Katastrophenszenarien bei Active Directory

Folgen eines DNS-Ausfalls für Windows-Clients

Ohne DNS können Active Directory Clients keine SRV-Einträge finden, die sie für das Auffinden der Domänencontroller benötigen. Die Clients können sich ohne diese Einträge nicht authentifizieren oder LDAP-Abfragen durchführen.

Nach dem Verlust der DNS-Server funktionieren die Clients zunächst weiter, indem sie gecachte DNS-Einträge verwenden. Der SOA-Eintrag für die DNS-Domäne legt fest, wie lange die Standardgültigkeit (TTL, Time-To-Live) für DNS-Einträge ist, die von den Nameservern der Zone kamen. Die voreingestellte TTL für Windows-DNS ist 1 Stunde (3600 Sekunden).

Wenn die SRV-Einträge abgelaufen und die DNS-Server immer noch nicht verfügbar sind, finden die Clients ihre Domänencontroller nicht mehr. Sie können Ihre Kerberos-Sitzungstickets nicht mehr erneuern und können sich daher nicht mehr mit Mitgliedsservern verbinden.

Bei der Planung Ihrer DNS-Infrastruktur sollten Sie stets einen Ersatz-DNS-Server an jeder Niederlassung einplanen. Das kann ein normaler sekundärer Nameserver oder ein Domänencontroller mit Active-Directory-integrierter Zone sein.