DNS-Zonen
Eine DNS-Zone ist der spezifische Teil eines DNS-Namespace, der auf einem DNS-Server gehostet wird. Eine DNS-Zone enthält Ressourceneinträge, und der DNS-Server beantwortet Abfragen für Einträge in diesem Namespace. Der für die Auflösung von www.contoso.com in eine IP-Adresse autorisierende DNS-Server würde z. B. die Zone contoso.com hosten.
DNS-Zoneninhalte können in einer Datei oder in Active Directory Domain Services (AD DS) gespeichert werden. Wenn der DNS-Server die Zone in einer Datei speichert, gilt:
- Die betreffende Datei befindet sich in einem lokalen Ordner auf dem Server.
- Nur eine Kopie der Zone ist beschreibbar.
- Andere Kopien, die schreibgeschützt sind, werden als sekundäre Zonen bezeichnet.
In AD DS gespeicherte DNS-Zonen werden als in Active Directory integrierte Zonen bezeichnet. Active Directory-integrierte Zonen sind nur auf Domänencontrollern verfügbar, auf denen die DNS-Serverrolle installiert ist.
DNS-Zonentypen
Der DNS-Serverdienst unterstützt die folgenden Zonentypen:
- Primäre Zone
- Sekundäre Zone
- Stubzone
- Reverse-Lookupzone
Primäre Zonen
Ein DNS-Server, der eine primäre Zone hostet, ist die primäre Quelle für Informationen zu dieser Zone. Die Zonendaten werden in einer lokalen Datei oder in AD DS gespeichert. Um Ressourceneinträge zu erstellen, zu bearbeiten oder zu löschen, müssen Sie die primäre Zone verwenden. Sekundäre Zonen sind schreibgeschützte Kopien von primären Zonen.
Sie können eine primäre Standardzone in einer lokalen Datei oder Zonendaten in AD DS speichern. Wenn Sie Zonendaten in AD DS speichern, sind weitere Features verfügbar, etwa sichere dynamische Updates und die Möglichkeit, dass jeder Domänencontroller, der die Zone hostet, als primär fungiert und Updates für die Zone verarbeiten kann. Wenn die Zone in einer Datei gespeichert wird, hat die primäre Zonendatei standardmäßig den Namen zone_name.dnsund befindet sich im Ordner %windir%\System32\Dns auf dem Server.
Wenn Sie Active Directory bereitstellen, wird automatisch eine DNS-Zone erstellt, die dem AD DS-Domänennamen Ihrer Organisation zugeordnet ist. Standardmäßig wird die AD DS-DNS-Zone auf allen anderen Domänencontrollern repliziert, die als DNS-Server in der Domäne konfiguriert sind. Sie können auch in Active Directory integrierte DNS-Zonen so konfigurieren, dass sie auf allen Domänencontrollern in einer AD DS-Gesamtstruktur oder auf bestimmten Domänencontrollern repliziert werden, die in einer bestimmten AD DS-Domänenpartition registriert sind.
Sekundäre Zone
Eine sekundäre Zone ist eine schreibgeschützte Kopie einer primären Zone. Wenn es sich bei einer Zone, die dieser DNS-Server hostet, um eine sekundäre Zone handelt, ist dieser DNS-Server eine sekundäre Quelle für Informationen zu dieser Zone. Die Zone auf diesem Server muss von einem anderen DNS-Remoteservercomputer abgerufen werden, der auch die Zone hostet. Dieser DNS-Server muss über Netzwerkzugriff auf den DNS-Remoteserver verfügen, der diesem Server aktualisierte Informationen zur Zone bereitstellt. Da es sich bei einer sekundären Zone lediglich um eine Kopie einer primären Zone handelt, die auf einem anderen Server gehostet wird, kann sie nicht als eine in Active Directory integrierte Zone in AD DS gespeichert werden.
In den meisten Fällen kopiert eine sekundäre Zone Ressourceneinträge in regelmäßigen Abständen direkt aus der primären Zone. In einigen komplexen Konfigurationen kann eine sekundäre Zone Ressourceneinträge jedoch aus einer anderen sekundären Zone kopieren.
Stubzone
Eine Stubzone enthält nur Informationen zu den autorisierenden Namenservern für die Zone. Die vom DNS-Server gehostete Zone muss ihre Informationen von einem anderen DNS-Server abrufen, der die Zone hostet. Dieser DNS-Server muss über Netzwerkzugriff auf den DNS-Remoteserver verfügen, um die Informationen des autorisierenden Namenservers zur Zone zu kopieren.
Sie können Stubzonen für Folgendes verwenden:
- Informationen zu delegierten Zonen auf dem neuesten Stand halten. Der DNS-Server aktualisiert die Stubeinträge für seine untergeordneten Zonen regelmäßig. Der DNS-Server, der sowohl die übergeordnete Zone als auch die Stubzone hostet, führt eine aktuelle Liste der autorisierenden DNS-Server für die untergeordnete Zone.
- Namensauflösung verbessern. Stubzonen ermöglichen es einem DNS-Server, die Rekursion mithilfe der Namenserverliste der Stubzone durchzuführen, ohne im Internet oder auf einem internen Stammserver den DNS-Namespace abfragen zu müssen.
- DNS-Verwaltung vereinfachen. Wenn Sie Stubzonen in Ihrer DNS-Infrastruktur verwenden, können Sie eine Liste der autorisierenden DNS-Server für eine Zone verteilen, ohne sekundäre Zonen zu verwenden. Stubzonen dienen jedoch nicht demselben Zweck wie sekundäre Zonen, und sie sind keine Alternative zum Verbessern von Redundanz und Lastenausgleich.
Es gibt zwei Listen von DNS-Servern, die am Laden und Verwalten einer Stubzone beteiligt sind:
- Die Liste der Namenserver, über die der DNS-Server eine Stubzone lädt und aktualisiert. Ein Namenserver kann ein primärer oder sekundärer DNS-Server für die Zone sein. In beiden Fällen ist eine vollständige Liste der DNS-Server für die Zone enthalten.
- Die Liste der autorisierenden DNS-Server für eine Zone. Diese Liste ist in der Stubzone mit Namenserver-Ressourceneinträgen enthalten.
Wenn ein DNS-Server eine Stubzone (etwa widgets.tailspintoys.com) lädt, fragt er von den Namenservern, die sich an verschiedenen Orten befinden können, die erforderlichen Ressourceneinträge der autorisierenden Server für die Zone widgets.tailspintoys.com ab. Die Liste der Namenserver kann einen einzelnen Server oder mehrere Server enthalten und kann jederzeit geändert werden.
Eine Stubzone ist eine Kopie einer Zone, die nur die Ressourceneinträge enthält, die zum Identifizieren der autorisierenden DNS-Server (Domain Name System) für diese Zone erforderlich sind. In der Regel verwenden Sie eine Stubzone, um Namen zwischen separaten DNS-Namespaces aufzulösen.
Bei der Verwendung von Stubzonen sollten Sie Folgendes beachten:
- Die Stubzone kann nicht auf einem DNS-Server gehostet werden, der für dieselbe Zone autorisierend ist.
- Wenn Sie die Stubzone in AD DS integrieren, können Sie angeben, ob der DNS-Server, der die Stubzone hostet, eine lokale Liste von Namenservern oder die in AD DS gespeicherte Liste verwendet. Wenn Sie eine lokale Liste mit Namenservern verwenden möchten, müssen Sie über die IP-Adressen für jeden Nameserver verfügen.
Reverse-Lookupzonen
In den meisten DNS-Lookups (Domain Name System) führen Clients in der Regel ein Forward-Lookup durch. Dabei handelt es sich um eine Suche, die auf dem DNS-Namen eines anderen Computers basiert, der in einem Hostressourceneintrag (A) gespeichert ist. Bei dieser Art von Abfrage wird eine IP-Adresse als Ressourcendaten für die Antwort erwartet.
DNS bietet zudem einen Reverse-Lookup-Prozess, bei dem Clients eine bekannte IP-Adresse verwenden und einen Computernamen anhand seiner Adresse suchen. Ein Reverse-Lookup erfolgt in Form einer Frage, z. B. „Can you tell me the DNS name of the computer that uses the IP address 192.168.1.20?“ (Können Sie mir den DNS-Namen des Computers nennen, der die IP-Adresse 192.168.1.20 verwendet?).
Die Domäne in-addr.arpa wurde in den DNS-Standards definiert und im Internet-DNS-Namespace reserviert, um auf praktische und zuverlässige Weise Rückwärtsabfragen zu ermöglichen. Zur Erstellung eines Reverse-Namespace werden untergeordnete Domänen innerhalb der Domäne in-addr.arpa gebildet, für die eine umgekehrte Sortierung der Zahlen für IP-Adressen in punktierter Dezimalschreibweise verwendet wird.
Die Domäne in-addr.arpa gilt für alle TCP/IP-Netzwerke, die auf der IPv4-Adressierung (Internet Protocol Version 4) basieren. Der Assistent zum Erstellen neuer Zonen setzt automatisch voraus, dass Sie diese Domäne verwenden, wenn Sie eine neue Reverse-Lookupzone erstellen.
Die Reihenfolge der Oktette für IP-Adressen muss umgekehrt werden, wenn die Domänenstruktur für in-addr.arpa erstellt wird. Die IP-Adressen der DNS-Struktur in-addr.arpa können an Organisationen delegiert werden, da ihnen ein bestimmter oder begrenzter Satz von IP-Adressen innerhalb der vom Internet definierten Adressklassen zugewiesen wird.
Zonenübertragungseinstellungen
Zonenübertragungen ermöglichen es Ihnen, die Umstände zu steuern, unter denen eine sekundäre Zone aus einer primären Zone repliziert werden soll. Um die Sicherheit Ihrer DNS-Infrastruktur zu verbessern, lassen Sie Zonenübertragungen nur für die DNS-Server in den NS-Ressourceneinträgen (Name Server) für eine Zone oder für angegebene DNS-Server zu. Wenn Sie zulassen, dass ein DNS-Server eine Zonenübertragung durchführt, können interne Netzwerkinformationen an jeden Host übertragen werden, der ihren DNS-Server kontaktieren kann.
Zonendelegierung
Sie können Ihren DNS-Namespace (Domain Name System) in eine oder mehrere Zonen unterteilen. Sie können die Verwaltung eines Teils Ihres Namespace an einen anderen Standort oder eine andere Abteilung in Ihrer Organisation delegieren, indem Sie die Verwaltung der entsprechenden Zone delegieren. Delegieren Sie beispielsweise die Zone australia.contoso.com aus der Zone contoso.com.
Wenn Sie eine Zone delegieren, denken Sie daran, dass Sie für jede neue Zone, die Sie erstellen, Delegierungseinträge in anderen Zonen benötigen, die auf die autorisierenden DNS-Server für die neue Zone verweisen. Delegierungseinträge sind zum Übertragen der Autorität und zum Bereitstellen richtiger Verweise auf andere DNS-Server und die Clients der neuen Server erforderlich, die als autorisierende Server für die neue Zone verwendet werden.