Netzwerkinfrastruktur mit Windows Server 2016 implementieren E-Book

Andrew Warren ist Inhaber eines IT-Trainings- und Beratungsunternehmen in Großbritannien. Er war als Themenexperte an Kursen zu Windows Server 2016 beteiligt und hatte für Trainings zu Windows 10 die technische Leitung inne. Außerdem war er Co-Autor von TechNet-Sessions zu Microsoft Exchange Server. Andrew wohnt im ländlichen Somerset im United Kingdom.

Netzwerkinfrastruktur mit Windows Server 2016 implementieren

Original Microsoft Prüfungstraining 70-741

Andrew James Warren

Andrew James Warren

Übersetzung: Rainer G. Haselier

Lektorat: Sandra Bollenbacher

Copy-Editing: Petra Heubach-Erdmann, Düsseldorf

Satz: Birgit Bäuerlein

Herstellung: Susanne Bröckelmann

Umschlaggestaltung: Helmut Kraus, www.exclam.de

Druck und Bindung: M. P. Media-Print Informationstechnologie GmbH, 33100 Paderborn

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN:

Print978-3-86490-442-4

PDF978-3-96088-208-4

ePub978-3-96088-209-1

mobi978-3-96088-210-7

Translation Copyright für die deutschsprachige Ausgabe © 2017 dpunkt.verlag GmbH

Wieblinger Weg 17

69123 Heidelberg

Authorized translation from the English language edition, entitled EXAM REF 70-741 NETWORKING WITH WINDOWS SERVER 2016, 1st Edition by ANDREW WARREN, published by Pearson Education, Inc, publishing as Microsoft Press, Copyright © 2017 by Andrew James Warren

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education, Inc.

German language edition published by DPUNKT.VERLAG GMBH, Copyright © 2017

ISBN of the English language edition: 978-0-7356-9742-3

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.

Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.

Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buchs stehen.

5 4 3 2 1 0

Inhaltsverzeichnis

Einführung

Aufbau des Buches

Microsoft-Zertifizierungen

Danksagungen

Kostenlose E-Books von Microsoft Press

Microsoft Virtual Academy

Schneller Zugriff auf Onlinematerialien

Errata, Updates und Support

Wir wollen von Ihnen hören

Bleiben Sie am Ball

Wichtig: Wie Sie dieses Buch für die Prüfungsvorbereitung verwenden

Kapitel 1

Domain Name System (DNS) implementieren

Prüfungsziel 1.1:DNS-Server installieren und konfigurieren

Namensauflösung im Überblick

DNS-Installationsanforderungen bestimmen

Installieren der DNS-Serverrolle

Unterstützte DNS-Bereitstellungsszenarien auf Nano Server bestimmen

Weiterleitungen, Stammhinweise, Rekursion und Delegierung konfigurieren

Sicherheitserweiterungen für DNS konfigurieren

DNS verwalten

Prüfungsziel 1.2:DNS-Zonen und Ressourceneinträge erstellen und konfigurieren

DNS-Zonen im Überblick

DNS-Zonen konfigurieren

Konfigurieren von DNS-Ressourceneinträgen

Definieren von DNS-Bereichen

DNS überwachen

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 2

DHCP implementieren

Prüfungsziel 2.1:DHCP installieren und konfigurieren

DHCP im Überblick

DHCP installieren

DHCP-Adressbereiche erstellen und verwalten

DHCP-Relay-Agent und PXE-Boot konfigurieren

DHCP-Server exportieren, importieren und migrieren

Prüfungsziel 2.2:DHCP verwalten und warten

Hochverfügbarkeit mit DHCP-Failover konfigurieren

DHCP-Datenbank sichern und wiederherstellen

DHCP-Fehler beheben

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 3

IP-Adressverwaltung (IPAM) implementieren

Prüfungsziel 3.1:IP-Adressverwaltung installieren und konfigurieren

Architektur

Voraussetzungen und Planungsüberlegungen

IPAM-Datenbankspeicher auf SQL Server konfigurieren

IPAM manuell oder mithilfe von Gruppenrichtlinien bereitstellen

Serverermittlung konfigurieren

IP-Adressblöcke und -Bereiche erstellen und verwalten

Nutzung des IP-Adressraums überwachen

Vorhandene Arbeitsauslastungen zu IPAM migrieren

Szenarien für die Verwendung von IPAM mit System Center Virtual Machine Manager für physische und virtuelle IP-Adressbereichsverwaltung bestimmen

Prüfungsziel 3.2:DNS und DHCP mit IPAM verwalten

DHCP mit IPAM verwalten

DNS mit IPAM verwalten

DNS- und DHCP-Server in mehreren Active Directory-Gesamtstrukturen verwalten

Verwaltung für DNS und DHCP mit rollenbasierter Zugriffssteuerung delegieren

Prüfungsziel 3.3:IPAM überwachen

Auf dem DNS- und dem DHCP-Server durchgeführte Änderungen überwachen

Den IPAM-Adressnutzungsweg überwachen

DHCP-Leasing- und Benutzeranmeldungsereignisse überwachen

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 4

Netzwerkkonnektivität und Remotezugriffslösungen implementieren

Prüfungsziel 4.1:Netzwerkkonnektivitätslösungen implementieren

NAT implementieren

Routing konfigurieren

Prüfungsziel 4.2:Virtuelles privates Netzwerk (VPN) und DirectAccess implementieren

VPNs im Überblick

Festlegen, wann ein Remotezugriff-VPN oder S2S-VPN verwendet und wann welche Protokolle konfiguriert werden sollen

DirectAccess implementieren

Probleme bei DirectAccess lösen

Prüfungsziel 4.3:Netzwerkrichtlinienserver implementieren

RADIUS konfigurieren

NPS-Vorlagen konfigurieren

NPS-Richtlinien konfigurieren

Zertifikate konfigurieren

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 5

Kernnetzwerkdienste und dezentrale Netzwerklösungen implementieren

Prüfungsziel 5.1:IPv4- und IPv6-Adressierung implementieren

IPv4-Adressierung implementieren

IPv6-Adressierung implementieren

Interoperabilität zwischen IPv4 und IPv6 konfigurieren

IPv4- und IPv6-Routing konfigurieren

Border Gateway Protocol konfigurieren

Prüfungsziel 5.2:DFS und Lösungen für Zweigniederlassungen implementieren

DFS-Namespaces installieren und konfigurieren

DFS-Replikation konfigurieren

DFS-Fehlertoleranz konfigurieren

DFS-Datenbanken verwalten

BranchCache implementieren

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Kapitel 6

Erweiterte Netzwerkinfrastruktur-Features implementieren

Prüfungsziel 6.1:Hochleistungsfähige Netzwerklösungen implementieren

NIC-Teamvorgang- oder die Switch Embedded Teaming-(SET-)Lösung implementieren und bestimmen, wann welche Lösung verwendet werden soll

Empfangsseitige Skalierung aktivieren und konfigurieren

Netzwerk-QoS mit Data Center Bridging (DCB) aktivieren und konfigurieren

SMB Direct auf RDMA-fähigen Netzwerkadaptern aktivieren und konfigurieren

SR-IOV auf einem unterstützten Netzwerkadapter aktivieren und konfigurieren

Prüfungsziel 6.2:Szenarien und Voraussetzungen für die Implementierung eines softwaredefinierten Netzwerks ermitteln

Anforderungen und Szenarien für die Implementierung von HNV ermitteln

Netzwerkcontroller bereitstellen

Kapitelzusammenfassung

Gedankenexperiment

Antworten zum Gedankenexperiment

Index

Einführung

Schwerpunkte der Prüfung 70-741 sind die Netzwerkfeatures und die Netzwerkfunktionalität, die in Windows Server 2016 zur Verfügung stehen. Die Prüfung behandelt die Implementierung von DNS, DHCP und IPAM sowie Remotezugriffslösungen wie VPN und DirectAccess. Außerdem behandelt die Prüfung DFS und BranchCache-Lösungen, Features für Hochleistungsnetzwerke sowie die Implementierung von softwaredefinierten Netzwerken (Software Defined Networking, SDN), wie Hyper-V Netzwerkvirtualisierung (Hyper-V Network Virtualization, HNV) und SDN-Netzwerkcontroller.

Die Prüfung 70-741 richtet sich an Netzwerkadministratoren, die ihr vorhandenes Wissen festigen und sich über neue und geänderte Funktionalitäten in der Netzwerktechnologie von Windows Server 2016 informieren wollen.

Dieses Buch behandelt alle Themen, die in der Prüfung vorkommen können, jedoch wird nicht jede Prüfungsfrage behandelt. Nur das Microsoft-Team hat Zugang zu den Prüfungsfragen. Außerdem ändert Microsoft regelmäßig die Prüfungsfragen, was es unmöglich macht, spezifische Fragen zu behandeln. Sie sollten dieses Buches daher als Ergänzung Ihrer wichtigen Erfahrungen aus dem echten Leben und zu weiteren Studienmaterialien betrachten. Falls Sie in diesem Buch einem Thema begegnen, in dem Sie sich noch nicht zu Hause fühlen, können Sie die Links in den Abschnitten Weitere Informationen verwenden, um weiterführende Informationen zu finden. Nehmen Sie sich dann die Zeit, das Thema weiter zu untersuchen und zu studieren. Ausgezeichnete Informationen finden Sie im Microsoft Developer Network (MSDN), auf Microsoft TechNet sowie in Blogs und Foren.

Aufbau des Buches

Dieses Buch ist anhand der Prüfungsziele und erforderlichen Fähigkeiten organisiert, die für diese Prüfung veröffentlicht wurden. Sie finden die Übersichten der Prüfungsziele/Fähigkeiten für alle Prüfungen auf der Microsoft Learning-Website unter www.microsoft.com/de-de/learning/exam-list.aspx. Jedes Kapitel dieses Buches entspricht einem der aufgeführten Hauptthemen und jede technische Aufgabe innerhalb eines Themas findet sich im Aufbau des betreffenden Kapitels wieder. Da die Prüfung 70-741 sechs Hauptthemen abdeckt, enthält dieses Buch sechs Kapitel.

Microsoft-Zertifizierungen

Mit Microsoft-Zertifizierungen können Sie sich von anderen unterscheiden und belegen, dass Sie eine breite Palette an Kenntnissen und Erfahrungen mit den aktuellen Microsoft-Produkten und -Technologien besitzen. Die Prüfungen und die zugehörigen Zertifizierungen wurden entwickelt, um zu bestätigen, dass Sie die entscheidenden Kompetenzen beherrschen, um in der Infrastruktur sowohl vor Ort als auch in der Cloud Lösungen mit Microsoft-Produkten und -Technologien zu planen, zu entwickeln, zu implementieren und zu unterstützen. Die Zertifizierung bringt sowohl dem Einzelnen als auch Mitarbeitern und Unternehmen zahlreiche Vorteile.

Danksagungen

Das Schreiben eines Buches ist immer Teamarbeit. Daher möchte ich meiner Editorin, Tina Mac-Donald, für ihre Beratung danken. Außerdem möchte ich meiner Frau Naomi und meiner Tochter Amelia für ihre Geduld danken, während ich einen Sommer lang in meinem Büro eingeschlossen war, um dieses Buch zu schreiben.

Andrew Warren

Kostenlose E-Books von Microsoft Press

Angefangen bei technischen Überblicken bis hin zu detaillierten Informationen zu Spezialthemen: Das ist das Spektrum der zahlreichen Themen, die von den kostenlosen Microsoft Press-E-Books abgedeckt werden. Die englischsprachigen E-Books stehen im PDF-m-, EPUB- und Mobi-für-Kindle-Format hier zum Download bereit:

https://aka.ms/mspressfree

Zu diesem Buch – sowie zu vielen weiteren dpunkt-Büchern – können Sie auch das entsprechende deutsche E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei dpunkt.plus+:

www.dpunkt.plus

Microsoft Virtual Academy

Erweitern Sie Ihre Kenntnisse über Microsoft-Technologien und nutzten Sie dafür die kostenlosen Onlineschulungen der Microsoft Virtual Academy (MVA). Auf MVA finden Sie eine umfangreiche Videobibliothek, Live-Events und vieles mehr, mit dem Sie sich über die neuesten Technologien informieren und sich auf die Zertifizierungsprüfung vorbereiten können. Sie finden hier sicher, was Sie brauchen:

https://www.microsoftvirtualacademy.com

Schneller Zugriff auf Onlinematerialien

Im Verlauf dieses Buches finden Sie an zahlreichen Stellen Links zu Webseiten, die der Autor empfiehlt und auf denen Sie weiterführende Informationen finden. Ein Teil dieser URL-Adressen ist recht lang; daher ist es etwas mühselig, sie in Ihren Browser einzugeben. Aus diesem Grund haben wir alle Adressen in einer Liste zusammengetragen, die Sie als Leser der gedruckten Edition des Buches verwenden können, während Sie das Buch lesen.

Sie können diese Linkliste hier herunterladen: https://dpunkt.de/70-741

Diese Linkliste ist nach Kapiteln und Überschriften organisiert. Immer dann, wenn Sie beim Lesen auf eine URL stoßen, suchen Sie in der Liste nach dem Hyperlink, klicken Sie ihn an und gehen Sie so direkt zu der betreffenden Webseite.

Errata, Updates und Support

Wir haben uns sehr um die Richtigkeit der in diesem Buch enthaltenen Informationen bemüht. Fehler, die seit der Veröffentlichung der englischen Originalausgabe des Buches bekannt geworden sind, werden auf der Microsoft Press-Website aufgelistet:

https://aka.ms/examref741/errata

Sollten Sie einen Fehler finden, der noch nicht aufgeführt ist, würden wir uns freuen, wenn Sie uns auf dieser Seite darüber informieren (in englischer Sprache).

Falls Sie zusätzlichen Support benötigen, können Sie sich an den englischsprachigen Buchsupport von Microsoft Press wenden. Sie erreichen ihn unter dieser E-Mail-Adresse:

[email protected]

Mit Anmerkungen, Fragen oder Verbesserungsvorschlägen zu diesem Buch können Sie sich aber auch an den dpunkt.verlag wenden:

[email protected]

Bitte beachten Sie, dass über diese E-Mail-Adressen kein Software- oder Hardware-Support angeboten wird. Für Supportinformationen bezüglich der Software- und Hardwareprodukte von Microsoft besuchen Sie bitte die Microsoft-Website:

http://support.microsoft.com

Wir wollen von Ihnen hören

Bei Microsoft Press steht Ihre Zufriedenheit an oberster Stelle. Daher ist Ihr Feedback für uns sehr wichtig, Lassen Sie uns auf dieser englischsprachigen Website wissen, wie Sie dieses Buch finden:

https://aka.ms/tellpress

Wir wissen, dass Sie viel zu tun haben. Darum finden Sie auf der Webseite nur wenige Fragen. Ihre Antworten gehen direkt an das Team von Microsoft Press. (Es werden keine persönlichen Informationen abgefragt.) Im Voraus vielen Dank für Ihre Unterstützung.

Über Ihr Feedback per E-Mail freut sich außerdem der dpunkt.verlag über:

[email protected].

Bleiben Sie am Ball

Falls Sie News, Updates usw. zu Microsoft Press-Büchern erhalten möchten, wir sind auf Twitter:

https://twitter.com/dpunkt_verlag

Wichtig: Wie Sie dieses Buch für die Prüfungsvorbereitung verwenden

Die Prüfungen und Zertifizierungen bestätigen Ihre Berufserfahrungen und Ihre Produktkenntnisse. Verwenden Sie dieses Microsoft-Prüfungstraining, um Ihr Verständnis der in der Prüfung abgefragten Fähigkeiten zu überprüfen und um zu beurteilen, ob Sie die Prüfung erfolgreich absolvieren können. Ermitteln Sie die Themen, in denen Sie sich gut auskennen, sowie die Bereiche, in denen Sie weitere Erfahrungen und zusätzliches Wissen benötigen. Um Ihre Fähigkeiten in bestimmten Bereichen aufzufrischen, finden Sie im Buch zahlreiche »Weitere-Informationen-Abschnitte«, die Links enthalten, die Sie zu ausführlicheren Informationen außerhalb dieses Buches bringen.

Das Microsoft-Prüfungstraining ist kein Ersatz für praktische Erfahrungen. Das Buch wurde nicht mit dem Ziel entwickelt, Ihnen neue Fähigkeiten beizubringen.

Wir empfehlen Ihnen, zur Vorbereitung auf die Zertifizierungsprüfung eine Kombination aus den verfügbaren Studienmaterialen und Kursen vorzubereiten. Weitere Informationen über herkömmliche Präsenztrainings oder einen der neuen offiziellen Microsoft On-Demand-Kurse finden Sie auf https://www.microsoft.com/learning. Für zahlreiche Prüfungen stehen auch englischsprachige offizielle Microsoft-Praxistests zur Verfügung: https://aka.ms/practicetests. Informationen zu weiteren Onlinekursen, Videos und Live-Events finden Sie in der Microsoft Virtual Academy unter https://www.microsoftvirtualacademy.com.

Dieses Buch ist anhand der Prüfungsziele und Fähigkeiten organisiert, die für diese Prüfung veröffentlicht wurden. Sie finden die Übersichten der Prüfungsziele/Fähigkeiten für alle Prüfungen auf der Microsoft Learning-Website unter https://www.microsoft.com/de-de/learning/exam-list.aspx.

Beachten Sie, dass dieses Prüfungstraining auf den öffentlich zugänglichen Informationen und den Erfahrungen des Autors basiert. Um die Integrität der Prüfung zu gewährleisten, haben die Autoren keinen Zugang zu den Prüfungsfragen.

KAPITEL 1

Domain Name System (DNS) implementieren

Anwender und Computer verwenden üblicherweise Hostnamen anstelle von Netzwerkadressen des Typs Internet Protocol Version 4 (IPv4) oder Internet Protocol Version 6 (IPv6), um mit anderen Hosts und Diensten in Netzwerken zu kommunizieren. Ein Windows Server 2016-Dienst mit dem Namen Domain Name System(DNS)-Serverrolle löst diese Namen in IPv4- oder IPv6-Adressen auf.

Viele wichtige Apps und Dienste benötigen die DNS-Serverrolle. Daher ist es wichtig zu wissen, wie Sie die Windows Server 2016-Namensauflösung mit der DNS-Serverrolle installieren und konfigurieren. Daher behandelt die Prüfung 70-741 »Netzwerkinfrastruktur mit Windows Server 2016 implementieren« die Installation und Konfiguration der DNS-Serverrolle in Windows Server 2016.

Die Prüfung 70-741 »Netzwerkinfrastruktur mit Windows Server 2016 implementieren« behandelt außerdem die Implementierung von Zonen und DNS-Einträgen mit der DNS-Serverrolle. Sie müssen daher wissen, wie Sie mit der Windows Server 2016 DNS-Serverrolle DNSZonen erstellen und verwalten und wie Sie in diesen Zonen host- und dienstbezogene Einträge erstellen.

Prüfungsziele in diesem Kapitel

DNS-Server installieren und konfigurieren

DNS-Zonen und Ressourceneinträge erstellen und konfigurieren

Prüfungsziel 1.1:DNS-Server installieren und konfigurieren

Windows Server 2016 stellt die DNS-Serverrolle zur Verfügung, damit Sie für die Geräte und Computer in der Netzwerkinfrastruktur Ihrer Organisation Namensauflösung zur Verfügung stellen können. Der erste Schritt beim Implementieren von DNS besteht darin, die DNS-Serverrolle auf Windows Server 2016-Netzwerkcomputern bereitzustellen.

Namensauflösung im Überblick

Obwohl die IP-Adressierung nicht sehr komplex ist, ist es für Anwender dennoch einfacher, mit den Hostnamen und nicht mit den IPv4- oder IPv6-Adressen von Hosts, wie beispielsweise Websites, zu arbeiten, mit denen sie sich verbinden wollen. Wenn eine Anwendung, wie beispielsweise Microsoft Edge, den Namen einer Website referenziert, wird der Name in der URL in die sich dahinter verbergende IPv4- oder IPv6-Adresse konvertiert. Dieser Vorgang wird Namensauflösung genannt. Windows 10- und Windows Server 2016-Computer können zwei verschiedene Arten von Namen verwenden. Diese sind:

Hostnamen

Ein Hostname, der maximal 255 Zeichen lang ist, enthält lediglich alphanumerische Zeichen, Punkte und Bindestriche. Ein Hostname ist ein Alias, der mit einem DNS-Domänennamen kombiniert ist. So wird beispielsweise der Alias

computer1

dem Domänennamen

contoso.com

vorangestellt, um den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) computer1.contoso.com zu erzeugen.

NetBIOS-Namen

NetBIOS-Namen sind heute weniger relevant. Sie verwenden eine nicht hierarchische Struktur, die auf 16 Zeichen langen Namen basiert. Das 16. Zeichen identifiziert einen bestimmten Dienst, der auf einem Computer läuft, dessen Name in den vorhergehenden 15 Zeichen angegeben ist. So handelt es sich bei LON-SVR1[20h] um den NetBIOS-Serverdienst auf dem Computer mit dem Namen LON-SVR1.

Die Methode, mit der ein Windows 10- oder Windows Server 2016-Computer Namen auflöst, hängt von der jeweiligen Konfiguration ab. Prinzipiell läuft der Vorgang so ab, wie es Abbildung 1–1 zeigt.

Abb. 1–1Typische Phasen bei der Namensauflösung auf einem Windows Server-Computer

Der folgende Prozess verdeutlicht die typischen Phasen bei der Namensauflösung für einen Windows 10- oder Windows Server 2016-Computer:

1.

Prüfen, ob der abgefragte Hostname mit dem lokalen Hostnamen identisch ist.

2.

Im DNS-Auflösungscache nach dem abgefragten Hostnamen suchen. Der Cache wird aktualisiert, wenn Einträge erfolgreich aufgelöst werden können. Zusätzlich wird der Inhalt der lokalen Hosts-Datei in den DNS-Auflösungscache eingefügt.

3.

An einen DNS-Server eine Abfrage für den erforderlichen Hostnamen schicken.

Die Namensauflösung in Windows Server 2016 kümmert sich natürlich um mehr als nur um die einfache Auflösung eines Namens in eine IP-Adresse. Computer verwenden die DNS-Serverrolle auch dazu, um innerhalb der Netzwerkinfrastruktur bestimmte Dienste zu lokalisieren. Nach dem Start eines Computers muss sich der Benutzer beispielsweise an einer Active Directory-Domäne anmelden und möglicherweise Microsoft Outlook öffnen. Der Clientcomputer muss dazu in der Lage sein, einen Server zu lokalisieren, der in der lokalen Active Directory-Site Authentifizierungsdienste zur Verfügung stellt. Für das Starten von Outlook muss der Clientcomputer den Microsoft Exchange-Server mit der Mailbox des sich anmeldenden Benutzers ermitteln können. Für beide Vorgänge ist DNS erforderlich.

DNS-Installationsanforderungen bestimmen

Bevor Sie die DNS-Serverrolle installieren, müssen Sie sicherstellen, dass Ihr Computer die Installationsvoraussetzungen der Rolle erfüllt.

Die Installationsvoraussetzungen für die DNS-Serverrolle sind:

Sicherheit

Sie müssen sich beim Servercomputer als Mitglied der lokalen Administratorengruppe anmelden.

IP-Konfiguration

Dem Server muss eine statische IPv4- und/oder IPv6-Adresse zugewiesen sein. So ist sichergestellt, dass Clientcomputer die DNS-Serverrolle anhand der IP-Adresse lokalisieren können.

Neben diesen Servervoraussetzungen müssen Sie darauf vorbereitet sein, Fragen über die Netzwerkinfrastruktur Ihrer Organisation beantworten zu können. Diese Fragen umfassen Ihre Internetpräsenz und den registrierten Domänennamen, den Sie öffentlich verwenden wollen. Sie müssen diese Informationen noch nicht während der Installation der DNS-Serverrolle angeben; sie sind jedoch erforderlich, wenn Sie die DNS-Serverrolle konfigurieren.

Installieren der DNS-Serverrolle

Sie können die DNS-Serverrolle mit dem Server-Manager oder mit der Windows PowerShell installieren.

Installieren von DNS mit dem Server-Manager

So installieren Sie die DNS-Serverrolle mit dem Server-Manager:

1.

Melden Sie sich beim Zielserver als lokaler Administrator an.

2.

Starten Sie den Server-Manager.

3.

Klicken Sie in der Konsole Server-Manager auf

Verwalten

und dann auf

Rollen und Features hinzufügen

.

4.

Klicken Sie auf der Seite

Vorbemerkungen

des

Assistenten zum Hinzufügen von Rollen und Features

auf

Weiter

.

5.

Aktivieren Sie auf der Seite

Installationstyp auswählen

das Optionsfeld

Rollenbasierte oder featurebasierte Installation

und klicken Sie auf

Weiter

.

6.

Wählen Sie auf der Seite

Zielserver auswählen

in der Liste

Serverpool

den gewünschten Server aus und klicken Sie auf

Weiter

.

7.

Schalten Sie auf der Seite

Serverrollen auswählen

das Kontrollkästchen

DNS-Server

ein (siehe

Abb. 1–2

). Klicken Sie auf

Weiter

.

8.

Klicken Sie im Dialogfeld

Assistent zum Hinzufügen von Rollen und Features

auf

Features hinzufügen

.

9.

Klicken Sie auf der Seite

Features auswählen

auf

Weiter

.

10.

Klicken Sie auf der Seite

DNS-Server

auf

Weiter

.

11.

Klicken Sie auf der Seite

Installationsauswahl bestätigen

auf

Installieren

. Klicken Sie auf

Schließen

, sobald die Installation abgeschlossen ist.

Abb. 1–2DNS-Serverrolle mit dem Server-Manager installieren

Installieren von DNS mit Windows PowerShell

Obwohl die Verwendung des Server-Managers zur Installation von Rollen und Features einfach ist, ist dies nicht immer die schnellste Methode. Um die DNS-Serverrolle und alle zugehörigen Verwaltungstools mit Windows PowerShell zu installieren, führen Sie folgende Schritte durch:

1.

Melden Sie sich beim Zielserver als lokaler Administrator an.

2.

Öffnen Sie ein Windows PowerShell-Fenster mit erhöhten Rechten.

3.

Geben Sie an der Eingabeaufforderung der Windows PowerShell (siehe

Abb. 1–3

) den folgenden Befehl ein und drücken Sie die -Taste.

Abb. 1–3DNS-Serverrolle mit Windows PowerShell installieren

Unterstützte DNS-Bereitstellungsszenarien auf Nano Server bestimmen

Nano Server ist eine neue Bereitstellungsoption für Windows Server 2016. Nano Server entspricht weitestgehend Windows Server Core, jedoch sind die Hardwarevoraussetzungen viel geringer. Außerdem stellt Nano Server nur eingeschränkte lokale Anmeldemöglichkeiten und lokale Administrationsfunktionen bereit. Überdies werden nur 64-Bit-Apps, -Agenten und -Tools unterstützt.

Es gibt jedoch zahlreiche Situationen, in denen Sie erwägen sollten, Nano Server anstatt der anderen Bereitstellungsoptionen von Windows Server 2016 zu verwenden. So ist Nano Server beispielsweise eine gute Plattform für einen Webserver, der die Internet Informationsdienste (Internet Information Services, IIS) ausführt. Auch für die DNS-Serverrolle ist Nano Server ideal.

Sie können eine der beiden folgenden Vorgehensweisen verwenden, um die DNS-Serverrolle auf Nano Server zu installieren:

Installation der DNS-Serverrolle als Teil der Bereitstellung von Nano Server

Wenn Sie Nano Server mit dem Cmdlet

New-NanoServerImage

bereitstellen, können Sie den Parameter

-Packages Microsoft-NanoServer-DNS-Package

verwenden, um die DNS-Serverrolle zu installieren.

Rolle nach der Bereitstellung hinzufügen

Nachdem Sie Nano Server bereitgestellt haben, können Sie den Server-Manager oder Windows PowerShell verwenden, um die DNS-Serverrolle hinzuzufügen. Da es sich bei Nano Server um eine Serverplattform ohne GUI handelt, die nur wenige lokale Verwaltungsmöglichkeiten bietet, müssen Sie den Server remote verwalten.

Sie können die Rolle dem Nano Server hinzufügen, indem Sie eine der beiden folgenden Methoden verwenden:

Wählen Sie im Server-Manager die Option

Weitere zu verwaltende Server hinzufügen

, um den Nano Server als verwaltbaren Server hinzuzufügen. Fügen Sie dann diesem Server die DNS-Serverrolle hinzu und gehen Sie so vor, wie weiter vorne im

Abschnitt »Installieren von DNS mit dem Server-Manager« (S. 3)

beschrieben.

Starten Sie eine PowerShell-Remote-Session mit dem Nano Server und verwenden Sie dazu das Cmdlet

Enter-PSSession

. Sie können dann wie weiter vorne beschrieben zur Installation der DNS-Serverrolle Windows PowerShell-Cmdlets verwenden. Um beispielsweise über eine Remote-Sitzung die DNS-Serverrolle auf einem Nano Server zu installieren, verwenden Sie den folgenden Befehl:

Weiterleitungen, Stammhinweise, Rekursion und Delegierung konfigurieren

Nachdem Sie die DNS-Serverrolle auf Ihrem Windows Server 2016 installiert haben, müssen Sie DNS konfigurieren. Hierzu gehören die Konfiguration von Weiterleitungen, Stammhinweise, Rekursion und Delegierung.

Weiterleitungen konfigurieren

Mit DNS-Weiterleitungen legen Sie fest, was mit einer DNS-Anfrage passieren soll, falls der angefragte DNS-Server nicht in der Lage ist, die DNS-Anfrage aufzulösen. Sie können DNSWeiterleitungen konfigurieren und verwenden, um den Fluss von DNS-Anfragen in Ihrer Organisation so zu konfigurieren, dass lediglich bestimmte DNS-Server Internet-DNS-Anfragen bearbeiten.

DNS-Weiterleitungen bieten diese Möglichkeiten:

Konfigurieren Sie einen DNS-Server so, dass er nur auf die Anfragen reagiert, die er anhand von lokal gespeicherten Zoneninformationen bearbeiten kann. Für alle anderen Anfragen muss der angefragte DNS-Server die Anfrage an einen anderen DNS-Server weiterleiten.

Legen Sie das Weiterleitungsverhalten für bestimmte DNS-Domains fest, indem Sie bedingte Weiterleitungen konfigurieren. Falls die DNS-Anfrage in diesem Szenario einen bestimmten Domainnamen enthält, wie beispielsweise

contoso.com

, wird sie an einen bestimmten DNS-Server weitergeleitet.

Gehen Sie folgendermaßen vor, um Weiterleitungen zu konfigurieren:

1.

Klicken Sie im Server-Manager auf

Tools

und dann auf

DNS

.

2.

Klicken Sie im Navigationsbereich des DNS-Managers den DNS-Server mit der rechten Maustaste an und wählen Sie

Eigenschaften

.

3.

Klicken Sie im Dialogfeld

Servereigenschaften

auf der Registerkarte

Weiterleitungen

auf

Bearbeiten

.

4.

Geben Sie in die Liste mit den IP-Adressen des Dialogfelds

Weiterleitungen bearbeiten

die IP-Adresse des Servers ein, an den Sie alle DNS-Anfragen weiterleiten wollen, und klicken Sie dann auf

OK

. Sie können hier mehrere DNS-Server konfigurieren; diese Server werden in der festgelegten Reihenfolge abgefragt. Außerdem können Sie die Anzahl der Sekunden angeben, die der DNS-Server abwartet, bevor eine andere Weiterleitungs-IP verwendet wird.

5.

Auf der Registerkarte

Weiterleitungen

des Dialogfelds

Servereigenschaften

(siehe

Abb. 1–4

) können Sie die Liste der DNS-Weiterleitungen sehen und bearbeiten. Außerdem können Sie festlegen, was passiert, wenn keine der DNS-Weiterleitungen erreicht werden kann. Falls keine Weiterleitungen verfügbar sind, werden standardmäßig die Stammhinweise verwendet. Stammhinweise werden im folgenden Abschnitt beschrieben. Klicken Sie auf

OK

, um die Konfiguration abzuschließen.

Abb. 1–4DNS-Weiterleitungen konfigurieren

Gehen Sie folgendermaßen vor, um bedingte Weiterleitungen zu konfigurieren:

1.

Klicken Sie im Navigationsbereich der Konsole

DNS-Manager

den Knoten

Bedingte Weiterleitungen

mit der rechten Maustaste an und wählen Sie

Neue bedingte Weiterleitung

.

2.

Geben Sie in das Feld

DNS-Domäne

des Dialogfelds

Neue bedingte Weiterleitung

den Domänennamen ein, für den Sie eine bedingte Weiterleitung einrichten wollen (siehe

Abb. 1–5

). Geben Sie dann in die Liste

IP-Adressen der Masterserver

die IP-Adresse des Servers ein, den Sie als Weiterleitung für diese Domäne verwenden wollen. Drücken Sie die -Taste.

3.

Optional können Sie die Anzahl der Sekunden angeben, die der DNS-Server abwartet, bevor eine andere Weiterleitungs-IP verwendet wird. Der Standardwert ist fünf Sekunden.

4.

Klicken Sie auf

OK

.

Abb. 1–5Konfiguration einer bedingten DNS-Weiterleitung

Stammhinweise konfigurieren

Falls Sie keine DNS-Weiterleitungen konfigurieren und der angefragte DNS-Server nicht in der Lage ist, die DNS-Anfrage aufzulösen, verwendet er hierfür die Stammhinweise. Bevor wir uns die Stammhinweise ansehen, ist es wichtig zu verstehen, wie eine Internet-DNS-Anfrage bearbeitet wird.

SO WIRD EINE INTERNET-DNS-ANFRAGE BEARBEITET

Eine Client-App, wie Microsoft Edge, will einen Namen (beispielsweise www.contoso.com) in die entsprechende IPv4-Adresse auflösen. Diese App wird als DNS-Client bezeichnet. Der Vorgang der Namensauflösung ist nachfolgend beschrieben und in Abbildung 1–6 dargestellt.

1.

Der DNS-Client schickt an den konfigurierten DNS-Server eine Anfrage für den erforderlichen Eintrag (beispielsweise

www.contosco.com

) und verwendet hierzu eine rekursive Abfrage.

Der abgefragte DNS-Server prüft, ob er für den angegebenen Eintrag autoritativ ist. Trifft dies zu, gibt er die angeforderten Informationen zurück.

Falls er nicht autoritativ ist, prüft der DNS-Server den lokalen Auflösungscache, um zu ermitteln, ob der Eintrag kürzlich aufgelöst wurde. Falls der Eintrag im Cache gefunden wurde, wird er an den anfragenden DNS-Client zurückgegeben.

2.

Falls der Eintrag nicht im Cache vorhanden ist, richtet der DNS-Server eine Reihe von iterativen DNS-Abfragen an andere DNS-Server. Hierbei wird der angefragte Eintrag übergeben. Er beginnt mit dem Rootserver.

3.

Wenn der Rootserver für den angeforderten Eintrag autoritativ ist, gibt er den Eintrag zurück. Anderenfalls gibt der Rootserver die IP-Adresse eines für die Domäne der nächsttieferen Ebene autoritativen DNS-Servers zurück, in diesem Fall.

com

.

4.

Der ursprüngliche DNS-Server schickt an den angegebenen für

.com

zuständigen DNS-Server eine weitere iterative Abfrage.

5.

Der

.com

-Server ist nicht autorisierend und gibt daher die IP-Adresse des DNS-Servers zurück, der für

comtoso.com

zuständig ist.

6.

Der ursprüngliche DNS-Server schickt an den angegebenen

contoso.com

-DNS-Server eine weitere iterative Abfrage.

7.

Der

contoso.com

-DNS-Server ist autoritativ und gibt daher die angeforderte Information zurück; in diesem Beispiel ist dies die IPv4-Adresse für

www.contoso.com

.

8.

Der ursprüngliche DNS-Server fügt den Eintrag in den Auflösungscache ein und übergibt dem DNS-Client die angeforderte Information.

Abb. 1–6So funktionieren Internet-DNS-Abfragen

SO WERDEN STAMMHINWEISE VERWENDET

Wie Sie in der Beschreibung und im Diagramm des vorherigen Abschnitts sehen können, fragt ein DNS-Server, der nicht autoritativ ist und für diese DNS-Domäne keinen Cache enthält, einen Rootserver ab. So wird der Vorgang gestartet, der den für den angefragten Eintrag autoritativen Nameserver ermittelt. Ohne die IP-Adresse der DNS-Rootserver kann dieser Vorgang jedoch nicht gestartet werden.

Stammhinweise werden von DNS-Servern verwendet, damit sie in der DNS-Hierarchie im Internet navigieren können. Ausgangspunkt ist der Stamm. Die Microsoft DNS-Server sind bereits mit den wichtigsten Einträgen für die Stammhinweise vorkonfiguriert. Sie können die Liste der Stammhinweisserver mit der Konsole DNS-Manager oder mit Windows PowerShell bearbeiten.

Sie können die Informationen mit den Stammhinweisen beispielsweise dann bearbeiten, wenn Sie den Ablauf des Datenverkehrs mit DNS-Abfragen innerhalb Ihres internen Netzwerks konfigurieren wollen. Dies ist auch zwischen Ihrem internen Netzwerk und dem Perimeternetz nützlich, das sich zwischen Ihrem internen Netzwerk und dem Internet befindet.

STAMMHINWEISE BEARBEITEN

Führen Sie die folgenden Schritte durch, um die Informationen zu den Stammhinweisen mit der Konsole DNS-Manager zu bearbeiten:

1.

Klicken Sie im Server-Manager auf

Tools

und dann auf

DNS

.

2.

Suchen Sie in der Konsole

DNS-Manager

nach dem entsprechenden DNS-Server. Klicken Sie den Servernamen mit der rechten Maustaste an und wählen Sie

Eigenschaften

.

3.

Klicken Sie im Dialogfeld

Eigenschaften von Server

auf die Registerkarte

Stammhinweise

, die Sie in

Abbildung 1–7

sehen.

4.

Sie können neue Namenserver hinzufügen und vorhandene Einträge bearbeiten oder entfernen. Sie können auch die Schaltfläche

Vom Server kopieren

anklicken, um die Stammhinweise eines anderen DNS-Servers zu importieren. Klicken Sie auf

OK

, nachdem Sie die Stammhinweise bearbeitet haben.

Abb. 1–7Stammhinweise konfigurieren

Sie können auch die Windows PowerShell verwenden, um die Informationen zu den Stammhinweisen auf Ihrem DNS-Server zu bearbeiten. Die folgenden Cmdlets stehen zur Verfügung:

Add-DnsServerRootHint

Ermöglicht das Hinzufügen neuer Stammhinweiseinträge.

Remove-DnsServerRootHint

Ermöglicht das Löschen von Stammhinweiseinträgen.

Set-DnsServerRootHint

Ermöglicht die Bearbeitung von vorhandenen Stammhinweiseinträgen. Sie können das Cmdlet

Get-DnsServerRootHint

verwenden, um den benötigten Eintrag für die Bearbeitung abzurufen.

Import-DnsServerRootHint

Ermöglicht das Kopieren der Stammhinweisinformationen von einem anderen DNS-Server.

Um beispielsweise den Wert für die Stammhinweise, die H.Root-Servers.adatum.com zugewiesen sind, zu aktualisieren, verwenden Sie die beiden folgenden PowerShell-Befehle:

Der erste Befehl ruft den Stammhinweis für H.Root-Servers.Adatum.com ab und weist ihn der Variablen $hint zu. Das Cmdlet Get-DnsServerRootHint gibt eine Liste aller Stammhinweise zurück. Mit dem Cmdlet Where-Object werden die Ergebnisse gefiltert, um lediglich den Stammhinweiseintrag für H.Root-Servers.Adatum.com zu erhalten.

Rekursionseinstellungen konfigurieren

Die Rekursion ist eine Namensauflösungstechnik, bei der ein DNS-Server im Namen des anfordernden Clients Abfragen zur vollständigen Auflösung eines Namens an andere DNS-Server sendet. Die DNS-Server senden die Antwort anschließend an den Client zurück. Standardmäßig führen alle DNS-Server im Namen ihrer DNS-Clients sowie im Namen von DNS-Servern, die DNS-Clientabfragen an ihn weiterleiten, rekursive Abfragen durch.

Da Angreifer die Rekursion verwenden können, um Ihre Server mit einem Denial-of-Service-Angriff zu stören, sollten Sie in Ihrem Netzwerk die Rekursion auf allen Servern deaktivieren, die keine rekursiven Abfragen empfangen sollen.

Führen Sie folgende Schritte durch, um die Rekursion zu deaktivieren:

1.

Klicken Sie im Server-Manager auf

Tools

und dann auf

DNS

.

2.

Klicken Sie in der Konsole

DNS-Manager

den gewünschten Servernamen mit der rechten Maustaste an und wählen Sie

Eigenschaften

.

3.

Öffnen Sie die Registerkarte

Erweitert

. Schalten Sie in der Liste

Serveroptionen

das Kontrollkästchen

Rekursionsvorgang (und Weiterleitungen) deaktivieren

ein (siehe

Abb. 1–8

). Klicken Sie dann auf

OK

.

Abb. 1–8Rekursion deaktivieren

REKURSIONSBEREICHE

Obwohl es eine gute Idee zu sein scheint, den Rekursionsvorgang zu deaktivieren, kann es auch Server geben, die für ihre Clients und andere DNS-Server rekursive Abfragen durchführen müssen. Hierbei besteht jedoch das Risiko, dass Ihr Netzwerk bösartigen Angriffen ausgesetzt ist. Mit dem Windows Server 2016-Feature Rekursionsbereiche können Sie das Verhalten rekursiver Abfragen steuern. Hierfür verwenden Sie DNS-Server-Richtlinien.

Nehmen Sie beispielsweise an, dass Sie einen DNS-Server einsetzen, der rekursive Abfragen von internen Clients aus der Domäne adatum.com bearbeiten und gleichzeitig alle rekursiven Abfragen, die von sich im Internet befindenden Computern eintreffen, blockieren soll. Um dieses Verhalten zu konfigurieren, öffnen Sie Windows PowerShell und führen dann die beiden folgenden Befehle aus:

Der erste Befehl deaktiviert den Rekursionsvorgang für den Standardrekursionsbereich, wodurch im Ergebnis die Rekursion deaktiviert wird. Der Standardrekursionsbereich besteht aus den Rekursions- und Weiterleitungseinstellungen auf Server-Ebene, die weiter vorne im Abschnitt »Weiterleitungen, Stammhinweise, Rekursion und Delegierung konfigurieren« (S. 7) beschrieben sind.

Der zweite Befehl erstellt einen neuen Rekursionsbereich mit dem Namen InternalAdatum-Clients. Für Clients, die sich in diesem Bereich befinden, wird die Rekursion aktiviert. Anschließend müssen Sie definieren, welche Clients zu diesem Rekursionsbereich gehören. Verwenden Sie folgenden Windows PowerShell-Befehl, um dies zu erreichen:

In diesem Beispiel werden DNS-Anfragen, die auf der Netzwerkschnittstelle des DNS-Servers mit der IP-Adresse 10.24.60.254 eintreffen, so ausgewertet, als ob sie von Clients gesendet werden, die zu InternalAdatumClients gehören, und die Rekursion ist aktiviert. Für DNS-Anfragen, die auf anderen Netzwerkschnittstellen des Servers eintreffen, ist der Rekursionsvorgang deaktiviert.

Delegierung konfigurieren

Dieses Thema wird weiter hinten in diesem Kapitel im Abschnitt »DNS-Delegierung konfigurieren« (S. 37) behandelt.

Sicherheitserweiterungen für DNS konfigurieren

Mit der Konfiguration von Weiterleitungen, Rekursion und Stammhinweisen können Sie die Grundlagen steuern, wie DNS-Abfragen in Ihrem Unternehmen verarbeitet werden. Nachdem Sie diese Einstellungen konfiguriert haben, können Sie einen Schritt weiter gehen und die erweiterten Einstellungen festlegen.

DNSSEC konfigurieren

DNSSEC ist eine Sicherheitseinstellung für DNS, mit der alle Einträge in einer DNS-Zone digital signiert werden, damit die DNS-Clients die Identität des DNS-Servers überprüfen können, von dem sie die Antwort erhalten. DNSSEC hilft sicherzustellen, dass der DNS-Client mit einem authentifizierten DNS-Server kommuniziert.

Wenn ein Client eine Abfrage an einen DNS-Server sendet, für den DNSSEC konfiguriert ist, gibt der Server sowohl die DNS-Ergebnisse als auch eine digitale Signatur zurück. Um sicherstellen zu können, dass diese Signatur gültig ist, erhält der Client von einem Vertrauensanker den öffentlichen Schlüssel des öffentlich-privaten Schlüsselpaars, das mit dieser Signatur verknüpft ist. Damit dies funktioniert, müssen Sie für Ihre DNS-Clients einen Vertrauensanker für die signierte DNS-Zone konfigurieren.

VERTRAUENSANKER

Um DNSSEC zu implementieren, müssen Sie eine Vertrauensankerzone erstellen. Diese Zone wird verwendet, um öffentliche Schlüssel zu speichern, die mit bestimmten DNS-Zonen verknüpft sind. Sie müssen für die gesicherte Zone auf jedem DNS-Server, auf dem sich die Zone befindet, einen Vertrauensanker erstellen.

RICHTLINIENTABELLE FÜR DIE NAMENSAUFLÖSUNG

Außerdem müssen Sie eine Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) erstellen, konfigurieren und verteilen. Eine DNSSEC-Regel in der Richtlinientabelle für die Namensauflösung wird von den DNS-Clients verwendet, um spezielle Verhaltensweisen der Clients festzulegen. Sie wird von DNSSEC verwendet, um die Clients anzuweisen, die Validierung durch die Verwendung einer Signatur anzufordern.

DNSSEC IMPLEMENTIEREN

Nachdem Sie Windows Server 2016 installiert und die DNS-Serverrolle hinzugefügt haben, führen Sie die folgenden Schritte durch, um DNSSEC zu implementieren:

1.

Starten Sie den DNSSEC-Konfigurationsassistenten von der Konsole

DNS-Manager

aus, um die DNS-Zone zu signieren. Klicken Sie im DNS-Manager die gewünschte Zone mit der rechten Maustaste an, zeigen Sie auf

DNSSEC

und klicken Sie dann auf

Zone signieren

. Wenn Sie, wie in

Abbildung 1–9

zu sehen, die Zone signieren, können Sie zwischen drei Optionen wählen.

Abb. 1–9Eine DNS-Zone signieren

Zonensignaturparameter anpassen

Erlaubt Ihnen die Konfiguration aller Werte für den Schlüsselsignaturschlüssel (KSK, Key Signing Key) und den Zonensignaturschlüssel (ZSK, Zone Signing Key).

Zone mit den Parametern einer vorhandenen Zone signieren

Sie können die gleichen Werte und Optionen verwenden, die eine bereits vorhandene, signierte Zone besitzt.

Standardeinstellungen für die Zonensignierung verwenden

Signiert die Zone unter Verwendung der Standardparameter.

2.

Konfigurieren Sie die Verteilungspunkte für die Vertrauensanker – Sie können diese Option wählen, wenn Sie in Schritt 1 die Option

Zonensignaturparameter anpassen

gewählt haben. Anderenfalls können Sie nach dem Signieren der Zone die folgenden Schritte verwenden, um die Verteilungspunkte der Vertrauensanker zu konfigurieren.

A.

Klicken Sie im DNS-Manager die gewünschte Zone mit der rechten Maustaste an, zeigen Sie auf

DNSSSEC

und wählen Sie

Eigenschaften

.

B.

Klicken Sie im Dialogfeld

DNSSEC-Eigenschaften für die Zone

auf die Registerkarte

Vertrauensanker

(

Abb. 1–10

). Schalten Sie das Kontrollkästchen

Verteilung von Vertrauensankern für diese Zone aktivieren

ein und klicken Sie auf

OK

. Klicken Sie in der Bestätigungsmeldung auf

Ja

und dann auf

OK

.

C.

Überprüfen Sie, dass der Knoten

Vertrauensanker

existiert und dass er die relevanten DNS KEY-Datensätze enthält. Erweitern Sie dazu im DNS-Manager den Knoten Ihres Servers und dann den Knoten

Vertrauenspunkte

. Er enthält untergeordnete Knoten für Ihre DNS-Zonen, die zwei DNS KEY-Datensätze enthalten.

Abb. 1–10Die Verteilung von Vertrauensankern aktivieren

3.

Konfigurieren Sie auf den Clientcomputern die Richtlinientabelle für die Namensauflösung – Sie müssen die Richtlinientabelle für die Namensauflösung an alle Computer verteilen, damit diese wissen, dass die DNS-Abfragen mittels DNSSEC validiert werden müssen. Am einfachsten erreichen Sie dies, indem Sie eine Gruppenrichtlinie verteilen:

A.

Öffnen Sie die Gruppenrichtlinienverwaltung und suchen Sie nach der

Default Domain Policy

.

B.

Öffnen Sie diese Richtlinie zur Bearbeitung und navigieren Sie zu

Computerkonfiguration/Richtlinien/Windows-Einstellungen/Namensauflösungsrichtlinie

, wie in

Abbildung 1–11

zu sehen.

C.

Geben Sie im Abschnitt

Regeln erstellen

in das Feld

Suffix

den Namen Ihrer Domäne ein (beispielsweise

adatum.com

). Hierdurch wird die Regel auf dieses Suffix des DNSNamespace angewendet.

D.

Schalten Sie das Kontrollkästchen

DNSSEC in dieser Regel aktivieren

und dann das Kontrollkästchen

Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten vom DNS-Server überprüft wurden

ein. Klicken Sie dann auf

Erstellen

.

Abb. 1–11Die Gruppenrichtlinie für die Namensauflösung erstellen

DNS-Socketpool konfigurieren

Sie können DNS-Socketpool verwenden, damit ein DNS-Server beim Bearbeiten von DNS-Abfragen einen zufälligen Quellport verwendet. Wenn Sie den DNS-Socketpool aktivieren, öffnet der DNS-Server beim Starten des Dienstes eine konfigurierbare Anzahl von Sockets; dies ist der DNS-Socketpool. Der DNS-Server vermeidet so die Verwendung von standardisierten Ports. Beim Bearbeiten einer DNS-Abfrage wählt der DNS-Server aus diesem Pool zufällig einen Quellport aus. Diese Methode wird Source Port Randomization genannt. Dies macht den DNS-Server sicherer, da ein böswilliger Angreifer sowohl den Quellport einer DNS-Abfrage als auch die zufällige Transaktions-ID richtig erraten muss, um einen böswilligen Angriff ausführen zu können.

Sie können das Befehlszeilentool DNSCMD.exe verwenden, um die Größe des DNS-Socketpools zu konfigurieren.

Führen Sie in einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus: dnscmd /Config /SocketPoolSize <Wert>. Starten Sie dann den DNS-Server neu. Sie können die Größe des Pools auf einen Wert zwischen 0 und 10.000 festlegen. Die Standardgröße ist 2.500.

DNS-Cachesperre konfigurieren

Wenn ein DNS-Client einen rekursiven DNS-Server abfragt, fügt dieser das Ergebnis in den Auflösungscache ein, damit er schneller auf andere DNS-Clients antworten kann, die die gleiche Information abrufen. Die Zeitdauer, die ein Datensatz im Cache verbleibt, wird durch den Time-to-Live-Wert (TTL) des Datensatzes festgelegt.

Während der Vorhaltezeit kann ein Datensatz überschrieben werden, falls für ihn aktuellere Daten vorliegen. Dies stellt jedoch ein potenzielles Sicherheitsrisiko dar. Ein Angreifer könnte in der Lage sein, die Informationen im Auflösungscache mit solchen zu überschreiben, die die Clients auf eine Website umleiten, die unsicheren oder bösartigen Code enthält.

Um dieses Problem in Windows Server 2016 zu entschärfen, können Sie die Cachesperre verwenden und festlegen, wann die Information im DNS-Auflösungscache überschrieben werden darf. Wenn Sie die Cachesperre aktivieren, erlaubt der DNS-Server keine Updates an zwischengespeicherten Datensätzen, falls deren Gültigkeitsdauer noch nicht abgelaufen ist.

Um die Cachesperre zu konfigurieren, führen Sie auf Ihrem DNS-Server den Windows PowerShell-Befehl Set-DnsServerCache -LockingPercent <Wert> aus. Für <Wert> geben Sie den gewünschten Prozentsatz des TTL an. Wenn Sie beispielsweise 75 verwenden, dann erlaubt der DNS-Server erst dann Aktualisierungen an dem zwischengespeicherten Datensatz, wenn mindestens 75 Prozent der Gültigkeitsdauer (Time-to-Live, TTL) vorbei sind.

Begrenzung der Antwortrate aktivieren

Ein weiteres Sicherheitsfeature, das Sie in Windows Server 2016 verwenden können, ist die Begrenzung der Antwortrate (Response Rate Limiting, RRL), mit der Sie Ihren DNS-Server vor Denial-of-Service-Angriffen schützen können. Eine Strategie beim Denial-of-Service-Angriff besteht darin, große Mengen von DNS-Datenverkehr an bestimmte DNS-Server zu senden und so die Zielserver zu überlasten.

Wenn ein DNS-Server, auf dem die Begrenzung der Antwortrate aktiviert ist, potenziell bösartige DNS-Anfragen erkennt, werden diese Anfragen ignoriert und nicht übertragen. Der DNS-Server kann diese potenziell bösartigen Anfragen erkennen, da zahlreiche, innerhalb von kurzer Zeit von derselben Quelle eintreffende Anfragen als verdächtig eingestuft werden.

Das Response Rate Limiting ist standardmäßig deaktiviert. Um dieses Feature zu aktivieren, verwenden Sie den Windows PowerShell-Befehl Set-DnsServerResponseRateLimiting. Hierdurch wird die Antwortrate begrenzt und es werden die Standardwerte verwendet. Sie können weitere Befehlsparameter angeben, um die Begrenzung der Antwortrate anzupassen.

DNS-basierte Authentifizierung von benannten Entitäten (DANE) konfigurieren

Windows Server 2016 stellt ein neues Feature mit dem Namen DNS-basierte Authentifizierung von benannten Entitäten (DNS-Based Authentication of Named Entities, DANE) zur Verfügung. Dieses Feature verwendet Transport Layer Security Authentication (TLSA) und kann dabei helfen, die Man-in-the-Middle-Angriffe auf Ihr Netzwerk zu reduzieren.

DANE informiert die DNS-Clients, die Ressourceneinträge bei Ihrer Domäne anfragen, darüber, von welcher Zertifizierungsstelle (Certification Authority, CA) die Zertifikate für Ihren Domänennamen stammen müssen. Nehmen Sie beispielsweise an, dass ein DNS-Client die IPv4-Adresse für den Ressourceneintrag https://www.adatum.com anfordert. Der DNS-Server stellt die angeforderte IPv4-Adresse sowie weitere Informationen zur Verfügung. Gleichzeitig liefert er auch Informationen darüber aus, dass das Zertifikat, das für die Authentifizierung des Webservers www.adatum.com verwendet wird, von einer bestimmten Zertifizierungsstelle ausgestellt wurde.

DNS verwalten

Es ist wichtig, dass Sie wissen, wie Sie Ihre DNS-Server verwalten. Sie können Tools wie Windows PowerShell oder die Konsole DNS-Manager verwenden, um die DNS-Server Ihrer Organisation interaktiv zu verwalten. In sehr großen Enterprise-Umgebungen kann es jedoch schwierig werden, die Verwaltung eines so wichtigen Dienstes unter Kontrolle zu halten. Unter diesen Bedingungen können Sie die Implementierung von DNS-Richtlinien in Erwägung ziehen, die DNSVerwaltung einem hierfür spezialisierten Team übertragen und die DNS-Ereignisprotokollierung als Indikator möglicher DNS-Probleme einsetzen.

DNS-Richtlinien implementieren

DNS-Richtlinien sind ein neues Feature in Windows Server 2016. Mit ihnen können Sie steuern, wie sich ein DNS-Server unter bestimmten Bedingungen verhalten soll. Sie haben beispielsweise bereits weiter vorne gesehen, wie Sie Rekursionsbereiche definieren können, um anhand bestimmter Faktoren die DNS-Rekursion zu steuern; dies ist ein praktisches Einsatzbeispiel für eine DNS-Richtlinie.

Je nachdem, welche Anforderungen sich in Ihrem Unternehmen ergeben, können Sie eine oder mehrere DNS-Richtlinien erstellen. Zu den häufigsten Gründen, die zur Implementierung von DNS-Richtlinien führen, gehören die folgenden:

Hochverfügbarkeit von Anwendungen

Der DNS-Server leitet Clients an den gesündesten Endpunkt einer Anwendung weiter. Hierfür können beispielsweise die Faktoren für die Hochverfügbarkeit in einem Failovercluster herangezogen werden.

Steuern des Datenverkehrs

Der DNS-Server leitet die Clients zum nächstgelegenen DNS-Server oder Rechenzentrum weiter.

Split-DNS

Der DNS-Server berücksichtigt bei der Antwort an die Clients, ob sich diese innerhalb oder außerhalb des Intranets Ihres Unternehmens befinden.

Filtern

Der DNS-Server blockiert DNS-Abfragen, falls diese von bösartigen Hosts gesendet wurden.

Forensik

Der DNS-Server leitet bösartige DNS-Clients zu einem nicht existierenden Host um und nicht zu dem Host, den die Clients zu erreichen versuchen.

Tageszeitabhängige Weiterleitung

Der DNS-Server leitet die Clients je nach Tageszeit an bestimmte Server oder Datacenter weiter.

Um DNS-Richtlinien zu implementieren, verwenden Sie Windows PowerShell-Befehle. Zuvor müssen Sie jedoch in der Lage sein, Gruppen von Datensätzen in einer DNS-Zone zu klassifizieren, DNS-Clients in einem bestimmten Netzwerk zu erkennen oder andere Merkmale zu verwenden, anhand derer Sie die DNS-Clients identifizieren können. Sie können die folgenden DNS-Objekte verwenden, um Ihre DNS-Clients zu charakterisieren:

Client-Subnetz

Das IPv4- oder IPv6-Subnetz, in dem sich die DNS-Clients befinden.

Rekursionsbereich

Die eindeutigen Instanzen einer Gruppe von Einstellungen, die die DNS-Server-Rekursion steuern.

Zonenbereiche

Enthält einen eigenen Satz von DNS-Ressourceneinträgen. Ein Eintrag kann in mehreren Bereichen vorhanden sein, und zwar in Abhängigkeit vom Bereich mit jeweils einer eigenen IP-Adresse. DNS-Zonen können mehrere Zonenbereiche enthalten.

Um DNS-Richtlinien zu implementieren, müssen Sie zuerst eines oder mehrere der oben beschriebenen Objekte erstellen, um Ihre DNS-Clients und Zonenbereiche zu klassifizieren.

1.

Um beispielsweise ein Subnetz für die DNS-Clients in New York zu erstellen, verwenden Sie den folgenden Befehl:

2.

Sie müssen mehrere Client-Subnetze erstellen und hierbei die IPv4- oder IPv6-Subnetzadresse verwenden.

3.

Anschließend erstellen Sie einen DNS-Zonenbereich für die DNS-Clients in New York und verwenden dazu den folgenden Befehl:

4.

Je nach Ihren Anforderungen kann es erforderlich sein, weitere Zonenbereiche zu erstellen.

5.

Um für die Clients im Zonenbereich New York City einen spezifischen IP-Adressdatensatz zu erstellen, führen Sie den folgenden Befehl aus:

6.

Abschließend erstellen Sie die Richtlinie, die den DNS-Server anweist, aufgrund der vorher definierten Faktoren zu antworten:

Wenn nun ein Client im New Yorker Subnetz bei einem DNS-Server die IPv4-Adresse für den Host www.adatum.com abfragt, liefert der DNS-Server die IP-Adresse 172.16.0.41 zurück. Falls Sie für andere Standorte andere Subnetze und Zonenbereiche erstellt haben, können Sie den DNS-Server anweisen, bei Clientabfragen von diesen anderen Standorten mit einer anderen IP-Adresse zu antworten.

Delegierte DNS-Verwaltung konfigurieren

Standardmäßig haben die folgenden Gruppen administrativen Zugang auf die DNS-Server in Ihrem Unternehmen:

Domänen-Admins

Haben uneingeschränkten Zugriff auf alle Aspekte des DNS-Servers in ihrer Domäne.

Organisations-Admins

Haben uneingeschränkten Zugriff auf alle Aspekte aller DNS-Server in allen Domänen in ihrer AD DS-Gesamtstruktur.

DnsAdmins

Können alle DNS-Daten, Einstellungen und Konfigurationen der DNS-Server in ihrer Domäne anzeigen lassen und bearbeiten.

In einem kleinen Netzwerk oder einem Netzwerk mittlerer Größe ist die Verwendung dieser Vorgaben akzeptabel. In großen Netzwerkumgebungen kann es jedoch nützlich sein, die Administration bestimmter Aspekte der DNS-Verwaltung unterschiedlichen Teams zu übertragen.

Falls Sie die DNS-Serververwaltung einem anderen Benutzer oder einer anderen Gruppe übertragen wollen, können Sie diesen Benutzer bzw. diese Gruppe der Gruppe DnsAdmins einer bestimmten Domäne in der Gesamtstruktur hinzufügen. Um die Mitgliedschaft dieser Gruppe zu bearbeiten, können Sie die Konsole Active Directory-Benutzer und -Computer oder das Windows PowerShell-Cmdlet Add-ADGroupMember verwenden.

Abb. 1–12DNS-Administration delegieren

Um die administrativen Berechtigungen des DNS-Servers zu bearbeiten, klicken Sie in der Konsole DNS-Manager den betreffenden DNS-Server oder die DNS-Zone mit der rechten Maustaste an und wählen Sie Eigenschaften. Im Dialogfeld Eigenschaften von Server beziehungsweise Eigenschaften von Zone können Sie auf der Registerkarte Sicherheit die Berechtigungen des Servers beziehungsweise der Zone ansehen und bearbeiten (Abb. 1–12).

DNS-Protokollierung konfigurieren

Das Aktivieren der Protokollierung kann im Hinblick auf eine proaktive Überwachung sehr nützlich sein. Dies gilt insbesondere dann, wenn Sie eine Verschlechterung der Performance wahrnehmen oder wenn sich der DNS-Dienst störend und unerwartet verhält. Standardmäßig fügt der DNS-Server die Ereignisse in das Protokoll DNS Server ein, das Sie mit der Ereignisanzeige ansehen können. Sie finden das Protokoll des DNS-Servers unterhalb des Knotens Anwendungs- und Dienstprotokolle (siehe Abb. 1–13).

Abb. 1–13Das Ereignisprotokoll des DNS-Servers untersuchen

Im Protokoll finden Sie allgemeine DNS-Ereignisse, wie das Starten und Beenden des Dienstes, Ereignisse bei der Zonensignierung, Konfigurationsänderungen, sowie allgemeine Warnungen und Fehler.

Sie können die Debugprotokollierung aktivieren, wenn Sie zusätzliche Details protokollieren lassen wollen. Sie sollten jedoch beim Aktivieren der Debugprotokollierung vorsichtig sein, da sie zu zusätzlicher Last auf dem DNS-Server führt, die wiederum die Performance bei der Verarbeitung der Abfragen verschlechtern kann. Die Debugprotokollierung liefert folgende zusätzliche Detailinformationen:

Paketrichtung (ausgehend oder eingehend)

Paketinhalt (Abfragen/Übertragungen, Updates oder Benachrichtigungen)

Transportprotokoll (UDP oder TCP)

Paketfilterung nach IP-Adressen

Name und Pfad der Protokolldatei, die sich standardmäßig im Ordner

%systemroot%\System32\DNS

befindet

Maximale Größe der Protokolldatei

Führen Sie in der Konsole DNS-Manager folgende Schritte durch, um die Debugprotokollierung zu aktivieren:

1.

Klicken Sie den gewünschten DNS-Server mit der rechten Maustaste an und wählen Sie

Eigenschaften

.

2.

Öffnen Sie im Dialogfeld

Server Eigenschaften

die Registerkarte

Debugprotokollierung

(siehe

Abb. 1–14

). Schalten Sie das Kontrollkästchen

Pakete zum Debuggen protokollieren

ein. Wählen Sie dann die Ereignisse aus, die der Server im Debugprotokoll aufzeichnen soll, und klicken Sie auf

OK

.

Abb. 1–14DNS-Debugprotokollierung konfigurieren

DNS-Leistungsoptimierung implementieren

Die DNS-Serverrolle kann wie andere Serverrollen und Dienste durch eine schlechte Leistung Ihres Servers beeinflusst werden. Eine schlechte Performance wird häufig durch unzureichende Serverressourcen verursacht: Arbeitsspeicher, CPU, geringer Datendurchsatz der Festplatten und Netzwerkbandbreite. Sie können allgemeine Werkzeuge, wie die Leistungsüberwachung, verwenden, um abzuschätzen, ob diese Ressourcen Ihres Servers ausreichend sind, und um festzustellen, welche Ressourcen den Leistungsengpass verursachen.

Falls eine oder mehrere dieser Ressourcen nicht ausreichen, entsteht ein Leistungsengpass. Die Lösung besteht darin, die Ressource zu identifizieren, die den Leistungsabfall verursacht, und dann diese Ressource zu optimieren. In den meisten Fällen wird die betreffende Ressource erweitert. Eine Alternative besteht darin, die Last auf zusätzliche DNS-Server zu verteilen.

Die beiden wichtigsten Ressourcen für die DNS-Serverrolle sind die CPU und der Arbeitsspeicher. Die Registerkarte DNS in der Konsole Server-Manager enthält einen Abschnitt Leistung, in dem Sie diese beiden entscheidenden Ressourcen überwachen können (siehe Abb. 1–15).

Abb. 1–15Die Leistung des DNS-Servers überwachen

Um die Überwachung dieser Ressourcen zu aktivieren, klicken Sie auf Aufgaben und dann auf Leistungswarnungen konfigurieren. Im Dialogfeld DNS-Server: Leistungswarnungen konfigurieren können Sie die Schwellenwerte für die Leistungswarnungen konfigurieren, und zwar sowohl für die CPU-Auslastung (Prozentwert) als auch für den Arbeitsspeicher (verfügbare MB), wie in Abbildung 1–16 gezeigt. Klicken Sie auf Speichern