DNS - von Windows Server 2003 bis Windows Server 2012 R2

Windows Server 2008 R2, 2012 R2 und der kommende Windows Server vNext

DNS-Clients, die unter Windows Vista/7 oder Windows Server 2008 R2 arbeiten, können Namen in einem lokalen Netzwerksegment über LLMNR (Link-Local Multicast Name Resolution) auflösen, wenn kein DNS-Server verfügbar sein sollte. Diese Technik hilft insbesondere Domänenmitglieds-Computern bei der Suche nach einem Domänencontroller, auch wenn die DNS-Namensauflösung nicht verwendbar ist. Vor Windows 7/2008R2 nutzten DNS-Clients stets den Domänencontroller, mit dem sie zunächst in Kontakt treten konnten. Die nun eingeführte DNS-Assoziation hilft DNS Clients dabei, auf einen schneller reagierenden, möglicherweise näherliegenden Domänencontroller zu erreichen.

Die größte Änderung mit Windows Server 2008 R2 und dem dazugehörigen Windows-7-Client-Betriebssystem ist jedoch die Unterstützung für DNSSEC (DNS Security Extensions). DNNSSEC basiert auf diversen RFCs, die DNS dahingehend erweitern, dass die Herkunftsautorität und Datenintegrität gewährleistet und ein authentifiziertes Dementieren der Existenz möglich sind. Bis jedoch DNSSEC in der Praxis umfassend eingesetzt wird, dürften noch einige Jahre vergehen, da in gemischten Umgebungen alle beteiligten Server, die für eine DNSSEC-signierte Zone autorisierend sind, DNSSEC-fähig sein müssen. Konzeptionell ist jedoch auch eine Konfiguration möglich, bei der DNSSEC-fähige Serverabfragen rekursiv an einen nicht DNSSEC-fähigen DNS-Server senden. Eine Vertraulichkeit der Kommunikation, sprich eine Verschlüsselung der DNS-Anfragen bei DNSSEC, findet jedoch nicht statt. Eine "Schritt-für-Schritt-Anleitung" findet der interessierte Windows-Administrator im Microsoft-TechNet "Vorführen von DNSSEC in einem Testlabor".

Mit der Einführung von Windows Server 2012 hat Microsoft einen Installationsassistenten vorgestellt, der die Implementierung von DNSSEC vereinfacht. Zu den kleinen Veränderungen in Windows Server 2012 gehören eine bessere Schlüsselverwaltung und Online-Signierung bei den DNS-Sicherheitserweiterungen (DNSSEC) sowie neu unterstützte DNSSEC-Standards (NSEC3 und RSA/SHA-2) mit besserer Integration in Active Directory.

Beim LLMNR gab es gleich wieder eine Anpassung. Windows-8/2012-DNS-Clients nutzen keine mobilen Breitband- oder VPN-Verbindungen für das Auffinden von DNS-Servern und Domänencontrollern. Das Aussenden von LLMNR- und NetBIOS-Anfragen findet seit dieser Windows-Version parallel statt, nicht mehr hintereinander, was die Antwortzeiten verkürzt. Es versteht sich beinahe von selbst, dass die Anzahl von PowerShell Commandlets für DNS mit jeder neuen Version ansteigt. (Eine Liste aller Commandlets findet sich auf der TechNet-Seite von Microsoft unter dem Namen "Domain Name System (DNS) Server Cmdlets in Windows PowerShell".)

Diese Anzahl stieg auch bei Windows Server 2012 R2 weiter an, neben einigen Detailverbesserungen beim DNSSEC-Support und bei den Zone-Level-Statistiken. Komplett neu ist indes die Unterstützung für ein DNS-Logging- und -Diagnostik-Tool, das Administratoren unter dem Update 2919355 für Windows 8.1/2012R2 herunterladen können.

Diese Auswertmöglichkeiten sind im künftigen Microsoft Server vNext bereits enthalten. Eine detaillierte Beschreibung der Logging- und Analysefunktionen findet der interessierte Administrator im TechNet von Microsoft im Artikel "DNS Logging and Diagnostics" in englischer Sprache.

DNS - und es geht weiter

Es ist richtig - auf den ersten Blick hat sich beim DNS nicht wirklich etwas getan, was ein Vergleich der Kontextmenüs der verschiedenen Windows-Server-Editionen zeigt. Unter der Haube haben die Entwickler von Microsoft einige Neuerungen und Verbesserungen vorgenommen. Wie wichtig die Sicherheitsaspekte bei DNS sind, zeigen die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) in ihrem IT-Grundschutzkatalog in Abschnitt 5.18. (mje)