DNS (Domain Name Service) ist wohl der wichtigste Dienst vieler IP-basierter Netzwerke und von dort kaum noch wegzudenken. Letztendlich fungiert DNS wie die Telefonauskunft, die die IP-Adressen in aussprechbare Namen, wie beispielsweise tecchannel.de, verwandelt. Der Server, der die Webseite des TecChannels zum Zeitpunkt der Artikelerstellung hostet, ist über die IP-Adressen 62.146.83.70 in der v4-Notation und 2a01:138:a028:0:62:146:83:70 in der v6-Schreibweise zu erreichen. Da sich kaum ein Benutzer freiwillig diese Zahlenkolonnen merken will, gibt es DNS.
Ursprünglich geht der Name des Service auf das Jahr 1983 zurück. Paul Mockapetris definierte in den Request for Comments (RFC) 882 und 883 seinen ersten Entwurf für eine Namensauflösung. Beide RFC-Grundlagen sind nunmehr durch die RFC 1034 und 1035 abgelöst und durch weitere Standards durch die IETC (Internet Engineering Task Force) ergänzt worden. Die ursprüngliche Aufgabe bestand darin, die lokale Host-Datei abzulösen und ein verteiltes System zur Namensauflösung bereitzustellen. Die Kernmerkmale des DNS sind aus der Frühzeit erhalten geblieben: dezentrale Verwaltung, hierarchische Strukturierung des Namensraums in Form eines Baums, Eindeutigkeit der Namen und von einzelnen Server unabhängige Erweiterbarkeit.
Microsoft und DNS
Microsoft als Hersteller von Windows setzte zunächst, wie viele andere Hersteller, auf eigene Entwicklungen und positionierte einen äußerst einfachen, sehr wirkungsvollen, aber in verteilten Umgebungen kaum nutzbaren Namensdienst: WINS (Windows Name Service). Während DNS eine Verwaltbarkeit und Steuerbarkeit anbietet, verzichtet WINS auf derlei Möglichkeiten und ist schlicht einfach da und arbeitet.
Spätestens mit der Vorstellung von Windows 2000 Server änderte das Unternehmen aus Redmond seine Strategie grundlegend. Die Domänen- und Verzeichnisverwaltung "Active Directory" basiert zwingend auf DNS. Der DNS-Dienst unter Windows Server ist eng in DHCP (Dynamic Host Configuration Protocol) integriert, sodass Windows-basierte DHCP-Clients und Windows-basierte DHCP-Server automatisch Host-Namen und IP-Adressen auf dem DNS-Server für die entsprechende Domäne registrieren.
Normalerweise ist DNS unter Windows Server direkt in die Active-Directory-Domänendienste integriert. In dieser Umgebung spiegeln DNS-Namespaces die Active-Directory-Gesamtstrukturen und -Domänen in einer Organisation. Netzwerk-Hosts und -Dienste konfigurieren Administratoren mit DNS-Namen, sodass sie im Netzwerk von anderen Client-PCs und Rechnern über die DNS-Server gesucht werden können.
Damit nicht ein falscher Eindruck entsteht: Windows-Server können auch vollkommen losgelöst von einem Active Directory als DNS-Server fungieren - aber das kann auch jede Fritzbox. Der DNS-Serverdienst unter Windows Server unterstützt die in den RFCs für DNS festgelegten Standards und hält diese umfassend ein. Daher ist der Microsoft-DNS vollständig mit jedem anderen RFC-kompatiblen DNS-Server kompatibel. In allen Client- und Serverversionen des Betriebssystems Windows ist eine DNS-Client-Auflösung als Dienst fest integriert.
Von Windows Server 2003 bis Windows Server 2008
Viele Active-Directory-Domänen in mittelständischen Unternehmen dürften auch noch jetzt auf Basis von Windows Server 2003 arbeiten. Wie 2014 für Windows XP endet auch für Windows Server 2003 der reguläre Produkt-Support von Microsoft, und zwar am 14. Juli 2015. Mit Blick auf DNS dürften viele Administratoren annehmen, dass die wichtigste Neuerung von Windows 2008, als Nachfolger des 2003ers, wohl die Unterstützung für IP Version 6 sei. Das ist jedoch nicht ganz richtig - Windows Server 2003 in der Enterprise Edition unterstützte bereits die Installation und den Betrieb eines IPv6 fähigen DNS-Servers.
Die DNS-Serverrolle unter Windows Server 2008 umfasst vier neue oder verbesserte Funktionalitäten, die die Leistung des DNS-Serverdiensts optimiert oder neue Features bereitstellten. Im Gegensatz zum Vorgänger bietet der 2008er eine vollständige Unterstützung für die längeren Adressen der IPv6-Spezifikationen, und zwar in allen Editionen. Gleichzeitig mit Windows Server 2008 führte Microsoft die Read-Only Domain Controllers (RODCs) ein. Somit sind Administratoren in der Lage, schreibgeschützte, primäre DNS-Zonen über RODCs bereitzustellen.
Foto: Thomas Bär / Frank-Michael Schlede
Besonders in großen Netzwerkumgebungen kam es bei großen DNS-Zonen, die in den Active-Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert sind, unter Windows Server 2003 zu Performance-Engpässen. Das Laden von Zonen geschieht ab der 2008er-Version im Hintergrund. Somit ist ein DNS-Serverdienst nach einem Neustart schneller in der Lage, auf Client-Anfragen zu reagieren.
Zudem bietet Windows ab dem 2008er-Server die GlobalNames-Zone mit nur einer einzigen Bezeichnung. Dasist praktisch in Netzwerken, in denen Windows Internet Name Service (WINS) nicht implementiert ist. Weiter erlaubt Windows erst mit der Version 2008 Blockierungslisten für Anfragen, beispielsweise um prinzipiell anfällige DNS-basierte Protokolle wie WPAD (Web Proxy Auto-Discovery Protocol) oder das ISATAP (Intra-site Automatic Tunnel Addressing Protocol), die das dynamische Update zum Registrieren eines Host-Computers verwenden, zu blockieren.
Windows Server 2008 R2, 2012 R2 und der kommende Windows Server vNext
DNS-Clients, die unter Windows Vista/7 oder Windows Server 2008 R2 arbeiten, können Namen in einem lokalen Netzwerksegment über LLMNR (Link-Local Multicast Name Resolution) auflösen, wenn kein DNS-Server verfügbar sein sollte. Diese Technik hilft insbesondere Domänenmitglieds-Computern bei der Suche nach einem Domänencontroller, auch wenn die DNS-Namensauflösung nicht verwendbar ist. Vor Windows 7/2008R2 nutzten DNS-Clients stets den Domänencontroller, mit dem sie zunächst in Kontakt treten konnten. Die nun eingeführte DNS-Assoziation hilft DNS Clients dabei, auf einen schneller reagierenden, möglicherweise näherliegenden Domänencontroller zu erreichen.
Foto: Thomas Bär / Frank-Michael Schlede
Die größte Änderung mit Windows Server 2008 R2 und dem dazugehörigen Windows-7-Client-Betriebssystem ist jedoch die Unterstützung für DNSSEC (DNS Security Extensions). DNNSSEC basiert auf diversen RFCs, die DNS dahingehend erweitern, dass die Herkunftsautorität und Datenintegrität gewährleistet und ein authentifiziertes Dementieren der Existenz möglich sind. Bis jedoch DNSSEC in der Praxis umfassend eingesetzt wird, dürften noch einige Jahre vergehen, da in gemischten Umgebungen alle beteiligten Server, die für eine DNSSEC-signierte Zone autorisierend sind, DNSSEC-fähig sein müssen. Konzeptionell ist jedoch auch eine Konfiguration möglich, bei der DNSSEC-fähige Serverabfragen rekursiv an einen nicht DNSSEC-fähigen DNS-Server senden. Eine Vertraulichkeit der Kommunikation, sprich eine Verschlüsselung der DNS-Anfragen bei DNSSEC, findet jedoch nicht statt. Eine "Schritt-für-Schritt-Anleitung" findet der interessierte Windows-Administrator im Microsoft-TechNet "Vorführen von DNSSEC in einem Testlabor".
Mit der Einführung von Windows Server 2012 hat Microsoft einen Installationsassistenten vorgestellt, der die Implementierung von DNSSEC vereinfacht. Zu den kleinen Veränderungen in Windows Server 2012 gehören eine bessere Schlüsselverwaltung und Online-Signierung bei den DNS-Sicherheitserweiterungen (DNSSEC) sowie neu unterstützte DNSSEC-Standards (NSEC3 und RSA/SHA-2) mit besserer Integration in Active Directory.
Beim LLMNR gab es gleich wieder eine Anpassung. Windows-8/2012-DNS-Clients nutzen keine mobilen Breitband- oder VPN-Verbindungen für das Auffinden von DNS-Servern und Domänencontrollern. Das Aussenden von LLMNR- und NetBIOS-Anfragen findet seit dieser Windows-Version parallel statt, nicht mehr hintereinander, was die Antwortzeiten verkürzt. Es versteht sich beinahe von selbst, dass die Anzahl von PowerShell Commandlets für DNS mit jeder neuen Version ansteigt. (Eine Liste aller Commandlets findet sich auf der TechNet-Seite von Microsoft unter dem Namen "Domain Name System (DNS) Server Cmdlets in Windows PowerShell".)
Foto: Thomas Bär / Frank-Michael Schlede
Diese Anzahl stieg auch bei Windows Server 2012 R2 weiter an, neben einigen Detailverbesserungen beim DNSSEC-Support und bei den Zone-Level-Statistiken. Komplett neu ist indes die Unterstützung für ein DNS-Logging- und -Diagnostik-Tool, das Administratoren unter dem Update 2919355 für Windows 8.1/2012R2 herunterladen können.
Diese Auswertmöglichkeiten sind im künftigen Microsoft Server vNext bereits enthalten. Eine detaillierte Beschreibung der Logging- und Analysefunktionen findet der interessierte Administrator im TechNet von Microsoft im Artikel "DNS Logging and Diagnostics" in englischer Sprache.
DNS - und es geht weiter
Es ist richtig - auf den ersten Blick hat sich beim DNS nicht wirklich etwas getan, was ein Vergleich der Kontextmenüs der verschiedenen Windows-Server-Editionen zeigt. Unter der Haube haben die Entwickler von Microsoft einige Neuerungen und Verbesserungen vorgenommen. Wie wichtig die Sicherheitsaspekte bei DNS sind, zeigen die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) in ihrem IT-Grundschutzkatalog in Abschnitt 5.18. (mje)