Automatische DNS-Konfiguration durch DCPromo.exe

Best Practice

Lassen Sie den DCPromo-Assistenten die DNS-Konfiguration für das Active Directory automatisch vornehmen!

Nicht, dass Sie das nicht auch selbst hinkriegen könnten – aber es gibt zwei Gründe dafür, diese Konfigurationseinstellungen durch DCPromo erledigen zu lassen:

  • Sie müssen im Anschluss höchstens noch die Reverse-Lookupzone erfassen – alle anderen relevanten Einstellungen sind soweit perfekt.
  • All dies geschieht automatisch und der Computer kann sich nicht vertippen – also ein perfekter Zeitpunkt für eine Kaffee-Pause.

Hinweis

Es gibt leider zu viele Bücher und Internet-Ressourcen, die genau das Gegenteil von dem behaupten, was ich hier schreibe. Viele Berichte zielen darauf ab, dass die DNS-Konfiguration auf jeden Fall von Hand gemacht werden müsse, da es sonst nicht korrekt gemacht würde. Falls dies jemals jemand direkt zu Ihnen sagt, dann fragen Sie doch einmal nach, was denn genau nicht korrekt konfiguriert wird. Sie werden auf keinen Fall eine klare Antwort auf diese Frage erhalten, sondern höchstens ein paar Ausfluchtversuche. Lassen Sie sich also nicht irritieren, sondern fragen Sie nach…

Der Assistent richtet dabei zwei Forward-Lookupzonen ein. Eine dieser Zonen trägt den Namen der neu erstellten Domäne und die andere Zone beginnt mit „_msdcs“ (Microsoft Domain Controllers) und endet auch mit der neu erstellten Domäne. Da diese „_msdcs“-Zone eigentlich einen untergeordneten Bereich der schon vorhandenen Domänenzone darstellt, hätte diese eigentlich auch als eine Sub-Domäne der Domänenzone erstellt werden können. Der Vorteil der Aufteilung liegt jedoch darin, dass jede Zone nur einen einzelnen Replikationsbereich zugeordnet bekommen kann. Während die Domänenzone lediglich innerhalb derselben Domäne repliziert wird, wird die „_msdcs“-Zone innerhalb der Gesamtstruktur repliziert. Weshalb jedoch diese Aufteilung und Definition der Replikationsbereiche? Um dies besser verstehen zu können, teilen wir die beiden Zonen einmal in deren grundlegende Funktionsbereiche auf:

  • Domänenzone
    Wird benötigt, um es den Clients zu ermöglichen, einen Domänencontroller in deren Domäne und evt. gar an deren Standort zu finden (SRV-Records / Dienstkennungseinträge). Zudem ermöglicht diese Zone die Auflösung der Namen aller Computer in deren IP-Adresse.
  • „_msdcs“-Zone
    Wird benötigt, um jegliche Domänencontroller einer Gesamtstruktur zu identifizieren. Für dies wird der GUID (Global Unique Identifier) jedes DC-Computerkontos in den jeweiligen FQDN (Fully Qualified Domain Name – Vollqualifizierter Domänen-Name) aufgelöst. Dies geschieht über CNAME (Chanonical Names / Aliase) in der DNS-Konfiguration – einem bestehenden Objekt wird demnach ein weiterer alternativer Name zugeordnet. Diese Einträge ermöglichen eine Replikation zwischen allen Domänencontrollern, da diese jeweils über deren GUID angesprochen werden. Dabei ist es wichtig zu verstehen, dass die GUIDs lediglich auf einen FQDN aufgelöst werden und nicht in deren IP-Adresse. Hierfür wird dennoch die jeweilige Domänenzone konsultiert. Demnach ein klassischer „Dreisatz“, welcher nur dann zu einer erfolgreichen Replikation der Domänencontroller führt, wenn von der GUID bis hin zur IP-Adresse der ganze Weg auflösbar ist. Somit ist die „_msdcs“-Zone absolut von einer funktionierenden Namensauflösung aller Domänen in einer Gesamtstruktur abhängig.

Tipp

Falls ein Diensteintrag einmal fehlen sollte, so kann dieser mit einem Neustart des Anmeldedienstes (NetLogon-Service) wiederhergestellt werden. Der Neustart muss dabei auf derjenigen Maschine erfolgen, wessen Einträge in der DNS-Zone fehlen. Um die Hostnamensauflösung wiederherzustellen, muss der Befehl „ipconfig /registerdns“ ausgeführt werden.

Die Aufteilung in die zwei Replikationsbereiche und Zonen wird deshalb empfohlen und eingerichtet, da sich Domänencontroller auch über Domänengrenzen hinweg replizieren und nicht nur innerhalb der Domäne. Somit müssen jedem Domänencontroller einer Gesamtstruktur auch alle anderen Domänencontroller bekannt sein, was durch den Replikationsbereich der „_msdcs“-Zone erreicht wird. Selbstverständlich könnte auch die Domänenzone in der Gesamtstruktur repliziert werden, was jedoch überhaupt nicht zu empfehlen ist. Die Domänenzone beinhaltet jegliche dynamisch registrierten Computernamen mit deren IP-Adresse – also auch diejenigen aller Clients einer Domäne. All diese Informationen auf alle Domänencontroller der Gesamtstruktur zu replizieren würde einen sehr grossen Aufwand bedeuten und ist schlichtweg unnötig. Da könnte man genau so gut auch die gesamten Namensräume aus dem Internet auf eine Hand voll DNS-Server zentralisieren, was genau so wenig Sinn machen würde. Es macht also viel mehr Sinn, nur diejenigen Informationen grossräumig replizieren zu lassen, welche auch von den entsprechenden Empfängern vielfach benötigt werden und stets aktuell sein müssen (da ansonsten auch eine Zwischenspeicherung dieser Informationen verwendet werden könnte).

Welche Informationen werden jedoch genau über diese Domänengrenzen hinweg repliziert? Viele Stimmen behaupten, dass eine Domäne auch eine Replikationsgrenze darstellt. Dies ist eigentlich auch wahr, wenn nur von der Verzeichnispartition – also aller Benutzer-, Computer- , Gruppenobjekte, etc. – gesprochen wird. Es gibt jedoch auch Informationen, welche unabhängig von einer einzelnen Domäne sind und somit jegliche Domänencontroller der Gesamtstruktur kennen müssen. Diese weiteren Informationen umfassen z.B. die Standort-Konfiguration, den globalen Katalog, das Schema, etc. Grundlegend gibt es unter Windows 2000 oder höher die folgenden drei Partitionen im Active Directory:

  • Verzeichnispartition
    Beinhaltet u.a. alle Informationen, welche im Dienstprogramm „Active Directory Benutzer und –Computer“ ersichtlich sind. Diese Partition wird innerhalb der Domäne an alle Domänencontroller repliziert.
  • Konfigurationspartition
    Beinhaltet u.a. Informationen zu den Standorten, Teilnetzen, Standortverknüpfungen, Namensräume der Gesamtstruktur, etc. Diese Partition wird über Domänengrenzen hinweg an alle Domänencontroller der Gesamtstruktur repliziert.
  • Schemapartition
    Beinhaltet Informationen zu allen vorhandenen Objekten und deren Attribute in einer Gesamtstruktur. Nur der Domänencontroller mit der Betriebsmaster-Rolle „Schema-Master“ kann diese Informationen ergänzen oder anpassen. Alle Domänencontroller jeglicher Domänen einer Gesamtstruktur teilen sich ein einziges Schema. Somit wird auch diese Partition innterhalb der Gesamtstruktur auf alle Domänencontroller repliziert.

Diese Partitionen werden durch verschiedene Anwendungspartitionen ergänzt – z.B. erstellt der DNS-Dienst ab Windows Server 2003 zwei neue Anwendungspartitionen namens „DomainDNSZones“ und „ForestDNSZones“, welche die darin beinhalteten Informationen an alle Domänencontroller mit einem installierten DNS-Serverdienst innerhalb einer Domäne oder einer Gesamtstruktur replizieren. Dabei lassen sich auch eigene Anwendungspartitionen erstellen, bei welchen die Replikatsempfänger (jeweils Domänencontroller) genau angegeben werden können. Dies geschieht über das Kommandozeilen-Tool „dnscmd.exe“, welches unter Windows Server 2003 durch die Support-Tools hinzugefügt werden kann und unter Windows Server 2008 schon in der Standardinstallation enthalten ist (Parameter „/createdirectorypartition“ und „/enlistdirectorypartition“).

Hinweis

Unter Windows Server 2008 geht der DCPromo-Assistent gar noch einen Schritt weiter und nimmt uns Informatikern noch einige andere Aufgaben ab. So wird bei der Erstellung des ersten Domänencontrollers einer Sub-Domäne auf Wunsch automatisch in der übergeordneten Domäne eine Delegierung auf diese eingerichtet. Zudem werden alle Anfragen auf den DNS-Server der Sub-Domäne an den DNS-Server der übergeordneten Domäne weitergeleitet, sofern diese nicht direkt beantwortet werden können. Diese Einstellungen machen in den meisten Szenarien Sinn, sollten jedoch in gewissen Fällen genauer durchdacht werden. Wenn z.B. eine untergeordnete Domäne über einen schnelleren Zugang zum Internet verfügt, als die Bandbreite, welche zum übergeordneten DNS-Server zur Verfügung steht, so wäre eine bedingte Weiterleitung die bessere Lösung, als alle Anfragen generell an den übergeordneten DNS-Server weiterzuleiten. Diese automatisch erstellen Konfigurationseinstellungen werden auf Wunsch beim Entfernen eines Domänencontrollers auch automatisch wieder aus dem DNS-Dienst gelöscht.

VN:F [1.9.22_1171]
Rating: 9.6/10 (12 votes cast)
VN:F [1.9.22_1171]
Rating: +7 (from 9 votes)
Automatische DNS-Konfiguration durch DCPromo.exe, 9.6 out of 10 based on 12 ratings

Ein Gedanke zu “Automatische DNS-Konfiguration durch DCPromo.exe

Schreib einen Kommentar