Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine DNS-Zone ist der spezifische Teil eines DNS-Namespaces, der auf einem DNS-Server gehostet wird. Eine DNS-Zone enthält Ressourceneinträge, und der DNS-Server antwortet auf Abfragen für Einträge in diesem Namespace. Beispielsweise würde der DNS-Server, der autoritär verantwortlich für die Auflösung von www.contoso.com zu einer IP-Adresse ist, die contoso.com-Zone hosten.
DNS-Zoneninhalte können in einer Datei oder in Active Directory Domain Services (AD DS) gespeichert werden. Wenn der DNS-Server die Zone in einer Datei speichert:
- Diese Datei befindet sich in einem lokalen Ordner auf dem Server.
- Nur eine Kopie der Zone ist beschreibbar.
- Andere Kopien, die schreibgeschützt sind, werden als sekundäre Zonen bezeichnet.
In AD DS gespeicherte DNS-Zonen werden als active Directory-integrierte Zonen bezeichnet. Active Directory-integrierte Zonen sind nur auf Domänencontrollern verfügbar, auf denen die DNS-Serverrolle installiert ist.
DNS-Zonentypen
Der DNS-Serverdienst unterstützt die folgenden Zonentypen:
- Primäre Zone.
- Sekundäre Zone.
- Stubzone.
- Reverse-Lookupzone
Primäre Zonen
Ein DNS-Server, auf dem eine primäre Zone gehostet wird, ist die primäre Quelle für Informationen zu dieser Zone. Sie speichert die Zonendaten in einer lokalen Datei oder in AD DS. Zum Erstellen, Bearbeiten oder Löschen von Ressourceneinträgen müssen Sie die primäre Zone verwenden. Sekundäre Zonen sind schreibgeschützte Kopien von primären Zonen.
Sie können eine primäre Standardzone in einer lokalen Datei speichern oder Zonendaten in AD DS speichern. Wenn Sie Zonendaten in AD DS speichern, stehen weitere Features zur Verfügung, z. B. sichere dynamische Updates und die Möglichkeit für jeden Domänencontroller, der die Zone hostt, als primäre Funktion zu fungieren und Updates für die Zone verarbeiten zu können. Wenn die Zone in einer Datei gespeichert wird, heißt die primäre Zonendatei standardmäßig zone_name.dnsund befindet sich im ordner %windir%\System32\Dns auf dem Server.
Wenn Sie Active Directory bereitstellen, wird automatisch eine DNS-Zone erstellt, die dem AD DS-Domänennamen Ihrer Organisation zugeordnet ist. Standardmäßig repliziert die AD DS-DNS-Zone auf einen anderen Domänencontroller, der als DNS-Server in der Domäne konfiguriert ist. Sie können auch integrierte Active Directory-DNS-Zonen so konfigurieren, dass sie in allen Domänencontrollern in einer AD DS-Gesamtstruktur repliziert werden, oder bestimmte Domänencontroller, die in einer bestimmten AD DS-Domänenpartition registriert sind.
Sekundäre Zone
Eine sekundäre Zone ist eine schreibgeschützte Kopie einer primären Zone. Wenn eine Zone, die dieser DNS-Server hoste, eine sekundäre Zone ist, ist dieser DNS-Server eine sekundäre Quelle für Informationen zu dieser Zone. Die Zone auf diesem Server muss von einem anderen Remote-DNS-Servercomputer abgerufen werden, auf dem auch die Zone gehostet wird. Dieser DNS-Server muss über Netzwerkzugriff auf den Remote-DNS-Server verfügen, der diesen Server mit aktualisierten Informationen zur Zone bereitstellt. Da eine sekundäre Zone nur eine Kopie einer primären Zone ist, die auf einem anderen Server gehostet wird, kann sie nicht als integrierte Active Directory-Zone in AD DS gespeichert werden.
In den meisten Fällen kopiert eine sekundäre Zone ressourceneinträge regelmäßig direkt aus der primären Zone. In einigen komplexen Konfigurationen kann eine sekundäre Zone Jedoch Ressourceneinträge aus einer anderen sekundären Zone kopieren.
Stubzone
Eine Stubzone enthält nur Informationen zu den autorisierenden Namenservern für die Zone. Die vom DNS-Server gehostete Zone muss ihre Informationen von einem anderen DNS-Server abrufen, auf dem die Zone gehostet wird. Dieser DNS-Server muss Netzwerkzugriff auf den Remote-DNS-Server haben, um die Autoritative Name Server-Informationen über die Zone zu kopieren.
Sie können Stubzonen für Folgendes verwenden:
- Halten Sie delegierte Zoneninformationen auf dem aktuellen Stand. Der DNS-Server aktualisiert die Stubeinträge für seine untergeordneten Zonen regelmäßig, der DNS-Server, der sowohl die übergeordnete Zone als auch die Stubzone hostet, verwaltet eine aktuelle Liste autoritativer DNS-Server für die untergeordnete Zone.
- Namensauflösung verbessern. Stubzonen ermöglichen es einem DNS-Server, rekursion mithilfe der Liste der Namenserver der Stubzone durchzuführen, ohne das Internet oder einen internen Stammserver für den DNS-Namespace abfragen zu müssen.
- Vereinfachen der DNS-Verwaltung. Mithilfe von Stubzonen in Ihrer DNS-Infrastruktur können Sie eine Liste der autorisierenden DNS-Server für eine Zone verteilen, ohne sekundäre Zonen zu verwenden. Stubzonen dienen jedoch nicht demselben Zweck wie sekundäre Zonen, und sie sind keine Alternative zur Verbesserung von Redundanz und Lastenfreigabe.
Es gibt zwei Listen von DNS-Servern, die beim Laden und Warten einer Stubzone beteiligt sind:
- Die Liste der Nameserver, von denen der DNS-Server eine Stubzone lädt und aktualisiert. Ein Namensserver kann ein primärer oder sekundärer DNS-Server für die Zone sein. In beiden Fällen verfügt sie über eine vollständige Liste der DNS-Server für die Zone.
- Die Liste der autorisierenden DNS-Server für eine Zone. Diese Liste ist in der Stubzone mit Namenserver-Ressourceneinträgen enthalten.
Wenn ein DNS-Server eine Stubzone lädt, z. B. widgets.tailspintoys.com, fragt er die Namenserver ab, die sich an verschiedenen Speicherorten befinden können, für die erforderlichen Ressourceneinträge der autoritativen Server für die Zone widgets.tailspintoys.com. Die Liste der Namenserver kann einen einzelnen Server oder mehrere Server enthalten und kann jederzeit geändert werden.
Eine Stubzone ist eine Kopie einer Zone, die nur die Ressourceneinträge enthält, die erforderlich sind, um die autoritativen DNS-Server (Domain Name System) für diese Zone zu identifizieren. In der Regel verwenden Sie eine Stubzone, um Namen zwischen separaten DNS-Namespaces aufzulösen.
Beim Arbeiten mit Unterzonen sollten Sie Folgendes berücksichtigen:
- Die Stubzone kann nicht auf einem DNS-Server gehostet werden, der für dieselbe Zone autoritativ ist.
- Wenn Sie die Stubzone in AD DS integrieren, können Sie angeben, ob der DNS-Server, auf dem die Stubzone gehostet wird, eine lokale Liste von Namenservern oder die in AD DS gespeicherte Liste verwendet. Wenn Sie eine Liste lokaler Namenserver verwenden möchten, müssen Sie über die IP-Adressen für jeden Namenserver verfügen.
Reverse-Lookupzonen
In den meisten DNS-Suchvorgängen (Domain Name System) führen Clients in der Regel einen Forward Lookup durch, bei dem es sich um eine Suche handelt, die auf dem DNS-Namen eines anderen Computers basiert, wie er in einem Hostressourceneintrag (A) gespeichert wird. Dieser Abfragetyp erwartet eine IP-Adresse als Ressourcendaten für die beantwortete Antwort.
DNS bietet auch einen Reverse-Lookup-Prozess, bei dem Clients eine bekannte IP-Adresse verwenden und einen Computernamen basierend auf seiner Adresse nachschlagen. Bei einer umgekehrten Suche geht es um eine Frage, z. B. "Können Sie mir den DNS-Namen des Computers mitteilen, der die IP-Adresse 192.168.1.20 verwendet?"
Die in-addr.arpa Domäne wurde in den DNS-Standards definiert und im Internet-DNS-Namespace reserviert, um eine praktische und zuverlässige Möglichkeit zum Ausführen von Reverseabfragen zu bieten. Um den Reversenamespace zu erstellen, werden Unterdomänen innerhalb der in-addr.arpa Domäne gebildet, wobei die umgekehrte Reihenfolge der Zahlen in der punktierten Dezimalnotation von IP-Adressen verwendet wird.
Die in-addr.arpa Domäne gilt für alle TCP/IP-Netzwerke, die auf der IPv4-Adressierung (Internet Protocol Version 4) basieren. Der Assistent für neue Zonen nimmt automatisch an, dass Sie diese Domäne verwenden, wenn Sie eine neue Reverse-Lookup-Zone erstellen.
Wenn der in-addr.arpa-Domänenbaum erstellt wird, muss die Reihenfolge der IP-Adress-Oktetten umgekehrt werden. Die IP-Adressen des DNS-in-addr.arpa-Baums können Organisationen delegiert werden, da ihnen ein bestimmter oder begrenzter Satz von IP-Adressen innerhalb der vom Internet definierten Adressklassen zugewiesen wird.
Replizieren der DNS-Datenbank
Es können mehrere Zonen vorhanden sein, die denselben Teil des Namespace darstellen. Unter diesen Zonen gibt es drei Arten:
- Primary
- Secondary
- Stub
Primär ist eine Zone, in der alle Aktualisierungen für die Datensätze, die zu dieser Zone gehören, vorgenommen werden. Eine sekundäre Zone ist eine schreibgeschützte Kopie der primären Zone. Eine Stubzone ist eine schreibgeschützte Kopie der primären Zone, die nur die Ressourceneinträge enthält, die die DNS-Server identifizieren, die autoritativ für einen DNS-Domänennamen sind. Alle Änderungen, die an der primären Zonendatei vorgenommen wurden, werden in die Datei der sekundären Zone repliziert. DNS-Server, die eine primäre, sekundäre oder Stubzone hosten, werden als autoritativ für die DNS-Namen in der Zone bezeichnet.
Da ein DNS-Server mehrere Zonen hosten kann, kann er daher sowohl eine primäre Zone (die über die schreibbare Kopie einer Zonendatei verfügt) als auch eine separate sekundäre Zone (die eine schreibgeschützte Kopie einer Zonendatei abruft) hosten. Ein DNS-Server, auf dem eine primäre Zone gehostet wird, ist der primäre DNS-Server für diese Zone, und ein DNS-Server, auf dem eine sekundäre Zone gehostet wird, wird als sekundärer DNS-Server für diese Zone bezeichnet.
Note
Eine sekundäre oder Stubzone kann nicht auf einem DNS-Server gehostet werden, der eine primäre Zone für denselben Domänennamen hostt.
Zonenübertragung
Der Prozess der Replikation einer Zonendatei auf mehrere DNS-Server wird als Zonenübertragung bezeichnet. Die Zonenübertragung wird durch Kopieren der Zonendatei von einem DNS-Server auf einen zweiten DNS-Server erreicht. Zonenübertragungen können sowohl von primären als auch von sekundären DNS-Servern erfolgen.
Ein primärer DNS-Server ist ein autoritativer Server, der als Quelle der Zonenübertragung konfiguriert ist. Wenn der DNS-Server ein primärer DNS-Server ist, kommt die Zonenübertragung direkt vom DNS-Server, auf dem die primäre Zone gehostet wird. Wenn der primäre Server eine sekundäre DNS-Zone hosten soll, ist die Zonendatei, die vom primären DNS-Server mit einer Zonenübertragung empfangen wird, eine Kopie der schreibgeschützten sekundären Zonendatei.
Die Zonenübertragung wird auf eine der folgenden Arten initiiert:
- Der primäre DNS-Server sendet eine Benachrichtigung (RFC 1996) an einen oder mehrere sekundäre DNS-Server einer Änderung in der Zonendatei.
- Wenn der DNS-Serverdienst auf dem sekundären DNS-Server gestartet wird oder das Aktualisierungsintervall der Zone abläuft, fragt der sekundäre DNS-Server den primären DNS-Server für die Änderungen ab. Standardmäßig ist das Aktualisierungsintervall auf 15 Minuten im SOA RR der Zone festgelegt.
Zonenübertragungseinstellungen
Zonenübertragungen ermöglichen es Ihnen, die Umstände zu steuern, unter denen eine sekundäre Zone aus einer primären Zone repliziert werden soll. Um die Sicherheit Ihrer DNS-Infrastruktur zu verbessern, erlauben Sie Zonenübertragungen nur für die DNS-Server in den Namenserverressourceneinträgen (NS) für eine Zone oder für angegebene DNS-Server. Wenn Sie zulassen, dass ein DNS-Server eine Zonenübertragung durchführt, können interne Netzwerkinformationen an jeden Host übertragen werden, der sich an Ihren DNS-Server wenden kann.
Typen der Zonendateireplikation
Es gibt zwei Arten von Zonendateireplikation. Die erste, eine vollständige Zonenübertragung (AXFR), repliziert die gesamte Zonendatei. Die zweite, eine inkrementelle Zonenübertragung (IXFR), repliziert nur Datensätze, die geändert wurden.
Bind 4.9.3 und frühere DNS-Serversoftware und Windows NT 4.0 DNS unterstützen nur die vollständige Zonenübertragung (AXFR). Es gibt zwei Arten von AXFR: Eine erfordert einen einzelnen Datensatz pro Paket, die andere erlaubt mehrere Datensätze pro Paket. Der DNS-Serverdienst in Windows-Servern unterstützt beide Arten der Zonenübertragung, verwendet jedoch standardmäßig mehrere Einträge pro Paket. Sie kann für die Kompatibilität mit Servern, die nicht mehrere Datensätze pro Paket zulassen, unterschiedlich konfiguriert werden, z. B. BIND-Serverversionen 4.9.4 und früher.
Zonendelegierung
Sie können Ihren DNS-Namespace (Domain Name System) in eine oder mehrere Zonen unterteilen. Sie können die Verwaltung eines Teils Ihres Namespaces an einen anderen Standort oder eine andere Abteilung in Ihrer Organisation delegieren, indem Sie die Verwaltung der entsprechenden Zone delegieren. Delegieren Sie beispielsweise die Zone australia.contoso.com aus der Zone contoso.com.
Wenn Sie eine Zone delegieren, denken Sie daran, dass Sie für jede neue Zone, die Sie erstellen, Delegierungseinträge in anderen Zonen benötigen, die auf die autoritativen DNS-Server für die neue Zone verweisen. Delegierungseinträge sind sowohl erforderlich, um die Autorität zu übertragen, als auch um die korrekte Weiterleitung an andere DNS-Server und Clients der neuen Server sicherzustellen, die für die neue Zone autoritativ gemacht werden.
Zugriff auf Zonen und Namen
Der Zugriff auf die in Active Directory gespeicherten DNS-Zonen und Ressourceneinträge wird mit Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) gesteuert. ACLs können für den DNS-Serverdienst, eine gesamte Zone oder für bestimmte DNS-Namen angegeben werden. Standardmäßig können alle authentifizierten Active Directory-Benutzer die A- oder PTR-RRs in einer beliebigen Zone erstellen. Wenn ein Besitzer einen A- oder PTR-Eintrag (unabhängig vom Typ des Ressourcendatensatzes) erstellt, können nur die Benutzer oder Gruppen, die in der ACL für diesen Namen angegeben sind und über Schreibberechtigungen verfügen, Einträge ändern, die diesem Namen entsprechen. Obwohl dieser Ansatz in den meisten Szenarien wünschenswert ist, müssen einige Situationen separat berücksichtigt werden.
DNSAdmins-Gruppe
Standardmäßig verfügt die DNSAdmins-Gruppe über vollzugriff auf alle Zonen und Einträge in der Active Directory-Domäne. Damit ein Benutzer Zonen in einer bestimmten Domäne aufzählen kann, muss der Benutzer (oder eine Gruppe, zu der der Benutzer gehört) in der DNSAdmin-Gruppe aufgelistet werden.
Ein Domänenadministrator möchte möglicherweise nicht allen Benutzern, die in der DNSAdmins-Gruppe aufgeführt sind, vollzugriff erteilen. Stattdessen möchte ein Domänenadministrator möglicherweise einer bestimmten Gruppe von Benutzern Vollzugriff für eine Zone und Leseberechtigungen für andere Zonen erteilen. Um diese Berechtigungen zu konfigurieren, kann der Domänenadministrator für jede der Zonen eine separate Gruppe erstellen und jeder Gruppe bestimmte Benutzer hinzufügen. Anschließend enthält jede Zonen-ACL eine Gruppe mit vollständiger Kontrolle, die nur für die jeweilige Zone gilt. Alle Gruppen werden der DNSAdmins-Gruppe hinzugefügt, die nur mit Leseberechtigungen konfiguriert werden kann. Die ACL einer Zone enthält immer die DNSAdmins-Gruppe, d. h. alle Benutzer, die in den zonenspezifischen Gruppen aufgelistet sind, können alle Zonen in der Domäne lesen.
Reservieren von Namen
Umgebungen, die ein hohes Sicherheitsniveau erfordern, müssen möglicherweise Namen in einer Zone reservieren und authentifizierte Benutzer daran hindern, neue Namen in dieser Zone zu erstellen. Dies ist das Standardverhalten. Um die DNS-Einträge zu sichern, kann die Standard-ACL geändert werden, um die Erstellung von Objekten nur von bestimmten Gruppen oder Benutzern zu ermöglichen. Die namensbasierte Verwaltung von ACLs bietet eine alternative Lösung für das Problem. Ein Administrator kann einen Namen in einer Zone reservieren, wobei der Rest der Zone offen bleibt, sodass alle authentifizierten Benutzer neue Objekte erstellen können. Ein Administrator erstellt einen Datensatz für den reservierten Namen und legt die entsprechende Liste von Gruppen oder Benutzern in der ACL fest. Dies bedeutet, dass nur die in der ACL aufgeführten Benutzer einen anderen Datensatz unter dem reservierten Namen registrieren können.