01DNS-Server einrichten
Damit Windows Server als DNS-Server fungiert, müssen Sie - sofern noch nicht geschehen - zunächst die entsprechende Rolle über das Dashboard des Server-Managers hinzufügen. Ein Assistent hilft Ihnen bei den einzelnen Schritten, sodass Sie in den Dialogen nur die vorgeschlagenen Features zu bestätigen brauchen. Nach Abschluss der Installation taucht der DNS-Server in der Übersicht der Rollen und Servergruppen auf.
- Windows Server 2016
Damit Windows Server 2016 als DNS-Server arbeitet, müssen Sie über das Dashboard die entsprechende Rolle hinzufügen. - Windows Server 2016
Die Einrichtung geschieht assistentengestützt, sodass Sie in den Dialogen lediglich die Vorgaben zu bestätigen brauchen. - Windows Server 2016
Nachdem Sie die erforderlichen Features hinzugefügt haben, ist die Checkbox „DNS-Server“ aktiviert. - Windows Server 2016
In der nachfolgenden Übersicht zeigt Windows alle relevanten Informationen für die DNS-Rolle noch einmal an. - Windows Server 2016
Wenn Sie mit der Auswahl der Komponenten einverstanden sind, klicken Sie auf „Installieren“. - Windows Server 2016
Einige Zeit später meldet das Betriebssystem Vollzug, und Sie können den Dialog schließen. - Windows Server 2016
Danach gelangen Sie zur Übersicht zurück, wo der neu hinzugekommene DNS-Server aufgeführt ist. - Windows Server 2016
Um DNSSEC zu nutzen, rufen Sie nun die Eingabeaufforderung als Administrator auf. - Windows Server 2016
Sie sollten allerdings nicht das von Windows Server 2012 bekannte dnscmd-Kommando verwenden, das nur mit dem Parameter „RetrieveRootTrustAnchors“ auskommt. - Windows Server 2016
Nachdem Sie die Nachfrage mit „J“ bestätigt haben, tritt ein Fehler auf. Der Befehl wird – trotz gegenteiliger Aussage in der letzten Zeile – nicht korrekt ausgeführt. - Windows Server 2016
Erst wenn Sie den zusätzlichen Parameter „f“ angeben, der die Nachfrage unterdrückt, gelingt es, die Stammvertrauensanker herunterzuladen. - Windows Server 2016
Zum Schluss müssen Sie eine aktive Aktualisierung durchführen, damit der Server die Vertrauensanker auch nutzen kann. Dazu dient der Befehl „dnscmd /ActiveRefreshAllTrustPoints“.
02DNSSEC-Vertrauensanker konfigurieren - mit Hindernisssen
Anschließend lassen sich die DNSSEC-Vertrauensanker über die als Admin gestartete Eingabeaufforderung abrufen und konfigurieren. Wenn Sie mit Windows Server 2012 vertraut sind, liegt es nahe, den dort funktionierenden Befehl dnscmd.exe /RetrieveRootTrustAnchors auch für Windows Server 2016 anzuwenden. Aber nach Eingabe von J zur Bestätigung der Nachfrage, ob Sie wirklich sicher sind, die Vertrauensanker herunterzuladen, liefert Windows lediglich die Fehlermeldung Befehl abgebrochen. Kurioserweise wird in der nächsten Zeile die Meldung angezeigt Der Befehl wurde erfolgreich ausgeführt - was natürlich so nicht stimmt.
03Korrektes Befehlsformat DNSSEC-Vertrauensanker nutzen
Offenbar hat Microsoft bei Windows Server 2016 etwas am Befehlsformat geändert. Damit das Ganze klappt, geben Sie am Prompt der Eingabeaufforderung Folgendes ein:
dnscmd.exe localhost /RetrieveRootTrustAnchors /f
Entscheidend ist hier der Parameter /f, der die Sicherheitsabfrage für den Download des Vertrauensankers von data.iana.org deaktiviert. Möglicherweise behebt Microsoft den Bug bei einem der nächsten Server-Updates.
04Aktive Aktualisierung für den Vertrauensanker durchführen
Damit die abgerufenen Anker wirksam werden können, müssen Sie abschließend noch eine aktive Aktualisierung durchführen, ebenfalls auf der Kommandozeile:
dnscmd.exe /ActiveRefreshAllTrustPoints
Nun sollte einem Einsatz von DNSSEC nichts mehr im Wege stehen. (hal)