse-Lookupzonen erstellt wird, ist ein Zeiger (PTR)-Eintrag. Ein Zeigereintrag wird verwendet, um eine IP-Adresse in einen Namen aufzulösen. Ein Zeigereintrag kann beispielsweise verwendet werden, um die IP-Adresse 172.16.35.100 in filesrv.contoso.com aufzulösen. Der Zeigereintrag würde den Namen 100 haben und sich in der Zone 35.16.172.inaddr.arpa befinden.

Gültigkeitsdauer

Für alle Ressourceneinträge wird Gültigkeitsdauer (Time to Live, TTL) konfiguriert. Die Gültigkeitsdauer für einen Ressourceneintrag definiert, wie lange DNS-Clients und DNS-Server eine DNS-Antwort für den Eintrag zwischenspeichern können. Wenn ein Eintrag beispielsweise eine Gültigkeitsdauer von 60 Minuten aufweist und ein Client eine DNS-Abfrage für den Eintrag durchführt, wird die Antwort für 60 Minuten zwischengespeichert. Wenn der Client den abgefragten und aufgelösten Namen innerhalb dieser 60 Minuten verwenden möchte, wird der zwischengespeicherte Eintrag verwendet.

Tipp

Bei der Behandlung von Problemen mit zwischengespeicherten DNS-Einträgen müssen Sie u. U. den Cache auf dem DNS-Client und auf dem DNS-Server löschen, der vom betreffenden Client verwendet wird.