Anleitung Windows DNS Server

Windows ActiveDirectory basiert stark auf DNS-Technologie zum Auffinden von Diensten und Rechnern. In einer herkömmlichen ActiveDirectory-Umgebung läuft dieser DNS-Server auf den Domaincontrollern. Clients und Server registrieren sich selbst für ihren Hostnamen und eventuell benötigte SRV-Records unter Nutzung ihres Kerberos-Maschinentickets. Die entsprechenden Einträge im DNS sind durch ACLs gesichert und können nur von einem Subset der Domänencomputer geändert werden.

Um diese DNS-Zonen auch aus dem MWN verfügbar zu machen können drei Wege gewählt werden. 

Windows DNS als Master

Bei dieser Konfiguration müssen alle Domaincontroller öffentliche IPv4 und IPv6-Adressen besitzen, die weltweit auf Port 53 UDP+TCP erreichbar sind. DNS-Anfragen für die AD-Domäne werden durch das LRZ direkt auf die Domaincontroller delegiert, externe Nameserver fragen direkt den Lehrstuhlserver. 

Im Domänencontroller sind keine weiteren Einstellungen nötig. Zu beachten ist, dass eine Namensauflösung bei Ausfall oder Unerreichbarkeit des Lehrstuhlnetzes nicht mehr möglich ist.

Offene Domaincontroller können für DNS Amplification Attacken verwendet werden. Die Absicherung gegen diesen Missbrauch ist nur sehr schwer möglich.


Windows DNS als Hidden Master, LRZ-Server als Slave (empfohlen)

Bei dieser Konfiguration wird die Zone weiterhin auf dem institutseigenen Windows DNS-Server verwaltet. Die Zone wird jedoch in regelmäßigen Abständen auf die verteilte DNS-Infrastruktur des LRZ repliziert. Externe Anfragen erfolgen über die Server des LRZ, die auch bei einem Ausfall der institutseigenen Server noch für eine definierbare Zeit weiter die Anfragen beantworten.

Leider hat Windows DNS an dieser Stelle einige Eigenheiten, die für einen korrekten Betrieb geändert werden müssen.

Windows hinterlegt standardmäßig alle Domaincontroller als Nameserver in den Zonen. Diese können zwar von Hand gelöscht werden, werden aber automatisch nach kurzer Zeit wieder eingetragen. Dies muss auf jedem Domaincontroller mit der Einstellung

dnscmd localhost /config  /DisableNSRecordsAutoCreation 1

geändert werden.

Danach müssen im DNS-Manager unter den Eigenschaften der Zone die eingetragenen Nameserver gelöscht und die Server des LRZ

  • dns1.lrz.de
  • dns2.lrz.bayern
  • dns3.lrz.eu

hinzugefügt werden.

Nun muss der Zonentransfer zu den LRZ-Nameservern erlaubt werden. Der Transfer kann entweder für alle anfragenden Server erlaubt werden, oder alle Nameserver des LRZ als erlaubte Server aufgeführt w

Ändern Sie bitte außerdem im Tab "Autoritätsursprung (SOA)" den Wert für "Läuft ab nach" (Expire) auf 21 Tage. So lange halten die Server des LRZ eine Kopie der Zone vor, wenn Ihr Server nicht mehr erreichbar ist.

Die "Verantwortliche Person" sollte eine Mailadresse des Administrators sein, wobei das '@' durch einen '.' ersetzt wird. Daher darf der Userteil der Mailadresse auch kein '.' enthalten.

LRZ als Master (WebDNS)

Die für das ActiveDirectory benötigten DNS-Zonen können natürlich auch über LRZ WebDNS verwaltet werden. Allerdings ergeben sich hier einige Einschränkungen:

  • Dynamische DNS-Updates können nur von IP-Adressen bzw. Netzbereichen aus explizit freigeschaltet werden.
    • Änderungen an diesen Listen können nur über einen Incident am Servicedesk vorgenommen werden
    • Die Windows Domaincontroller müssen zwingend freigegeben werden
  • Weitergehende Einschränkungen der DNS-Updates können nicht erfolgen, alle freigeschalteten IP-Adressen können alle Einträge der Zone verändern