Implementieren der DNS-Weiterleitung

  • 7 Minuten

Wenn ein DNS-Server keine primäre oder sekundäre Zone hostet, die Ressourceneinträge in einer DNS-Anforderung enthält, muss es einen Mechanismus geben, um die erforderlichen Informationen zu finden. Standardmäßig wird jeder DNS-Server mit Stammhinweisen konfiguriert, mit denen DNS-Anforderungen im Internet durch Suche der autoritativen DNS-Server aufgelöst werden. Dieser Prozess funktioniert, wenn der DNS-Server Zugriff auf das Internet hat und der angeforderte Ressourceneintrag im Internet verfügbar ist. Bisweilen sind beide Bedingungen nicht erfüllt. In dieser Situation können Sie die Weiterleitung aktivieren.

Screenshot des Dialogfelds mit den Eigenschaften von SEA-DC1.Contoso.com. Der Administrator hat die Registerkarte

Weiterleitungen

Sie können jeden DNS-Server mit einer oder mehreren Weiterleitungen konfigurieren. Wenn ein DNS-Server eine Anforderung für eine Zone empfängt, für die er nicht autoritativ ist und die vom Server noch nicht zwischengespeichert wurde, leitet der DNS-Server diese Anforderung an eine Weiterleitung weiter. Ein DNS-Server verwendet eine Weiterleitung für alle unbekannten Zonen.

Weiterleitungen werden häufig für die Internetnamensauflösung verwendet. Die internen DNS-Server leiten DNS-Anforderungen zum Auflösen von Internetnamen an einen DNS-Server weiter, der sich außerhalb des Unternehmensnetzwerks befindet. Ihre Organisation kann die externen DNS-Server in einem Umkreisnetzwerk konfigurieren oder einen DNS-Server verwenden, der vom Internetdienstanbieter bereitgestellt wird. Diese Konfiguration schränkt die externe Konnektivität ein und erhöht die Sicherheit.

Bedingte Weiterleitung

Sie können für einzelne DNS-Domänen eine bedingte Weiterleitung konfigurieren. Dies weist Ähnlichkeit mit dem Konfigurieren einer Weiterleitung auf, mit der Ausnahme, dass sie nur für eine einzelne DNS-Domäne gilt. Dieses Feature wird oft von vertrauenswürdigen AD DS-Gesamtstrukturen und Partnerorganisationen verwendet.

Wenn Sie eine bedingte Weiterleitung erstellen, können Sie auswählen, ob diese lokal auf einem einzelnen DNS-Server oder in AD DS gespeichert werden soll. Bei der Speicherung in AD DS kann sie abhängig von der ausgewählten Option auf alle DNS-Server repliziert werden, die auf Domänencontrollern in der Domäne oder Gesamtstruktur ausgeführt werden. Die Verwaltung von bedingten Weiterleitungen auf mehreren DNS-Servern ist einfacher, wenn sie in AD DS gespeichert sind.

Stubzonen

Der Zweck einer Stubzone besteht darin, eine Liste von Namenservern bereitzustellen, die zum Auflösen von Informationen für eine Domäne verwendet werden können, ohne dass alle Einträge lokal synchronisiert werden. Dazu werden die folgenden Einträge synchronisiert:

  • Namenservereinträge
  • Zugehörige Hosteinträge für die Namenserver
  • SOA-Eintrag

Tipp

In der Regel werden Stubzonen bei der Integration in autonome Systeme wie Partnerorganisationen verwendet.

Vergleich von Stubzonen und bedingten Weiterleitungen

Zum Auflösen von DNS-Anforderungen für Zonen, für die der lokale DNS-Server nicht autoritativ ist, können Sie entweder Stubzonen oder bedingte Weiterleitungen verwenden. Der Unterschied zwischen den beiden besteht darin, wie die Remote-Server für Abfragen ausgewählt werden:

  • Sie konfigurieren eine bedingte Weiterleitung mit bestimmten Remote-DNS-Servern, die für die Domäne autoritativ sind.
  • Eine Stubzone repliziert und verwendet alle Namenservereinträge, die in der Zone konfiguriert sind.

Wenn sich die autoritativen DNS-Server im Laufe der Zeit wahrscheinlich geändert werden, empfiehlt es sich, eine Stubzone zu verwenden, in der die Namenservereinträge automatisch aktualisiert und nur gültige Namenserver für die Zone verwendet werden. Wenn allerdings Firewalls die Kommunikation steuern, sind die aktualisierten Namenserver u. U. nicht erreichbar.