IP Security Forum

Sicherheit im LAN => Lokale Netzwerke => Topic started by: admin on Tuesday, 27.03.2007 15:04

Title: DNS-Server und Windows 2003 Active Directory
Post by: admin on Tuesday, 27.03.2007 15:04
Die meisten Probleme mit Windows 2003 Server-Installationen beruhen auf fehlerhaften DNS-Einstellungen oder einem nicht richtig konfigurierten DNS-Server.

Dass man in den TCP/IP-Einstellungen eines Windows 2003 Domain Controllers als DNS-Server zwingend seine eigene IP-Adresse einstellen muss (wenn darauf ein DNS-Server läuft), hat sich inzwischen herumgesprochen. Wenn man aber etwas gutes tun will, und als zweiten DNS-Server einen externen DNS-Server beim Provider einträgt, damit die Internet-Namensauflösung auch beim Ausfall des lokalen DNS-Servers noch funktioniert, hat man sich eventuell in den Fuß geschossen.

Das Problem dabei ist folgendes: Beim Starten des Server versucht Windows, einige interne DNS-Abfragen zu machen, und bestimmte  Einträge in den DNS-Server hochzutragen. Antwortet der interne DNS-Server nicht sofort, z.B. weil er als AD-integrierter DNS-Server noch auf die Initialisierung von Active Directory wartet, versucht es Windows beim zweiten DNS-Server, der aber natürlich mit den internen Einträgen nichts anfangen kann, weil er für die AD-Zone nicht autorisiert ist. Selbst wenn alle Dienste hochgefahren sind, schlägt daher eine Diagnose des DNS-Servers mit DCDIAG /test:DNS fehl.

Fazit: Auf einem Windows 2003 Domain-Controller keine externen DNS-Server in der TCP/IP-Konfiguration eintragen!