Die Verwendung eines eigenen DNS-Servers beim Einsatz von Active Directory ist keine Option: Ohne DNS-Server kann das Active Directory nicht funktionieren. Bei Netzwerken und auch Windows-2003-Servern ohne Active Directory ist es problemlos möglich, einen fremden DNS-Server zu verwenden, meist ist es der Server eines ISPs.
Das ändert sich beim Active-Directory-Einsatz, hier ist ein eigener DNS-Server zwingende Voraussetzung. Dieser kommt bei der Suche nach Domänen-Controllern zum Einsatz - und die eigenen Domänen-Controller kann der Administrator schlecht beim DNS-Server seines ISPs eintragen. Stattdessen müssen diese, zusammen mit verschiedenen _SRV Records, im eigenen DNS-Server vorhanden sein.
Für eine höhere Effizienz hat sich Microsoft für die Integration ins Active Directory entschieden. Es macht einfach Sinn, dass Änderungen im DNS-Server mit dem gleichen Mechanismus wie Änderungen im Directory repliziert werden, anstatt dafür ein separates System aufzusetzen.
Der erste Domain Controller
Die Integration von Active Directory und DNS beginnt eigentlich schon mit der Installation des ersten Active Directory Domain Controllers. Ein Windows-2003-Server beginnt seinen Modus immer als Member-Server und eben nicht als Domain Controller. Um dann Active Directory zu installieren, verwendet der Administrator das Programm DCPromo.
DCPromo stuft den Server auf die Rolle eines Domänen-Controllers für eine gegebene Domäne hoch. Dabei erhält der neue Server den Namen einer DNS-Domäne. Diese Domäne und die Active-Directory-Domäne können danach als eine Einheit begriffen werden. Dabei erleichtert es die Sache, wenn man vom DNS-Teil als „DNS-Zonen“ und beim AD-Teil von „Active-Directory-Domänen“ spricht, statt für beide Komponenten den Begriff „Domäne“ zu verwenden.
Tückisch: Der erste Server
Handelt es sich beim gerade zu installierenden Server um den ersten Windows-2003-Server, findet DCPromo noch keinen autorisierenden DNS-Server im Netzwerk. Daher fordert DCPromo den Administrator auf, einen DNS-Server zu installieren. Am einfachsten ist es, zunächst auf weitere Konfigurationsschritte zu verzichten, die Arbeit erledigt der entsprechende Wizard. Dieser trägt im Wesentlichen eine Hand voll Records in der Forward-Lookup-Zone ein.
Im Zuge der Installation des DNS-Servers fragt Setup, wie die Zonendaten zu speichern sind. Wählen Sie hier die Option zum Speichern von in Active Directory integrierten Zonen in der AD-Datenbank.
Die DNS-Client-Installation
Für ein funktionierendes DNS-System ist die DNS-Client-Konfiguration des Servers eine entscheidende Sache. Bei einer fehlerhaften Konfiguration des DNS-Clients auf dem Server können alle möglichen „interessanten“ Fehler auftreten. Angefangen vom fehlenden Internet-Zugang über nicht auffindbare Rechner bis hin zu fehlschlagenden Replikationen – alle nur denkbaren Ärgernisse können eintreten.
Die wichtigste Regel bei der Konfiguration des DNS-Client auf dem Server ist die, dass der Client auf jeden Fall auf sich selbst zeigen muss. Mit anderen Worten: Als IP-Adresse des DNS-Servers muss der Administrator bei der Konfiguration des Clients die IP-Adresse des lokalen Servers angeben, nicht etwa die IP-Adresse des DNS-Servers eines ISPs.
Sollte der DNS-Server des ISPs eingetragen sein, kann der Netlogon-Dienst des Domain Controllers die passenden Records für den Active-Directory-Dienst nicht registrieren. Diese Records sind aber notwendig, damit die anderen Domain Controller und Rechner im Netz die Active-Directory-bezogenen Informationen erfragen können. Lange Rede, kurzer Sinn: Der Domain Controller muss die auf ihn selbst bezogenen Records im eigenen DNS-Server registrieren.
Externe DNS-Anfragen auflösen
Bei der ganzen Arbeit stellt sich die Frage: Wie löst das System externe DNS-Anfragen auf? Die Antwort liegt in DNS-Weiterleitungen (DNS-Forwarders). Diese DNS-Weiterleitungen kann der Administrator mit der MMC des DNS-Diensts konfigurieren.
In der Managementkonsole öffnet man dazu die Eigenschaften des DNS-Servers und wechselt dort auf den Reiter „Weiterleitungen“. Ähnlich wie bei der DNS-Client-Konfiguration kann man hier eine Liste von DNS-Servern eintragen. Ferner lässt sich hier festlegen, für welche DNS-Domänen die Weiterleitung verwendet werden soll, der Standardwert ist: „Alle anderen DNS-Domänen“. Mit dieser Konfiguration fühlt sich der DNS-Server dann ausschließlich für die eigene Domäne verantwortlich und leitet alle Anfragen, die sich auf andere Domänen beziehen, an die DNS-Server des ISP weiter.
Einblick in den Cache
Die Ergebnisse der Anfragen speichert der Cache, ohne weiteres Zutun in der DNS-Konsole ist das aber nicht ersichtlich. Um einen Einblick in den DNS-Cache zu erhalten, benötigt man die Option „Erweiterte Ansicht“. Diese finden Sie im Menüpunkt „Ansicht“ im Objektmenü des DNS-Servers.
Ist die Option eingeschaltet, erweitert sich der angezeigte Baum in der DNS-Konsole. Ganz unten findet sich dann ein Ast mit der Bezeichnung „Zwischengespeicherte Lookupvorgänge“. Unterhalb dieses Asts befindet sich der komplette, aktuelle DNS-Cache.
Wichtig: Root-Zone löschen
Es gibt noch ein weiteres Detail, das es zu beachten gilt: Normalerweise kümmert sich Setup automatisch darum, aber in einigen Fällen ist es notwendig, die Root-Zone ( “.“ ) mit Hilfe der Managmentkonsole aus dem Ordner für „Forward-Lookupzonen“ zu entfernen.
Der Domain Controller versucht sich beim Start dynamisch im DNS-Server als solcher einzutragen. Gelingt das nicht, klappt das ganze Active Directory nicht – und Sie finden diverse Fehlermeldungen des Net Logon Service in der Ereignisanzeige. Die Event-IDs 5774, 5775 und 5781 deuten auf diesen Fehler hin. Wenn Sie zum Beispiel die Client-Konfiguration erst nach der Installation des DNS-Servers verändert haben, dann wird das genau diese Auswirkung haben: In diesem Fall reicht meist ein Neustart des Servers, um das Problem zu lösen.
Fazit
Active Directory ist ein komplexes Stück Software und der zwingend vorgeschriebene DNS-Server macht es nicht einfacher. Je mehr Komponenten zusammenspielen müssen, desto höher ist die Wahrscheinlichkeit, dass etwas ausfällt. Der DNS-Dienst ist da noch harmlos, richtet der Assistent ihn doch relativ problemlos ein.
Passend zu Active Directory haben wir in einer früheren Artikelserie Details zu Katastrophenszenarien bei Active Directory zusammengefasst. Die einzelnen Themenbereiche der Serie finden Sie in der folgenden Tabelle:
|
Teil 1: Ausfall eines DNS-Servers und eines Domänencontrollers |
|
Teil 2: Ausfall eines FSMO-Rollenmasters |
|
Teil 4: Active Directory-Pflege |
(mja)