Mit Test-ADDSDomainInstallation testen Sie die Voraussetzungen für die Installation einer neuen Domäne in Active Directory, Test-ADDSForestInstallation stellt das Gleiche für eine neue Gesamtstruktur auf Basis von Windows Server 2012/2012 R2 auf den Prüfstand. Damit Sie die Tests ausführen können, müssen Sie an verschiedenen Stellen noch Kennwörter eingeben. Diese akzeptiert das entsprechende Cmdlet aber nur als sichere Eingabe. Ein Beispiel für den Befehl ist:
Test-ADDSDomainControllerInstallation -Domainname <DNS-Name der Domäne> -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring)
DNS in Active Directory integrieren und sichere Updates konfigurieren
Die erste Maßnahme, die Sie nach der Installation von Active Directory durchführen sollten, ist die Integration der DNS-Zonen in Active Directory. Windows Server 2012/2012 R2 führt diesen Vorgang automatisch durch, wenn der Assistent die Zone erstellt. Sie sollten die Einstellungen aber überprüfen.
Durch diese Integration werden die kompletten Daten der DNS-Zonen über die Active-Directory-Replikation verteilt. Haben Sie die Installation des DNS-Servers nicht manuell vorgenommen, sondern durch den Assistenten für Active Directory, sind die Zonen bereits automatisch in Active Directory integriert.
Um diese Konfiguration zu überprüfen, rufen Sie zunächst das DNS-Snap-In über den Server-Manager auf. Wenn Sie die Zone per Mausklick erweitern, sehen Sie die Erweiterungen, die Active Directory hinzugefügt hat. In den einzelnen Unterdomänen der Zone finden Sie die verschiedenen SRV-Records. Um die Zone in Active Directory zu integrieren, markieren Sie die gesamte DNS-Zone.
-
Klicken Sie mit der rechten Maustaste auf die Zone und wählen im Kontextmenü den Eintrag Eigenschaften.
-
Auf der Registerkarte Allgemein können Sie durch Klicken auf die Schaltfläche Ändern im Bereich Typ die Zone in Active Directory integrieren lassen.
-
Aktivieren Sie im Fenster Zonentyp ändern das Kontrollkästchen Zone in Active Directory speichern.
-
Haben Sie diese Einstellung vorgenommen, können Sie im Bereich Dynamische Updates die Option Nur sichere aktivieren.
Bei dieser Einstellung können sich nur Computer, die sich erfolgreich in Active Directory authentifizieren, dynamisch in DNS registrieren.
Haben Sie die Zone in Active Directory integriert, können Sie auch die Replikation der DNS-Daten anpassen: Klicken Sie dazu in den Eigenschaften einer Zone im Bereich Replikation auf Ändern. Hier können Sie konfigurieren, auf welche Server die DNS-Daten repliziert werden sollen. Standardmäßig werden die Daten einer DNS-Zone nur auf den Domänencontrollern der Windows-Domäne repliziert. Die Replikation kann jedoch problemlos auf weitere Server ausgedehnt werden. Es ist möglich, die Zone auf alle DNS-Server der Gesamtstruktur, auf alle DNS-Server der aktuellen Domäne oder auf alle Domänencontroller der aktuellen Domäne zu replizieren.
Besonderheiten bei Windows Server 2012/2012 R2 beachten
Windows Server 2012/2012 R2 hat die Eigenart, die Konfiguration der Netzwerkverbindungen automatisch abzuändern, sodass die Einstellungen für manche Administratoren verwirrend sein können. Falls Sie nach der Fertigstellung der Installation von Active Directory auf dem Domänencontroller in der Eingabeaufforderung nslookup eingeben, erhalten Sie unter Umständen eine etwas verwirrende Ausgabe. Der Server gibt als Adresse :1 zurück.
Die Ausgabe wird durch eine Konfiguration der Netzwerkverbindungen verursacht. Rufen Sie zunächst die Verwaltung Ihrer Netzwerkverbindungen auf. Der schnellste Weg ist, wenn Sie ncpa.cpl in der Startseite eingeben.
Rufen Sie zunächst die Eigenschaften des IPv6-Protokolls auf. Wie Sie sehen, hat Windows Server 2012 die Option Folgende DNS-Serveradressen verwenden aktiviert und den Eintrag ::1 hinterlegt. Dies entspricht bei IPv6 dem Eintrag 127.0.0.1 (localhost) bei IPv4.
Durch diesen Eintrag fragt der DNS-Server bei Reverse-Abfragen per IPv6 den lokalen DNS-Server. Legen Sie entweder eine IPv6-Reverse-Lookupzone an und stellen Sie sicher, dass ein Zeiger zur IPv6-Adresse des Servers eingetragen wird.
Aktivieren Sie am besten die Option DNS-Serveradresse automatisch beziehen. Durch diese Konfiguration vermeiden Sie die irreführende Meldung in nslookup.
Rufen Sie als Nächstes die Eigenschaften für das IPv4-Protokoll auf. Auch hier hat der Assistent als bevorzugten DNS-Server die Adresse des lokalen Hosts hinterlegt (127.0.0.1).
In diesem Fall funktionieren zwar Abfragen per DNS, aber diese Konfiguration ist nicht sauber und mündet in eine fehlerhafte Ausgabe bei nslookup. Tragen Sie auch hier die richtige IPv4-Adresse des Servers ein. Anschließend sollte die Eingabe von nslookup in der Eingabeaufforderung keine Fehler mehr ausgeben.
Korrekte Namensauflösung in IPv4 und IPv6 testen
Treten in einem Microsoft-Netzwerk Fehler auf oder wollen Sie den Internetzugang testen, verwenden Sie das Befehlszeilen-Tool nslookup. Wenn ein Servername mit nslookup nicht aufgelöst werden kann, sollten Sie überprüfen, wo das Problem liegt:
-
Ist in den IP-Einstellungen des Computers der richtige DNS-Server als bevorzugt eingetragen?
-
Optional beim Einsatz in Active Directory: Verwaltet der bevorzugte DNS-Server die Zone, in der Sie eine Namensauflösung durchführen wollen?
-
Optional beim Einsatz in Active Directory: Wenn der Server diese Zone nicht verwaltet, ist dann auf der Registerkarte Weiterleitungen in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
-
Optional beim Einsatz in Active Directory: Wenn eine Weiterleitung eingetragen ist, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
-
Optional beim Einsatz in Active Directory: Wenn dieser Server nicht für die Zone verantwortlich ist, leitet er dann wiederum die Anfrage weiter?
An irgendeiner Stelle der Weiterleitungskette muss ein Server stehen, der die Anfrage schließlich auflösen kann, sonst kann der Client keine Verbindung aufbauen, und die Abfrage des Namens wird nicht erfolgreich sein.
Sobald Sie nslookup aufgerufen haben, können Sie beliebig Servernamen auflösen. Wenn Sie keinen vollwertigen DNS-Namen (Fully Qualified Domain Name, FQDN) eingeben, sondern nur den Computernamen, ergänzt der lokale Rechner automatisch den Namen durch das primäre DNS-Suffix des Computers beziehungsweise durch die in den IP-Einstellungen konfigurierten DNS-Suffixe.
Damit nslookup auch den korrekten Namen des DNS-Servers in Active Directory anzeigt, müssen Sie sicherstellen, dass der DNS-Server in der Forward-Lookupzone der Domäne registriert ist. Außerdem ist manuell eine Reverse-Lookupzone zu erstellen, in der die IP-Adressen der Domäne registriert sind.
Erweiterte DNS-Einstellungen beachten
Über die Schaltfläche Erweitert in den Eigenschaften des TCP/IP v4-Protokolls und auch in IPv6 erreichen Sie weitere Einstellungen, um die Namensauflösung per DNS oder WINS im Netzwerk optimal einzustellen. Vor allem wenn Sie eine Active-Directory-Gesamtstruktur mit einer verschachtelten Domänenstruktur betreiben, sind Konfigurationsmaßnahmen notwendig.
Auf der Registerkarte WINS können Sie einen WINS-Server eintragen, sofern Sie einen solchen im Netzwerk betreiben. Zu manchen Active-Directory-Domänen gehört ein WINS-Server. WINS steht für Windows Internet Name Service und ist der Vorgänger der dynamischen DNS-Aktualisierung. Während DNS für die Namensauflösung mit voll qualifizierten Domänennamen zuständig ist, werden mit WINS NetBIOS-Namen aufgelöst.
Damit sich die Server beim WINS registrieren und Daten aus WINS abfragen können, müssen Sie in den IP-Einstellungen die WINS-Server eintragen. Auf die Arbeitsstationen können Sie diese Einstellungen auch mithilfe eines DHCP-Servers verteilen.
Auf der Registerkarte DNS werden schließlich die Einstellungen vorgenommen, die erforderlich sind, um Windows Server 2012 besser in eine Windows-Domäne einzubinden. Für eine generelle Aufnahme von Windows Server 2012 in eine Domäne sind hier keine Änderungen vorzunehmen. Zunächst sind standardmäßig immer nur die folgenden Optionen aktiviert:
• Primäre und verbindungsspezifische DNS-Suffixe anhängen
• Übergeordnete Suffixe des primären DNS-Suffixes anhängen
• Adressen dieser Verbindung in DNS registrieren
Die einzelnen Optionen spielen bei der Namensauflösung in einer DNS-Infrastruktur eine erhebliche Rolle:
Primäre und verbindungsspezifische DNS-Suffixe anhängen - Durch die Aktivierung dieser Option wird festgelegt, dass der Rechner versucht, bei der Auflösung von Rechnernamen immer automatisch das konfigurierte primäre DNS-Suffix des eigenen Computernamens anzuhängen. Wollen Sie zum Beispiel einen Rechnernamen mit der Bezeichnung dc01 auflösen, versucht der Rechner eine Namensauflösung nach dc01.contoso.int, wenn das primäre DNS-Suffix des Computers contoso.int ist.
Übergeordnete Suffixe des primären DNS-Suffixes anhängen - Diese Option bedeutet, dass auch die Namen von übergeordneten Domänen bei der Namensauflösung verwendet werden. Wenn Sie zum Beispiel in einer untergeordneten Domäne mit der Bezeichnung muenchen.de.contoso.int einen Servernamen dc05 auflösen wollen, versucht der Rechner zunächst die Auflösung über dc05.muenchen.de.contoso.int, falls dies das primäre DNS-Suffix des Computers ist. Im Anschluss wird versucht, den Namen über dc05.de.contoso.int und dann über dc05.contoso.int aufzulösen, da diese Domänen der Domäne muenchen.de.contoso.int übergeordnet sind.
DNS-Suffix für diese Verbindung - Zusätzlich haben Sie die Möglichkeit, in diesem Bereich ein weiteres beliebiges DNS-Suffix einzutragen. Wenn der Rechner den eingegebenen Namen bei seinem konfigurierten DNS-Server nicht über sein eigenes primäres DNS-Suffix finden kann, versucht er es mit dem DNS-Suffix in diesem Feld. Wollen Sie zum Beispiel den Servernamen dc06 auflösen, versucht der Server zunächst die Auflösung in dc06.contoso.int, sofern das sein primäres DNS-Suffix ist. Wenn Sie im Feld DNS-Suffix für diese Verbindung noch ein Suffix in der Form muenchen.de.microsoft.int eintragen, versucht der Server, auch den Namen nach dc06.muenchen.de.microsoft.int aufzulösen.
Adressen dieser Verbindung in DNS registrieren - Auch diese Option ist bereits standardmäßig aktiviert. Ein DNS-Server unter Windows Server 2003/2008/2008 R2/2012/2012 R2 hat die Möglichkeit, Einträge dynamisch zu registrieren. Durch dieses dynamische DNS müssen Host-Einträge nicht mehr manuell durchgeführt werden. Sobald sich ein Rechner im Netzwerk anmeldet, versucht er, seinen FQDN beim konfigurierten DNS-Server automatisch einzutragen, sofern diese Option nicht deaktiviert wurde. Dieser Punkt ist für die interne Namensauflösung in einem Active-Directory-Netzwerk von sehr großer Bedeutung.
Weitere Optionen der DNS-Einstellungen
Außer den standardmäßig aktivierten Optionen gibt es noch weitere Möglichkeiten, die Sie in diesem Fenster konfigurieren können:
Diese DNS-Suffixe anhängen - Wenn Sie diese Option aktivieren, können Sie DNS-Suffixe konfigurieren, nach denen unvollständige Rechnernamen aufgelöst werden. Aktivieren Sie diese Option, dann werden weder das primäre DNS-Suffix des Servers noch die DNS-Suffixe dieser Verbindung verwendet. Vielmehr werden die DNS-Suffixe in der Reihenfolge angehängt, die im Feld Diese DNS-Suffixe anhängen (in Reihenfolge) konfiguriert sind.
Achten Sie bei der Konfiguration darauf, dass möglichst das DNS-Suffix der Windows-Domäne, in der dieser Server Mitglied ist, als Erstes in dieser Liste eingetragen ist. Diese Option wird häufig verwendet, um die Namensauflösung in Gesamtstrukturen mit mehreren Strukturen zu lösen. Dazu werden in der Reihenfolge alle Strukturen der Gesamtstruktur eingetragen, um eine Namensauflösung innerhalb des Active Directory zu gewährleisten. Vor allem beim Einsatz von Exchange-Servern ist diese Option sehr nützlich, wenn diese über mehrere Strukturen und Domänen verteilt sind. Standardmäßig ist diese Option nicht aktiviert.
DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden - Wenn Sie diese Option aktivieren, wird der Servername im DNS mit seinem Computernamen und seinem primären DNS-Suffix registriert, also seinem FQDN (Fully Qualified Domain Name). Zusätzlich wird der Name mit dem DNS-Suffix auch beim DNS-Server registriert, das im Bereich DNS-Suffix für diese Verbindung konfiguriert ist. Diese Option ist ebenfalls nicht standardmäßig aktiviert.
Servernamen schnell auflösen
Wenn Sie schnell und effizient Servernamen in verschiedenen DNS-Zonen auflösen wollen, aktivieren Sie auf dem Server in den IP-Einstellungen über die Schaltfläche Erweitert auf der Registerkarte DNS die Option Diese DNS-Suffixe anhängen (in Reihenfolge). Tragen Sie als Nächstes zuerst den Namensraum der eigenen Struktur ein, und hängen Sie danach die Namensräume der anderen Strukturen an.
Diese Konfiguration dient der schnellen Auflösung von Servern in den anderen Strukturen. Wenn Sie zum Beispiel den Domänencontroller dc1 in der Struktur contoso.int auflösen wollen, müssen Sie immer dc1.contoso.int eingeben, wenn Ihr Server nicht Mitglied dieser Struktur ist. Falls Sie diese Maßnahme durchgeführt haben, können Sie durch Eingabe des Befehls nslookup den Effekt überprüfen. Sie können an dieser Stelle lediglich dc1 eingeben. Der Server fragt seinen bevorzugten DNS-Server, ob ein Server mit dem Namen dc1.contoso.int gefunden wird, wenn es sich hier um Ihr primäres DNS-Suffix handelt. Da dieser Server unter Umständen in dieser Domäne nicht vorhanden ist, wird der nächste Namensraum abgefragt.
Viele Administratoren legen auf ihrem DNS-Server einfach einen neuen statischen Host-Eintrag an, der auf die IP-Adresse des Servers des anderen Namensraumes zeigt. Diese Vorgehensweise ist aber nicht korrekt, auch wenn sie grundsätzlich funktioniert. Es wird in diesem Fall nämlich nicht der richtige DNS-Name des entsprechenden Servers zurückgegeben, sondern der Servername mit der Zone des DNS-Servers, in die der Server als Host eingetragen wurde. Vor allem in größeren Active Directorys sollten Administratoren darauf achten, die Konfigurationen so vorzunehmen, dass sie auch formal korrekt sind. Das hilft oft, unbedacht auftretende Probleme zu vermeiden.
Wenn Sie zum Beispiel in der Zone microsoft.com einen neuen Eintrag dc1 für den Domänencontroller dc1.contoso.com erstellen, der auf die richtige IP-Adresse des Servers verweist, wird der Name als dc1.microsoft.com aufgelöst, obwohl der eigentliche Name des Servers dc1.contoso.com lautet. Dadurch funktioniert zwar die Auflösung, aber es wird ein falscher Name zurückgegeben.
Eine neue untergeordnete Domäne erstellen
Wenn Sie eine Active-Directory-Gesamtstruktur durch die Erstellung der ersten Domäne, also das Heraufstufen des ersten Domänencontrollers, definieren, ist diese die Root-Domäne der Gesamtstruktur. Viele Unternehmen binden an sie weitere Domänen, die als untergeordnete Domänen bezeichnet werden.
Ein Beispiel hierfür ist die Domäne contoso.int als erste Domäne in einer Active-Directory-Gesamtstruktur. Sie können an sie beliebig weitere untergeordnete Domänen anbinden, zum Beispiel de.contoso.int. Die beiden Domänen agieren vollkommen unabhängig voneinander, teilen sich aber den gleichen Namensraum.
Bei der Erstellung von untergeordneten Domänen werden durch die enge Verzahnung von Active Directory und DNS auch die Anforderungen an die DNS-Infrastruktur komplizierter. Bevor Sie eine neue untergeordnete Domäne erstellen können, müssen Sie zunächst die passende DNS-Infrastruktur dafür erstellen. Wenn Sie untergeordnete Domänen anlegen, haben Sie für die Namensauflösung grundsätzlich zwei Möglichkeiten:
-
Die DNS-Server der Root-Domäne verwalten auch die DNS-Domänen der untergeordneten Domänen.
-
Die untergeordneten Domänen verwalten jeweils ihre eigene DNS-Domäne.
Wenn die DNS-Server der Root-Domäne auch für die Namensauflösung in der untergeordneten Domäne zuständig sind, sollten Sie die Replikationseinstellungen für die Zone so ändern, dass sie auf alle DNS-Server und Domänencontroller repliziert wird. Diese Domäne befindet sich auf dem DNS-Server in der gleichen Zone wie die DNS-Domäne der Root-Domäne.
Um eine neue Domäne unterhalb einer DNS-Domäne zu erstellen, müssen Sie zunächst das Snap-In zur DNS-Verwaltung starten. Klicken Sie dann mit der rechten Maustaste auf die Zone, unter der Sie die neue DNS-Domäne erstellen wollen. Wählen Sie im Kontextmenü den Eintrag Neue Domäne aus. Im nächsten Fenster müssen Sie die Bezeichnung der neuen Domäne eingeben.
Da die neue Domäne unterhalb einer bereits existierenden DNS-Domäne angelegt wird, müssen Sie nur die Bezeichnung der Domäne ohne die Endung der Root-Domäne angeben. In diesem Beispiel lautet die Bezeichnung de unterhalb der Zone contoso.int. Nachdem Sie die Erstellung bestätigt haben, wird die neue Domäne unterhalb der Zone angezeigt. Sie müssen keinerlei zusätzliche Angaben machen, da die Einstellungen für die Replikation der dynamischen Updates und Berechtigungen durch die übergeordnete Zone an die untergeordnete Domäne weitergegeben werden.
Damit Sie auf dem Domänencontroller der untergeordneten Domäne Active Directory installieren können, müssen Sie in den IP-Einstellungen des neuen Domänencontrollers einen DNS-Server der übergeordneten Domäne als bevorzugt eintragen. Zum Erstellen einer untergeordneten Domäne ist eine Kontaktaufnahme zu der übergeordneten Domäne notwendig.
Dieser Kontakt wird über DNS hergestellt und kann nur zustande kommen, wenn der neue Domänencontroller eine Verbindung aufbauen kann und die Namen der Domänencontroller der Root-Domäne kennt. Nach der Heraufstufung des neuen Domänencontrollers der untergeordneten Domäne sollten Sie auf diesem zunächst die DNS-Erweiterung installieren, damit er die DNS-Daten seiner Zone empfangen kann.
Zusätzlich müssen Sie dann in den Eigenschaften der DNS-Zone die Replikation so anpassen, dass die DNS-Daten nicht nur auf die DNS-Server der gleichen Domäne repliziert werden, sondern auf alle DNS-Server der Gesamtstruktur. Da die DNS-Server der neuen untergeordneten Domäne nicht zur gleichen Domäne gehören, ist diese Maßnahme notwendig.
Nachdem die DNS-Daten auf den untergeordneten Domänencontrollern angezeigt werden, können Sie in den IP-Einstellungen der Server die DNS-Server der untergeordneten Domäne als bevorzugte und die der übergeordneten Domäne als alternative DNS-Server konfigurieren. Dadurch ist sichergestellt, dass die Namensauflösung funktioniert, selbst wenn unter Umständen die DNS-Server der untergeordneten Domäne nicht zur Verfügung stehen.
Da diese Aufgabe erst durchgeführt werden kann, wenn Active Directory auf den neuen Domänencontrollern installiert wurde, müssen Sie zunächst die Heraufstufung der untergeordneten Domänencontroller vornehmen.
DNS-Zonen delegieren
Die zweite Variante der Namensauflösung einer neuen untergeordneten Domäne ist die sogenannte Delegierung. Installieren Sie zunächst auf dem neuen Domänencontroller die DNS-Erweiterung. Anschließend erstellen Sie auf dem neuen DNS-Server eine neue Zone.
Die neue Zone erhält die gleiche Bezeichnung wie die neue untergeordnete Domäne. In diesem Beispiel wird der Domänencontroller dc-berlin der erste Domänencontroller der untergeordneten Domäne de.contoso.int unterhalb der Domäne contoso.int. Gehen Sie dazu folgendermaßen vor:
Legen Sie zunächst den Computernamen fest. Auch das primäre DNS-Suffix des neuen Domänencontrollers kann an dieser Stelle bereits eingegeben werden. Der Computername ist in diesem Beispiel dc-berlin, das primäre DNS-Suffix de.contoso.int.
Konfigurieren Sie in den IP-Einstellungen des Domänencontrollers seine eigene IP-Adresse als bevorzugten DNS-Server. Erstellen Sie in der DNS-Verwaltung eine neue Zone mit der Bezeichnung der neuen untergeordneten Domäne, in diesem Beispiel de.contoso.int. An dieser Stelle spielt die bereits vorhandene DNS-Domäne der Root-Domäne noch keine Rolle. Achten Sie auf die dynamischen Updates der Zone.
Im nächsten Schritt müssen Sie dafür sorgen, dass sich beide DNS-Server gegenseitig auflösen können. Es muss in der untergeordneten Domäne möglich sein, Servernamen der übergeordneten Domäne aufzulösen, und in der übergeordneten Domäne muss es möglich sein, Servernamen der untergeordneten Domäne per DNS aufzulösen. Dazu wird die DNS-Zone der Root-Domäne so konfiguriert, dass alle Abfragen an die untergeordnete Domäne an deren Domänencontroller weitergeleitet werden.
Die DNS-Server der übergeordneten Domäne kümmern sich fortan nicht mehr um die Verwaltung der untergeordneten Domäne, sondern haben diese Aufgabe an die Domänencontroller der untergeordneten Domäne delegiert. Für diesen Vorgang müssen Sie die Delegierung zunächst auf den DNS-Servern der übergeordneten Domäne einrichten. Klicken Sie dazu mit der rechten Maustaste auf die DNS-Zone der übergeordneten Domäne, und wählen Sie im Kontextmenü den Eintrag Neue Delegierung aus.
Es erscheint das Startfenster des Delegierungsassistenten. Im nächsten Fenster tragen Sie den Namen der neuen delegierten Domäne ein. Auch hier müssen Sie nur den Namen der untergeordneten Domäne eingeben, in diesem Beispiel de. Der Assistent vervollständigt automatisch den Namen zum FQDN. Dieser Vorgang ist vollkommen unabhängig von der Erstellung der neuen Zone in der untergeordneten Domäne.
Die Namensauflösung von der übergeordneten Domäne zu Servern der untergeordneten Domäne funktioniert allerdings erst dann, wenn die Zone in der untergeordneten Domäne erstellt wurde und die Delegierung in der übergeordneten Domäne eingerichtet ist.
DNS-Server als Namensserver für die Delegierung verwenden
Wenn ein Client oder ein Server einen DNS-Server der übergeordneten Domäne als bevorzugten DNS-Server eingetragen hat und einen Namen der untergeordneten Domäne auflösen will (zum Beispiel ein zweiter Domänencontroller für die Active- Directory-Replikation), kann nach der erfolgreichen Einrichtung der Delegierung der übergeordnete DNS-Server die Anfrage an den untergeordneten DNS-Server weiterleiten, der die Antwort an den übergeordneten DNS-Server weitergibt. Dieser DNS-Server gibt die entsprechende Antwort an den Client zurück.
Im Assistenten müssen Sie den Namensserver angeben, der für die Auflösung der delegierten Domäne zuständig ist. Da an dieser Stelle die Namensauflösung noch nicht funktioniert, weil Sie diese ja gerade erst konfigurieren, müssen Sie die einzelnen Eingaben manuell durchführen. Dazu klicken Sie zunächst auf die Schaltfläche Hinzufügen.
Tragen Sie dann im Bereich Vollqualifizierter Serverdomänenname den Namen des Servers ein. Die Auflösung oder das Durchsuchen der Zone funktioniert an dieser Stelle noch nicht. Geben Sie danach im Bereich IP-Adresse die IP-Adresse des oben eingetragenen DNS-Servers der untergeordneten Domäne ein und klicken auf OK. Danach wird dieser DNS-Server als Namensserver für die Delegierung verwendet.
Überprüfen Sie den FQDN des DNS-Servers der untergeordneten Domäne, in diesem Beispiel also dc-berlin.de.contoso.com. Die IP-Adresse des Servers muss fehlerfrei zurückgegeben werden. Das funktioniert aber erst dann, wenn Sie auf dem untergeordneten Domänencontroller DNS für die untergeordnete Domäne konfiguriert haben und sich der DNS-Server eingetragen hat.
An dieser Stelle ist die Namensauflösung von der übergeordneten zur untergeordneten Domäne hergestellt. Sie müssen noch die Namensauflösung von der untergeordneten zur übergeordneten Domäne herstellen. Das geschieht am besten durch eine Weiterleitung. (mje/cvi)